Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

EU:s samordnare mot terrorism vill se EU-lag för att kringgå kryptering

19 maj 2020 av Henrik Alexandersson

EU:s samordnare mot terrorism, belgaren Gilles de Kerchove vill att den nya Digital Services Act skall omfatta lagstiftning om kryptering.

Enligt tyska Netzpolitik vill han att service providers skall åläggas att tillhandahålla läsbar, okrypterad tillgång till meddelanden som myndigheterna är intresserade av.

Netzpolitik skriver (med reservation för översättningen):

»Kryptering är inte bara allmänt förekommande på Internet, den är också viktig. Den skyddar konfidentialitet och äkthet mot allestädes närvarande attacker från alla – såväl underrättelsetjänster som brottslingar. Det finns ingen kryptering som kan de-krypteras av polisen i Berlin och Budapest, men inte av internetbrottslingar och ryska myndigheter. de Kerchove känner till detta dilemma, men han ignorerar det. Han kräver en ”optimal lösning” som gör det möjligt för användare att ”njuta av fördelarna med kryptering när det gäller integritet och dataskydd”, samtidigt som den europeiska polisen och underrättelsetjänsterna får tillgång till okrypterat innehåll. Han säger inte hur den lösningen ska se ut – eftersom den inte existerar. Han förnekar att han vill ha en statlig bakdörr, som enligt hans definition skulle vara ”permanent tillgång” för stater. Istället vill han ha åtkomst när polis och underrättelsetjänster begär ut okrypterad data, vilket han kallar ”en ytterdörr”. Denna definitionsmässiga akrobatik förändrar inte det grundläggande problemet: kryptering skyddar antingen mot alla – eller mot ingen.«

Debatten står med andra ord och stampar på samma ställe som för tio år sedan.

»de Kerchove kritiserar att tillverkare som Google introducerar kryptering utan att först be EU om tillstånd. Han kräver en ”laglig skyldighet för leverantörer” att ”arbeta tillsammans med statliga myndigheter på teknisk nivå” och diskutera deras kryptering tillsammans.«

Att de Kerchove ger sig in i debatten just nu beror naturligtvis på att han vill ha in lagstiftning om kryptering i EU:s nya Digital Services Act, som just nu håller på att utformas.

Artikeln avslutas med en engelskspråkig text som ger en översikt över krypteringsfrågan i EU.

Netzpolitik: Anti-Terror-Koordinator der EU fordert Gesetz gegen Verschlüsselung »

Vägrade avkryptera hårddisken – fri efter fyra år i häkte

16 mars 2020 av admin

Vi noterar att Francis Rawls vann slaget om huruvida man i USA måste uppge lösenordet till sina krypterade hårddiskar när polisen kommer på besök.

”Vann” är kanske fel ord, eftersom domstolen, Court of Appeals for the Third Circuit, menade att man i alla fall inte kan sitta fängslad längre än 18 månader för detta brott. 18 månader är dock förmodligen kortare än det straff för barnpornografibrott som Rawls skulle kunna få om han uppgav lösenordet och på sätt riskerade stärka bevisen mot sig själv.

Det finns vissa frågetecken kring den här rättsprocessen. Till exempel har det visat sig att det redan fanns en hel del bevis mot Rawls som skulle kunna få honom fälld för barnpornografibrott. Så varför agerade man inte på det man hade? Kanske för att åklagarna ville åstadkomma ett prejudikat kring huruvida man har rätt att ”glömma” lösenordet. Alltså drog man ut på rättsprocessen för att få ett svar i den frågan först, enligt en kommentator.

Läs mer

Ars Technica: Man who refused to decrypt hard drives is free after four years in jail

Se även vår tidigare rapportering om Rawls (augusti 2017):

Har USA kriminaliserat kryptering?

Video: Senaste nätnyheterna

27 februari 2020 av Henrik Alexandersson

Denna vecka: Nätcensur i EU # Varför har EU inga egna nätjättar? # Europol hjälper EU-länder knäcka kryptering # Kommer britterna att lämna ut Assange till USA?

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Europol hjälper EU-länder knäcka kryptering

20 februari 2020 av Henrik Alexandersson

Från Matthias Monroys blogg om säkerhetsarkitektur och polissamarbete i EU:

»Since last year, Europol has included the „decryption platform“ among the services offered by its newly established „innovation laboratory“. Its areas of responsibility include police handling of anonymisation and encryption on the Internet and darknet. Europol is also researching the use of quantum computers.«

Samtidigt verkar det som om spionprogramvara (statstrojaner / hemlig dataavläsning) kommer att vara den vanligaste approachen för medlemsstater som vill komma åt krypterade meddelanden.

Länk: Backdoors vs. Trojans: Europol is examining „solutions“ against end-to-end encryption »

Sveriges roll i den globala massövervakningen

12 februari 2020 av Henrik Alexandersson

Vilken roll spelar egentligen Sverige i den amerikanska globala massövervakningen?

