Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Aktuella EU-planer som kan inskränka friheten online

av

Det är mycket nu. Här är en listning av några saker som är på gång i EU när det gäller internets frihet, yttrandefrihet och övervakning:

Chat control

EU vill att alla användares alla meddelanden skall avkrypteras och grankas i jakt på olagligt innehåll. Förmodligen omröstning i Europaparlamentets plenum i april. Länk »

TERREG / TCO

EU vill införa censur för åsikter. Visserligen handlar det om terroristpropaganda, men det kan lätt utökas till andra områden. Förordningen kräver nedtagning av flaggat material inom en timma, ger medlemsstaternas myndigheter rätt att beordra nedtagning av material på servrar i andra länder – och återuppladdning av flaggat material får inte ske, vilket i praktiken kommer att kräva uppladdningsfilter. Länk »

Uppladdningsfilter (copyright)

EU:s redan beslutade upphovsrättsdirektiv håller nätplattformarna ansvariga om upphovsrättsskyddat material publiceras. I praktiken innebär detta automatiserade uppladdningsfilter som granskar allt som alla laddar upp – och som inte förstår i vilken kontext sådant material publiceras. Detta skall vara införlivat i svensk lagstiftning senast i sommar.

Länkskatt (copyright)

I EU:s upphovsrättsdirektiv ingår även idén om länkskatt – det vill säga att närplattformarna tvingas betala traditionell media för att länka till dess siter. Även detta skall vara svensk lag senast i sommar.

Trusted Flaggers (DSA)

I EU:s föreslagna Digital Services Act föreslås bland annat att organisationer som »företräder kollektiva intressen« skall upphöjas till statligt godkända nätgranskare, vars anmälningar till nätplattformarna skall prioriteras. En del säkerhetsspärrar finns, men detta kommer att bli kontroversiellt. Länk »

Nytt datalagringsdirektiv

EU-kommissionen o0ch ministerrådet vill gå fram med ett nytt datalagringsdirektiv – efter att EU-domstolen ogiltigförklarat det förra, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Vad det handlar om är lagring av data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner m.m.

Code of Conduct on countering illegal hate speech online

EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet. Detta är ett kontroversiellt ämne som säkert kommer att skapa debatt. Dock är det oklart om denna uppförandekod kommer att beslutas inom ramen för de demokratiska institutionerna – eller om den kommer att fastställas med partsintressen, bakom stängda dörrar till exempel i EU:s Internet Forum.

Övrigt

Det pågår även arbete vad gäller frågor som automatiserad ansiktsigenkänning och utökad registrering av resenärer (PNR). Därtill kommer naturligtivs frågan om ett digitalt corona-pass för resor och fri rörlighet i samhället. Detta är av intresse även om dessa frågor inte direkt berör friheten online.

Följ nät- och övervakningsfrågorna här på bloggen.

Kryptering: EU:s ministerråd önskar det omöjliga

av

Jag sitter och läser i EU:s ministerråds plan (PDF) för att kringgå kryptering…

»We acknowledge this dilemma and are determined to find ways that will not compromise either one, upholding the principle of security through encryption and security despite encryption. Various technical options should be identified and evaluated for this purpose.«

Men tänk om det faktiskt inte går. Tänk om kryptering antingen är solid eller korrumperad, säker eller sårbar. Då kan Europeiska Unionen besluta hur mycket den vill att »olika tekniska alternativ skall identifieras och utvärderas«. De skulle lika gärna kunna besluta att månen är en grön ost. Kringgår man krypteringen av medborgarnas meddelanden, då finns det en bakdörr till våra kommunikationer som står öppen för alla.

EU skriver så mycket… I ett annat, relaterat dokument (PDF) hittade jag följande citat, som på något sätt gjorde mig opassande munter:

»De brottsbekämpande myndigheterna kan använda artificiell intelligens i sitt dagliga arbete, om tydliga skyddsåtgärder vidtas.«

Mer övervakning men få nyheter i Ylva Johanssons EU-plan mot terrorism

av

För den som följer övervakningsfrågorna i EU var det något förvånande när EU-kommissionär Ylva Johansson i radionyheterna i morse meddelade att hon kommer att lägga fram ett förslag för att ge myndigheterna möjlighet att snabbt plocka ner terror-relaterad information och propaganda på internet.

