Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden

av

I ett nytt projekt prioriterar EU övervakning av medborgarnas elektroniska kommunikationer och åtkomst till krypterade meddelanden.

ProtectEU – a European Internal Security Strategy är namnet på EU:s nya säkerhetssatsning. Centrala delar är ny datalagring och åtkomst till totalsträckskrypterade meddelanden. I kringsnacket nämns även att man vill komma till skott med Chat Control 2.

Inre säkerhet har utnämnts till ett av den nya EU-kommissionens prioriterade områden. Vilket är ett gränsområde då nationell säkerhet egentligen inte faller inom EU:s kompetens, utan ligger hos medlemsstaterna.

Bland annat vill man utöka Europols mandat. Detta ovanpå polissamarbetets redan vidgade mandat, som bland annat ger myndigheten direkt tillgång till data hos privata aktörer.

Man vill också se ett nytt regelverk för datalagring – efter att EU-domstolen 2014 upphävde EU:s datalagringsdirektiv, då det stred mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Trots domstolens beslut fortsätter många länder sin lagring av metadata om medborgarnas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. Däribland Sverige.

Den svenska regeringen vill till och med utöka datalagringen till att gälla alla meddelande-appar. Dessutom vill man att apparnas operatörer skall vara skyldiga att överlämna information om innehållet i användares meddelanden till myndigheterna i läsbar (det vill säga av-krypterad) form.

Vilket för oss till att en central punkt i ProtectEU är »lawful access to data«. Vilket är ett annat sätt att säga att man vill komma åt innehållet i totalsträckskrypterade meddelanden. Detta har redan förberetts inom ramen för EU:s projekt Going Dark [ länk 1 | länk 2 ].

Kopplingen till Chat Control 2 (granskning av innehållet i alla användares meddelanden) är tydlig. Det blir allt mer uppenbart att det förslaget mer handlar om övervakning än om att skydda barn mot övergrepp.

Utöver ny datalagring vill Going Dark-gruppen även se EU-licensiering av meddelande-appar och inflytande över branschens produktprotokoll och tekniska arkitektur. Man önskar sig också client-side-scanning, det vill säga spionprogram på medborgarnas telefoner och datorer. På önskelistan finns även övervakning av uppkopplade bilar. Kraven skall även gälla operatörer utanför EU, hur nu det är tänkt att gå till.

Detta är sådant som kan komma att rymmas inom Europols utökade mandat, i syfte att förvandla polissamarbetet till mer av en operativ myndighet.

Vi följer utvecklingen.

Länkar:
• Commission unveils ProtectEU – a new European Internal Security Strategy »
• ProtectEU: the European Internal Security Strategy »
• Factsheet: ProtectEU – A new European Internal Security Strategy »

Relaterat:
• Stoppa regeringens bakdörrs-lag! »
• Going Dark – så vill EU komma åt dina meddelanden och din data »
• Going dark – EU:s krig mot krypterad kommunikation »

CC0

Politikerna begriper inte vad de sysslar med

av

Våra politiker fattar beslut om saker som de inte begriper, som får orimliga konsekvenser och som är direkt farliga. Och de vägrar ta debatten.

Politikerna begriper inte vad de sysslar med. De lägger ständigt förslag som är tokiga i sak och som får oönskade, orimliga konsekvenser. Inte minst vad gäller internet.

Detta är frustrerande, skrämmande och farligt. Speciellt när nämnda politiker vägrar ta diskussionen i sak, då verklighet och fakta inte går ihop med deras politiska mål och idéer.

Vi har sett det vad gäller EU:s Chat Control 2. Förra EU-kommissionären Ylva Johansson var övertygad om att man kan inspektera innehållet i totalsträckskrypterade meddelanden utan att bryta krypteringen.

»Som en knarkhund« menade hon att det fungerar. I just det fallet lurades hon faktiskt in i en diskussion med någon som begriper frågan. Det gick inte så bra för henne i denna nu klassiska debatt. Se videon nedan.

Ett annat exempel är den svenska regeringens förslag om bakdörrar till meddelandetjänster som Signal. Där verkar politikerna ha lärt sig att hålla sig till sina inövade talepunkter och undvika all form av debatt.

Hur skall de annars kunna stå emot den massiva kritik som framförts mot förslaget från tungviktare som till exempel Försvarsmakten, Netnod och Internetstiftelsen?

Man vill ha igenom sitt förslag om bakdörrar till varje pris. Även om det priset är urholkad säkerhet för användare över hela världen.

Även om det drabbar allt från privatpersoner och företag till myndigheter, media, militären, människorättsaktivister, akademia, finansföretag, rättsväsende och många andra.