Sveriges Radio rapporterar:

Företaget Crypto AG startades av svensken Boris Hagelin, och blev efter andra världskriget snabbt ledande på krypteringsmaskiner. Företaget hade sin bas i Schweiz, men under kalla krigets gång kom det att hemlighet kontrolleras och ägas av CIA och tyska underrättelsetjänsten BND.

Enligt uppgifter i Washington post, och tyska och schweiziska medier kände fyra ytterligare länder till operationen eller fick ta del av vissa uppgifter som kom fram. Ett av de länderna var Sverige.

Runt 120 länder köpte och använde krypteringsutrustningen från andra världskrigets slut fram till millennieskiftet, däribland Iran, Indien och Pakistan, men aldrig Sovjetunionen eller Kina.

I sammanhanget är det extra intressant att Sverige har haft något slags särställning.

Sveriges speciella ställning uppmärksammades även under Europaparlamentets utfrågningar om massövervakningen 2013/14. Då framkom bland annat att Sverige har ett unikt och nära samarbete om övervakning och informationsdelning med den så kallade Five Eyes-gruppen (USA, Storbritannien, Kanada, Australien och Nya Zeeland).

Det är även värt att påminna om att svenska FRA har unik tillgång till XKeyscore, som är amerikanska NSA:s »spion-Google« – med uppgifter som samlats in genom bland annat massövervakning och riktad övervakning. Detta framkom i samband med Snowden-läckan 2013 – och bekräftades även i Europaparlamentets utfrågning. Då XKeyscore med största sannolikhet även innehåller information om svenskar och svenska förhållanden är det oklart om FRA:s tillgång till databasen över huvud taget är laglig.

I mars 2015 röstade riksdagen nej till en motion om att utreda Sveriges samarbete med NSA.

SR: USA och Tyskland läste krypterade meddelanden i 50 år »

Kina påstås förbjuda utländska företag att kryptera och att använda VPN

17 december 2019 av Henrik Alexandersson

The Gatestone Institute rapporterar:

On December 1, Beijing implemented the Multi-Level Protection Scheme 2.0, issued pursuant to the 2016 Cybersecurity Law. On January 1, China’s Cryptography Law becomes effective.

These measures prohibit foreign companies from encrypting data so that it cannot be read by the Chinese central government and the Communist Party of China. Businesses will be required to turn over encryption keys. Companies will not be able to employ virtual private networks to keep data secret, and some believe they will no longer be allowed to use private servers.

Together, these measures allow Beijing to take all the data and communications of foreign companies.

Vilket är en nyhet som borde få larmklockorna att ringa hos alla utländska bolag som har verksamhet i Kina.

(Detta med reservation för att nyheten än så länge bara har en källa och ännu inte rapporterats i mer etablerade medier.)

Länk: The Big Hole in the China Trade Agreement »

EU ger Europol 5M€ för att knäcka kryptering och 5G

4 november 2019 av Henrik Alexandersson

The „Innovation Laboratory“ is to build on existing departments at Europol. Its areas of responsibility include the police handling of anonymisation and encryption on the Internet and Darknet. Europol has already set up a „decryption platform“ for this purpose, which is being funded by the EU Commission with 5 million euros. Europol is researching the use of quantum computers that could be used for artificial intelligence applications within the framework of the „Innovation Laboratory“.

The „Innovation Laboratory“ will also be responsible for the search for methods for intercepting the 5G mobile radio networks, which are by default interception-proof. Europol has already organised several „expert meetings“ on this subject.

Matthias Monroy: New Technologies: Europol sets up an „Innovation Laboratory“ »

Hemlig dataavläsning: Nu lägger regeringen ett skarpt förslag

22 oktober 2019 av Henrik Alexandersson

Efter flera års vånda har regeringen idag meddelat att man nu lägger fram sitt förslag om hemlig dataavläsning. På torsdag fattar regeringen beslut om en lagrådsremiss.

Vad det handlar om är att man vill att myndigheterna i hemlighet skall få installera spionprogram (även kallade statstrojaner) på människors datorer, mobiltelefoner, surfplattor och andra digitala enheter.

Till exempel kommer man att kunna använda enheternas kamera och mikrofon för avlyssning. Man kommer att kunna avläsa krypterad kommunikation innan den krypteras eller efter att den avkrypterats. Man kommer också att kunna komma åt enhetens alla filer, bilder, kontakter och allt annat som finns lagrat. Fler detaljer kommer när lagrådsremissen blir offentlig senare i veckan.

Vi har skrivit om detta flera gånger tidigare – och då beskrivit bland annat följande problem:

Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.

En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.

Inrikesminister Mikael Damberg (S) säger att hemlig dataavläsning bara kommer att kunna användas för att utreda allvarlig brottslighet. Men det är ju ett löfte man brukar ge, för att sedan svika. Ändamålsglidning har snarare blivit regel än undantag vad gäller verktyg för övervakning.