Ett sådant förslag finns nämligen redan: EU:s nya förordning om terror-relaterat innehåll online (TERREG/TCO). Och där pågår förhandlingar mellan kommissionen, rådet och parlamentet. Tanken är att morgondagens trilog-förhandlingar skall vara de sista. Men fortfarande är positionerna låsta. De viktigaste frågorna man förhandlar om gäller:

  • Ministerrådet vill att oönskat material skall plockas bort inom en timma, vilket Europaparlamentet menar är orealistiskt.
  • Ministerrådet vill att myndigheter i en medlemsstat skall kunna beordra nedtagning av innehåll på servrar i andra medlemsstater (eller tredje land).
  • Ministerrådet vill inte se något undantag för journalistik, kultur, forskning, dokumentation etc.
  • Ministerrådet vill se uppladdningsfilter, det vill säga automatiserad nätcensur – vilket parlamentet säger nej till.

Detta är alltså inte något nytt, utan ett ärende som redan dragits i långbänk. Vad det handlar om är att Ylva Johansson försöker öka trycket på parlamentet inför morgondagens förhandlingar.

På det hela taget är det väldigt lite nytt som presenteras i den Counter-Terrorism Agenda for the EU som EU-kommissionen presenterade idag.

Därmed inte annat sagt än att dokumentet listar ett antal kontroversiella åtgärder, även om de i allt väsentligt redan är kända. Exempel:

  • Automatiserad ansiktsigenkänning för identifiering, lokalisering och övervakning av individer.
  • EU:s nya Digital Services Act kommer att presentera en »horisontell« approach till olagligt innehåll online.
  • Ökad kontroll av resenärer genom PNR och samkörning av databaser.
  • Förstärkning av Europols mandat.
  • Man vill kringgå kryptering av privata meddelanden.
  • Förenklat utbyte av digitala bevis mellan medlemsstater.
  • Ett nytt datalagringsdirektiv.

Några nyheter finns dock:

  • 2021 kommer man att uppdatera EU:s Code of Conduct on countering illegal hate speech online.
  • 2021 kommer kommissionen att lägga fram ett förslag om »interconnected bank account registers« – det vill säga en central funktion för att kunna kontrollera alla bankkonton och transaktioner (i detta sammanhang relevant vad gäller terror-finansiering).
  • Man planerar att tillsätta en »Counter-Terrorism Coordinator«.

Även om dagens dokument främst fokuserar på radikal, militant islamism – så omfattar det även höger- och vänsterextremism.

Man har också en uppmaning till medlemsstaterna:

»Ensure that projects which are incompatible with European values or pursue an illegal agenda do not receive support from public funds.«

Ylva Johanssons 25-sidiga handlingsplan innehåller som sagt mest redan kända förslag. Den känns mer som ett papper för att avleda eventuell kritik mot att EU gör för lite för att bekämpa terrorism än som något nytt i sak. Men det kan naturligtvis vara bra att vi nu får EU:s planer på området sammanfattade i ett dokument.

Länkar:
• EU-kommissionens pressmeddelande »
• Counter-Terrorism Agenda for the EU (PDF) »

EU:s kamp mot krypterade meddelande-appar i långbänk?

av

Året går mot sitt slut och därmed även det tyska EU-ordförandeskapet (sedan halvårsskiftet). Detta är särskilt intressant eftersom Tyskland varit pådrivande för att få fram bakdörrar till krypterade meddelande-appar. Nu verkar det som om man inte kommer att lyckas driva detta ända fram under detta ordförandeskap och de kommande ordförandeskapen är Portugal och Slovenien, som i sammanhanget betraktas som »svagare« länder.

Därför har Tyskland nu formulerat rekommendationer för det fortsatta arbetet för att kringgå kryptering. Man är fortfarande på offensiven, men det går samtidigt att ana en viss uppgivenhet.

»We aim for a coordinated, consistent EU position on the topic of encryption because we have a joint challenge concerning encrypted data in the field of fighting terrorism, organized crime, child sexual abuse, etc. At the same time, we must value encryption as an important technology for the digital life of today and the protection of fundamental rights. We need to agree upon these complex issues and improve coordination at EU level.«

Man tänker alltså fortsätta sina försök att kringgå kryptering av meddelanden. Men än så länge har man inte presenterat några hållbara argument vad gäller det grundläggande problemet: Antingen har man säker kryptering eller så har man det inte. Bakdörrar kommer att kunna användas även av kriminella, främmande makt och andra illasinnade aktörer.

Tidigare har man pekat på en möjlighet i form av något som påminner om hemlig dataavläsning. Problemet med det är att i så fall skulle man i princip vara tvungen att tillämpa hemlig dataavläsning (statstrojaner) mot alla användare. Vilket nog är lite magstarkt, även med EU-mått mätt.