Även om det ger skurkstater möjlighet att förtrycka sina folk och förfölja oppositionella. Våra politiker väljer att medvetet blunda för de problem de själva är på väg att skapa.

Idealet vore en sokratisk dialog där man uttömmer alla aspekter innan man går vidare. Men så kommer det knappast att bli. Det har vi inte tid med, som en före detta svensk justitieminister uttryckte saken.

Istället rusar vi in i en övervaknings- och kontrollstat som begränsar internets frihet – utan debatt och konsekvensanalys. Detta är ett påtagligt och allvarligt problem. Men få tycks bry sig.

CC0

Stoppa regeringens bakdörrs-lag!

av

Mot bättre vetande är regeringen på väg att göra våra elektroniska kommunikationer sårbara för kriminella och främmande makt.

Den geopolitiska situationen gör alla som redan fruktar brottsligheten ännu oroligare. Vilket kommer att användas av myndigheterna för att sänka ribban för mer övervakning. Never Waste a Good Crisis.

Just nu står striden om rätten att kunna kommunicera elektroniskt med säker kryptering.

Regeringen vill att alla meddelandetjänster skall kunna tvingas överlämna information om innehållet i sina användares kommunikationer – i läsbar form, det vill säga okryperad.

Men om man öppnar bakdörrar till vår totalsträckskrypterade (E2EE) korrespondens, då kan de användas av alla som hittar eller får kännedom om dem. Kriminella. Främmande makt. En ny attackvektor.

Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte. Det finns inga mellanlägen – även om regeringen tror det.

Men är det ändå inte bra att man kan komma åt vad alla skriver och skickar till varandra nu när tiderna är så oroliga?

Försvarsmakten säger nej till regeringens förslag. Och den bör ju veta. Försvaret rekommenderar även sin personal att använda totalsträckskrypterade meddelande- och samtalstjänster som Signal.

Så skall vi låta skurkarna komma undan? Nej. Istället skall vi göra som EU-domstolen säger. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Med hemlig dataavläsning får polisen redan installera spionprogram på misstänktas telefoner, datorer, plattor, spelkonsoler med mera. Sedan får man tillgång till allt på enheten och kan läsa alla former av krypterade meddelanden innan de krypteras och sänds, medan de skrivs. Eller efter att de mottagits och av-krypterats. Även kamera och mikrofon kan användas för övervakning.

Det gäller alltså människor som är misstänkta för brott. Inte alla andra. Som det rimligen bör vara.

I oroliga tider är det viktigare än någonsin att vi kan lita på säkra elektroniska kommunikationer. Om vi fruktar att andra vill skada oss – då skall vi inte ge dem en bakdörr till våra digitala liv.

Slutligen, Europakonventionen om de mänskliga rättigheterna säger följande om rätten till privatliv:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

• Läs även Emanuel Karlsten: Regeringen vill införa bakdörrslag – kommer omöjliggöra privata samtal för svenskar »

CC=0

Chat Control 2 i långbänk

av

EU-förslaget om att granska innehållet i medborgarnas elektroniska meddelanden är just nu längre från en lösning än någonsin tidigare. Men fortfarande kan vad som helst hända.

Trots att frågan dragits i långbänk i tre år: Inte heller på denna veckas möte i EU:s ministerråd (RIF-rådet) tycks frågan om Chat Control 2 komma närmare en lösning.

Tvärt om är man nu längre bort från ett beslut än tidigare. Det förra förslaget i rådet (client-side-scanning på medborgarnas telefoner och datorer) är nu ersatt med ett om att förlänga rådande lagstiftning, Chat Control 1 (frivillig skanning av användarnas meddelanden). Vilket en majoritet av medlemsstaterna säger nej till (de vill fortfarande ha client-side-scanning).

Läs mer om det nya förslaget: Början till slutet för Chat Control 2? »

Läs mer om de låsta positionerna i EU:s ministerråd: Chat Control 2 – omvända roller i ministerrådet »

Nästa ministerrådsmöte är den 12-13 juni. Fram till dess kommer medlemsstaternas ambassadörer och tjänstemän att försöka komma överens i COREPER II och rådets arbetsgrupper.

Läget just nu är alltså att Chat Control 2 gått i baklås i ministerrådet, att Europaparlamentet säger nej till förslagets centrala delar och att EU-kommissionen fortfarande står bakom sitt förslag om att låta AI granska innehållet i medborgarnas elektroniska meddelanden.