Det är också värt att notera att utredningen om hemlig dataavläsning även öppnar för hemlig avläsning av innehåll hos internetoperatörer och plattformar. Nu återstår att se om detta finns kvar i regeringens slutliga förslag.

En detalj, som inte diskuterats, men som är värd att vara uppmärksam på är risken för missbruk av systemet. Med statstrojaner får myndigheterna inte bara möjlighet att avlyssna och avläsa – utan även plantera information, som till exempel falska bevis. Sådant kommer naturligtvis inte att vara tillåtet, men vi vet att manipulation av bevis emellanåt förekommer och att alla anställda inom de rättsvårdande myndigheterna inte alltid följer reglerna.

I slutet av veckan kommer det att finnas ett mer detaljerat förslag i form av en lagrådsremiss att granska. Man räknar med att lagen skall träda ikraft den 1 mars 2020. Lagen är tidbegränsad till fem år och skall därefter utvärderas.

Länkar:
• Inrikesminister Mikael Dambergs presskonferens (Youtube) »
• SVT: Regeringen presenterar lagrådsremiss om hemlig dataavläsning »
• DN: Polisen ska få möjlighet till hemlig dataavläsning »
• Aftonbladet: Damberg: Polis redo för hemlig dataavläsning »
• Aftonbladet: M om hemlig dataavläsning: Sent och för klent »

Ur arkivet:
• Nästa stridsfråga: Hemlig dataavläsning »
• Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation »

Snowden: Utan kryptering, inget privatliv

15 oktober 2019 av Henrik Alexandersson

NSA-visselblåsaren Edward Snowden i The Guardian:

»In every country of the world, the security of computers keeps the lights on, the shelves stocked, the dams closed, and transportation running. For more than half a decade, the vulnerability of our computers and computer networks has been ranked the number one risk in the US Intelligence Community’s Worldwide Threat Assessment – that’s higher than terrorism, higher than war. Your bank balance, the local hospital’s equipment, and the 2020 US presidential election, among many, many other things, all depend on computer safety.

And yet, in the midst of the greatest computer security crisis in history, the US government, along with the governments of the UK and Australia, is attempting to undermine the only method that currently exists for reliably protecting the world’s information: encryption. Should they succeed in their quest to undermine encryption, our public infrastructure and private lives will be rendered permanently unsafe.«

Länk: Without encryption, we will lose all privacy. This is our new battleground. »

Ylva Johansson: Inget EU-förbud mot kryptering

10 oktober 2019 av Henrik Alexandersson

Den föreslagna svenska EU-kommissionären Ylva Johansson kommer som bekant att få hantera de så kallade inrikesfrågorna – det vill säga allt från migrationsfrågor till polissamarbete och inre säkerhet. Fokus har legat på migrationsfrågorna. Men Europaparlamentets muntliga utfrågning och skriftliga frågor ger viss ledning även i några av nätfrågorna.

Här är några nedslag i dokumenten. (Skärmdumpar, eftersom Europaparlamentet fortfarande gör PDF:er genom att skanna pappersutskrifter…)

Detta är faktiskt en god nyhet, om det går att lita på Johanssons ord: Inget förbud, ingen begränsning och ingen försvagning av kryptering.

Däremot kan man nog förvänta sig en ökad användning av statliga spionprogram ute i medlemsstaterna – det vill säga det som i Sverige kallas hemlig dataavläsning.

Ansiktsigenkänning är, som Ylva Johansson påpekar, en nationell fråga. Men – som hon snuddar vid – ägnar sig EU åt att finansiera forskningsprojekt där ansiktsigenkänning är en central funktion. (T.ex. Indect.) Så EU har ändå ett klart intresse i frågan.

Ylva Johansson vill alltså påskynda beslutet om avlägsnande av terrorrelaterat innehåll på nätet. Vilket, i sin nuvarande skrivning, kan resa krav på obligatorisk filtrering och analys av allt som alla användare laddar upp.

Sedan blir svaret mindre begripligt. För om man plockar bort innehåll – då kan det bli problematiskt för ordningsmakten, människorättsorganisationer, forskare, internationella juridiska institutioner, media m.fl. att få en bild av vad som verkligen sker. Vilket är en del av den kritik som framförts mot förslaget.

Tyvärr berördes inte datalagringen (vad jag kunnat hitta). Frågan är om det blir Ylva Johansson eller kommissionären för rättsliga frågor – belgaren Didier Reynders – som får i uppgift att ta fram ett eventuellt nytt datalagringsdirektiv. (Eller möjligen båda.)

Detta är bara några nedslag i det digra materialet. Här är länkar för den som är intresserad:

• Pressmeddelande: utfrågning av nominerade svenska EU-kommissionären Ylva Johansson »
• Video från utfrågningen och dokumentbank »
• Utskrift av utfrågningen (PDF) »
• Skriftliga svar (PDF) »
• Kompletterande skriftliga svar (PDF) »