Man skriver vidare:

»We acknowledge the need to review the effects arising from different relevant regulatory frameworks in order to develop further a consistent regulatory framework across the EU that would allow competent authorities to carry out their operational tasks. We underline that the EU can leverage the strength of its single market to ensure that device manufacturers and service providers create technologies that meet the Member States’ needs while preserving the benefits of encryption. We call on all relevant actors to engage in a joint European narrative on encryption.«

Här luftar man alltså tanken att endast meddelande-appar som erbjuder staten en bakdörr skall vara tillåtna att sälja på EU:s inre marknad. Vilket naturligtvis är ett slag i luften för den som verkligen vill dölja sin elektroniska kommunikation.

Det verkar alltså som att det tyska ordförandeskapet inte lyckas driva sin kamp mot kryptering i mål, i vart fall inte innan årsskiftet.

En kvalificerad gissning är att frågan nu går i långbänk. Dock kan man inte utesluta nationella initiativ.

Trivia: De kommande EU-ordförandeskapen är – med ett halvår var – Portugal, Slovenien, Frankrike, Tjeckien och våren 2023 Sverige. Frankrike kan bli en rysare. Tjeckien kan (som det ser ut i opinionen) eventuellt ha piratpartister i regeringen. Och det svenska ordförandeskapet kommer intressant nog nästan direkt efter nästa riksdagsval.

Storebrors-staten rullas ut i pandemins skugga

av

Nätcensur med automatiska uppladdningsfilter och bakdörrar till medborgarnas krypterade meddelanden – det är vad som ligger på bordet i EU den närmaste tiden. Båda förslagen kan vara verklighet innan årsskiftet.

Ändå finns det i princip ingen offentlig debatt om dessa förslag. I vart fall inte i Sverige. Vilket är märkligt. Vår grundlag förbjuder förhandscensur. Och vårt näringsliv, vår förvaltning och vanliga människor är beroende av säker, krypterad elektronisk kommunikation.

Ändå är det tyst. Möjligen kan det bero på att EU-kommissionen och ministerrådet gömmer sina förslag bakom kampen mot terrorism och mot sexuellt utnyttjande av barn. Vem vill eller vågar protestera då? Den som så mycket som öppnar munnen offentligt kan räkna med att bli utfulad, misstänkliggjord och stigmatiserad.

EU-kommissionär Ylva Johansson säger att hon inte ser någon motsättning mellan att bereda sig tillgång till medborgarnas privata kommunikation och vår rätt till privatliv (som skyddas i Europakonventionen om de mänskliga rättigheterna). Vilket är en helt absurd position. Lite Orwell och lite Kafka på samma gång.

Inte blir processen lättare att följa i corona-tider. Möten flyttas, ställs in och hålls på digitala plattformar som trilskas. Många nyckelpersoner jobbar hemifrån och de vanliga beslutsprocesserna frångås. Vilket ofta leder till långa perioder av tystnad, följda av mer eller mindre skarpa förslag som kan stressas igenom utan den grundliga och öppna demokratiska process de kräver. Never waste a good crisis.

Just när detta skrivs sitter medlemsstaternas ständiga representanter i COREPER och klubbar en önskelista som förutom censur och knäckt kryptering även innehåller ett nytt datalagringsdirektiv. Allt på en gång. Vilket ökar risken för att i vart fall något av detta blir verklighet. Möjligen allt, om inte motståndet väcks illa kvickt.

EU:s kamp mot krypterade meddelanden är ogenomtänkt

av

Det är svårt att förstå hur EU:s ministerråd tänker sig att dess krav på bakdörrar till krypterade meddelande-appar är tänkt att fungera.

Anta att man beslutar att endast de appar som ger myndigheterna en bakdörr tillåts säljas i Googles och Apples app-stores i EU. Tänker man då förbjuda användning av tredjeparts-appar (som visserligen kan kräva lite tekniskt handlag för att installera)? Och hur har man tänkt kontrollera att inga otillåtna appar används? Måste man då inte kontrollera alla medborgares datatrafik? Kommer människor som envisas med att använda sådan kryptering som staten inte kan forcera att straffas? Det finns massor av frågor och oklarheter.

Hur kommer man att göra med end-to-end-kryptering när det inte är själva kommunikations-appen, utan en separat app som krypterar / av-krypterar texten? Då är ju till och med vanliga SMS i princip omöjliga att forcera. Kommer man då att sänka tröskeln för användning av hemlig dataavläsning / statliga spionprogram?