Fortsättning följer…

CC=0

Sverige vs. Signal

av

Vi bad AI göra en blogcast om konflikten mellan ett nytt svenskt lagförslag som vill kringgå totalsträckskryptering och meddelande-appen Signal. Det blev tillräckligt rätt. (Fast nästa gång skriver vi nog manus själva.)

Detta är lite av ett experiment. Vårt nästa steg blir att putsa på röstens satsmelodi och intonation. Men det fungerar tillräckligt bra för att släppa ut videon på nätet. Och tekniken blir bara bättre och bättre. Lämna gärna feedback.

Om du vill läsa den underliggande bloggpost som AI tolkat, då finner du den här ».

Regeringens kryptoproblem

av

Svenska och europeiska myndigheter vill skapa bakdörrar som gör de säkra meddelande-appar de använder osäkra – för sig själva och för alla andra i hela världen.

Samtidigt som EU för krig mot totalsträckskrypterad (E2EE) elektronisk kommunikation med Chat Control 2 och projektet Going Dark föreslår den svenska regeringen att meddelandetjänster på begäran skall tvingas överlämna innehållet i sina användares kommunikationer till myndigheterna i läsbar (det vill säga icke krypterad) form.

Ställd inför detta hotar meddelande-appen Signal att lämna Sverige. Det vill säga blockera svenska användare hellre än att skapa bakdörrar som öppnar säkerhetsluckor på en global nivå.

Till SVT säger Signals chef Meredith Whittaker:

»– Vårt ansvar är att erbjuda teknologi som upprätthåller de mänskliga rättigheterna i en era där de rättigheterna kränks på allt fler ställen. I den digitala världen i dag finns det väldigt få ställen där vi kan kommunicera privat eller visselblåsa.«

Signal används idag av människorättsaktivister, dissidenter, media, visselblåsare, säkerhetsmedvetna företag, organisationer och privatpersoner världen över. De skulle alla drabbas om den svenska regeringen får som den vill.

Men inte nog med det. Den svenska försvarsmakten rekommenderar nu sin personal att använda Signal för säker elektronisk kommunikation. »Beslutet syftar till att försvåra avlyssning av samtal och meddelanden som sänds via telefonnätet.«

Enligt uppgift har även Regeringskansliet och Utrikesdepartementet (med flera myndigheter) implementerat Signal i sina kommunikationssystem för att säkerställa säker och krypterad kommunikation.

Sedan februari 2020 är Signal den rekommenderade appen för snabbmeddelanden för Europeiska kommissionen och dess personal. Den används även av den tyska regeringen. Plus en mängd andra regeringar och myndigheter världen över.

Samtidigt vill alltså både EU och den svenska regeringen skapa en bakdörr – som gör Signal (och liknande meddelande-appar) sårbar för angrepp från främmande makt, kriminella och andra aktörer med ont uppsåt.

Detta i namn av att bekämpa den grova brottsligheten. Men saken är att man redan har ett sådant verktyghemlig dataavläsning. Det handlar om spionprogram på moibiltelefoner, datorer, plattor, spelkonsoler m.m. – men bara hos personer som misstänks för brott. Inte alla andra.

Med hemlig dataavläsning kan myndigheterna se allt som finns och görs på en misstänkts mobil eller dator. Plus använda mikrofon och kamera för att övervaka användaren och dess omgivning. Det är inte heller oproblematiskt.

Men det är bättre än att göra säker elektronisk kommunikation osäker för alla i hela världen genom bakdörrar till totalsträckskrypterade meddelandetjänster.

Vilket är i linje med EU-domstolens principbeslut om datalagring: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Här skall även nämnas att Europadomstolen för de mänskliga rättigheterna kommit fram till att totalsträckskrypterad kommunikation är en mänsklig rättighet.

Inte desto mindre fortsätter regeringen, EU och Europol att kräva bakdörrar för att kunna komma åt medborgarnas totalsträckskrypterade elektroniska meddelanden.

Även om regeringen skulle få igenom sitt förslag hindrar det ändå inte att den som verkligen vill kan kommunicera med totalsträckskryptering – utanför de stora meddelande-apparna. Det är en fråga om att man inte kan förbjuda matematik.

Länkar:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Försvarsmakten använder appen signal för öppen kommunikation med mobiltelefoner »
• Signal lämnar Sverige om regeringens förslag på datalagring klubbas »
• Signals chef: Då lämnar vi Sverige »
• Centern: Nej till tekniska bakdörrar i krypterade appar »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 »
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Striden om kryptering tar ny fart »
• Europadomstolen: Totalsträckskryptering är en mänsklig rättighet »

CC:0

EU:s planer för internet – hela (?) listan

av

Trots kritiken mot att man överreglerar kommer EU att rulla ut ett flertal nya lagstiftningsförslag som berör internet, yttrandefrihet och övervakning under den nya mandatperioden.