Sedan har vi frågan om auktoritära regimer runt om i världen kommer att få tillgång till samma bakdörrar. Det gäller dels inom dessa länder – men även i EU. Hur tänker man sig att förföljda oppositionella från till exempel Kina eller Iran som bor i exil i Europa skall kunna skydda sin kommunikation?

Antingen har man kryptering och i princip säker kommunikation – eller så har man det inte.

Känslan man får är att EU:s inrikes- och justitieministrar inte riktigt begriper vad de själva sysslar med.

Nätcensur, uppladdningsfilter, datalagring och åtgärder mot kryptering krav från EU:s ministerråd

av

Fredag den 13 november höll EU:s justitie- och inrikesministrar ett ministerrådsmöte online. Vad gäller kampen mot terrorismen gjorde man ett gemensamt uttalande, som bland annat innehåller följande:

  • Användning av artificiell intelligens (ingen närmare förklaring ges dock).
  • Datalagring – trots att EU:s datalagringsdirektiv underkänts av EU-domstolen för att det strider mot de mänskliga rättigheterna. (Det har redan kommit signaler från EU-kommissionen om ett nytt direktiv.)
  • Ökad insamling, delning och analys av data.
  • Förstärkning av Europol.
  • Nätcensur och uppladdningsfilter (förordningen om terror-relaterat innehåll online, TERREG/TCO).
  • Man välkomnar EU-kommissionens arbete med att skapa EU-gemensamma regler mot hat och hets mot folkgrupp.
  • Åtgärder för att komma åt innehållet i krypterade meddelande-appar.
  • Åtgärder mot radikalisering i online-spel och mot »algoritmisk förstärkning« i samarbete med EU Internet Forum-.

Mer konkreta och möjligen också fler förslag kommer på nästa möte, i början av december. Vilket även är den tid då EU-kommissionen planerar att presentera sin Digital Services Act, DSA.

Inför fredagens möte kunde riksdagens EU-nämnd inte diskutera och ge förhållningsorder som vanligt – då regeringen inte vill sända ut (de innan mötet) hemligstämplade dokumenten via e-post. Vilket ställde till det då en stor del av riksdagen är hemförlovad på grund av corona-pandemin. Därför kunde EU-nämnden inte ge instruktioner, vilket är olyckligt – då den vid tidigare tillfällen avfärdat bl.a. uppladdningsfilter. Här kan du lyssna på ett inslag i SR Ekot om saken »

Kommer vissa meddelande-appar att bli olagliga?

av

Ju mer man läser och funderar om EU:s planer på att kringgå krypteringen i meddelande-appar, ju märkligare blir det.

Ett exempel: Om EU kräver tillgång till krypterat innehåll i meddelande-appar, vilket kräver samarbete med de företag som driver apparna – hur har man då tänkt hantera de företag som vägrar? Eller, snarare, hur har man tänkt hantera de medborgare som ändå använder dessa appar?

Måste inte EU då lagstifta om vilka appar vi tillåts respektive förbjuds att använda? Hur har man tänkt kontrollera detta? Och vilket blir straffet för den som använder en meddelande-app vars kryptering EU inte kan kringgå?

Detta känns inte helt genomtänkt.

Striden om krypteringen står här och nu

av

Varje gång ett terrorattentat sker flyttar politikerna fram övervakningsstatens positioner. Nu vill EU:s ministerråd ge myndigheterna »bakdörrar« till krypterade meddelande-appar – och i vidare mening ge sig efter kryptering som sådan, hur nu det är tänkt att gå till.

Det är rätt uppenbart att det är underrättelsetjänsterna i EU:s medlemsstater som är pådrivande. Med en svans av olika myndigheter som anser sig ha nytta av att ta del av medborgarnas kommunikationer. Nyfikenhetsbranschen.

Naturligtvis spanar man också efter terrorhot – även om de flesta terrordåd i Europa utförts av redan kända potentiella terrorister. Övervaka gärna sådana element, noga. Men offra inte alla vanliga människors rätt till privat kommunikation.

För övrigt har polisen i de flesta länder (inklusive Sverige) rätt att ägna sig åt hemlig dataavläsning vad gäller personer som är misstänkta för något riktigt allvarligt. Med denna teknik övervakas den tekniska enheten – när den visar användaren meddelanden i klartext innan de krypterats eller efter att de av-krypterats. Så polisen saknar inte verktyg.

Det börjar alltid med att man säger att man måste ha en viss form av övervakning för att kunna skydda den befolkning man själva skrämmer upp. Ta till exempel datalagringen. Den skulle bara få användas för att stoppa terrorister och grov organiserad brottslighet. Men istället kom den främst att användas för att jaga fildelare. Även Skatteverket märks bland de mest entusiastiska användarna. Övervakningslagar drabbas alltid av ändamålsglidning.

Historien lär oss att nästan vad som helst kan hända och just nu lever vi i turbulenta tider. Vem som betraktas som statens fiende behöver inte vara densamma idag som i morgon. Det är en definitionsfråga och ett politiskt beslut. Och vi har ingen aning om när vi får vår första seriöst auktoritära regering. Men det är troligt att det kommer att ske, förr eller senare. Vill vi att den skall ha rätt att ta del av medborgarnas privata kommunikationer?

Naturligtvis är den härskande politiska klassen nyfiken. (Att det till exempel heter Försvarets Radioanstalt döljer dels att det är en civil myndighet, dels att regeringskansliet och UD är storkunder.) Övervakning är en oemotståndlig godispåse för politiker och byråkrater. Så att de vet vad vänner och fiender har för sig. Information är makt.

Hur tänker man gå runt krypteringen?

Så nu går man fram på bred front. Five Eyes-samarbetet (underrättelsetjänsterna i USA, UK, Kanada, Australien & Nya Zeeland), EU:s ministerråd plus spridda länder som Japan och Indien gör något slags samordnad attack mot kryptering. Till och med formuleringarna i de dokument som läggs fram är i delar de samma.

Enkelt uttryckt handlar det om att den som driver en meddelande-app kan komma att tvingas hjälpa till att av-kryptera användares meddelanden genom att tillhandahålla en nyckel när myndigheterna gör en man-in-the-middle-attack.

Om detta är tekniskt möjligt tänker man inte ta någon hänsyn till. Och man struntar uppenbarligen i att bakdörrar och säkerhetsbrister även kan utnyttjas av till exempel kriminella, terrorister och främmande makt.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»Contrary to what governments would have us believe, we have to choose between interception and security. Those who want to sacrifice secure encryption in order to enable eavesdropping will destroy the protection of private secrets, business secrets and state secrets, and open the door to mass-spying by foreign intelligence services as well as hacker attacks. There is no such thing as a ‘partial backdoor’ to online communications. The security of all our communications must be given priority. This has been the clear position of the European Parliament since 2017.«

Det verkar dock som om ministerrådet i nuläget inte tänker ge sig på P2P-kryptering av vanlig e-post. I den mån det alls är möjligt.

Vad händer nu?

Österrikiska Radio FM4 har en utmärkt sammanfattning, här i en förvånansvärt bra Google-översättning från tyska:

»According to the document – any final objections are requested – this resolution of the Council of Ministers is not only almost completely formulated. It has apparently already been voted on in the Council. On November 19, it is to be adopted in the Council Working Group on Cooperation in the National Security Sector (COSI); on November 25, it is planned to submit it to the Council of Permanent Representatives of the EU Member States (COREPER). There the council decision already has the status of an I-item, so it can pass without further discussion.

The decision will then be celebrated in a virtual meeting of the Council of Interior and Justice Ministers planned for the beginning of December. What will follow is clear, namely an order from the Council of Ministers to the EU Commission to draw up a draft regulation, which will then go through the usual procedure by Parliament and the Council.

In view of the apparent unanimity, however, it would be possible in the Council of Ministers to implement the planned regulation in its core even without the involvement of Parliament. That has already happened in connection with surveillance. The famous decision in the Council’s Fisheries Committee of 1995 on the monitorability of the then new GSM networks was carried through as an A-Item (decided matter), of which the EU Parliament only became aware after it came into force in 1996.«

Tack och lov är Europaparlamentet denna gång medvetet om vad som är på väg att ske. Men samtidigt finns det skäl att tro att ministerrådets linje har stöd i parlamentets större partigrupper.

Detta är ett generalangrepp på vår rätt till säker krypterad personlig kommunikation, till privat korrespondens. Vill vi försvara denna rätt – då är det hög tid att ta striden, här och nu.

Länkar:
• Sweclockers: EU kan kräva krypteringsnycklar till meddelandeappar »
• Radio FM4: Auf den Terroranschlag folgt EU-Verschlüsselungsverbot »
• EU:s ministerråd: Draft Council Resolution on Encryption – Security through encryption and security despite encryption (PDF) »
• MEP Patrick Breyer, PP, DE »
• MEP Patrick Breyer frågar ut ministerrådets talesman (video) »