Den nya EU-kommissionen har nu presenterat sitt arbetsprogram. Totalt planeras 51 större nya politiska initiativ och det finns 123 sådana under beredning sedan tidigare. Låt oss titta igenom dokumenten och se vad som rör internet, övervakning och relaterade frågor.

I ett faktablad kan vi läsa att det kommer ett lagstiftande digitalt paket under fjärde kvartalet i år. Då kommer även en Digital Networks Act, en AI Continent Action Plan och en Quantum Strategy of EU. (Oklart om detta är delar i det digitala lagpaketet eller om de ligger utanför.)

Under tredje kvartalet i år tänker man komma till skott med EU:s Demokratisköld, där vi redan skrivit om kommissionens briefing paper. Intrycket är att det mest är en byråkratisk ordsallad. Vi kan även förvänta oss fördjupad lagstiftning mot diskriminering och rasism, vilket alltid väcker frågor om rättigheter och yttrandefrihet.

Det kommer också en ny intern säkerhetsstrategi för EU i närtid. Vi vet ännu inte vad den innehåller, men några heta frågor i ämnet kan vara ny datalagring, kriget mot totalsträckskryptering, och ökad massövervakning, som ju ständigt är aktuella i unionen.

Gräver man ner sig i bilagorna kan vi även se att man planerar en översyn av EU:s Geo-blocking Regulation.

Plus sådant som redan är under beredning:

  • digital Euro [COM(2023)369 final 2023/0212 (COD)],
  • ett direktiv om »payment services and electronic money services« [(COM(2023)366 final 2023/0209 (COD)],
  • reglering av ramverk för Financial Data Access [COM(2023)360 final 2023/0205(COD)],
  • Chat Control 2 [COM(2022)209 final 2022/0155 (COD)],
  • »A more inclusive and protective Europe« – utökning av listan av EU-brott till att även gälla hat och hot [COM(2021)777 final] (se vår tidigare bloggpost).

Man kan även notera att att EU-kommissionen i sista stund dragit tillbaka ett planerat AI Liability Directive [COM(2022)496 final 2022/0303 (COD)] Vilket kanske kan ses i ljuset av kritiken mot att EU överreglerar AI.

Ett annat förslag som dragits tillbaka är en reglering »concerning the respect for private life and the protection of personal data in electronic communication« [COM(2017)10 final 2017/0003 (COD)].

Något vi vid första påseende inte kan hitta i dokumenten är planen på gemensamma digitala medicinska journaler i EU, digitalt EU-ID och en EU-gemensam digital plånbok. Men det är möjligt att dessa frågor betraktas som färdigbehandlade.

Allt det ovanstående med reservation för att EU-dokumenten är snåriga, att viktiga saker ibland göms bakom missvisande rubriker och att vi kan ha missat eller missuppfattat något. Lägg till det att nya frågor ständigt dyker upp, ofta snabbt och under radarn.

• EU-kommissionen: A bolder, simpler, faster Union: the 2025 Commission work programme »

Relaterat:
• Nya EU-kommissionen och internet »

UK: Krav på bakdörrar till molntjänster för användare i hela världen

av

Brittiska regeringen kräver en bakdörr med tillgång till allt i Apples moln. Det kommer i så fall att drabba användare över hela världen.

Förra veckan avslöjade Washington Post att den brittiska regeringen kräver att Apple skall skapa en bakdörr som ger myndigheterna tillgång till användarnas lagrade information i molnet (backups, foton, meddelanden, e-post, filer, app-data, nyckelring m.m.).

Det spekuleras i att Apple därför kommer att sluta erbjuda sitt avancerade dataskydd för iCloud till brittiska kunder, hellre än att riskera alla sina användares säkerhet. Dock gäller britternas krav tillgång till innehåll inte bara brittiska användare. Således står vi inför ett globalt säkerhetsproblem.

Apples kunder måste nu fråga sig om de alls kan eller vill fortsätta använda företagets molnlagring – som är en integrerad del i ett system där användarna på ett närmast sömlöst sätt kan återskapa sina iPhones med mera från nätet om de uppdaterar eller förlorar sin telefon.

Sedan är det bara en tidsfråga tills samma sak drabbar Google. Möjligen har det redan skett. Drabbade företag förbjuds att utala sig om saken.

James Baker på brittiska Open Rights Group säger:

»The government want to be able to access anything and everything, anywhere, any time. Their ambition to undermine basic security is frightening, unaccountable and would make everyone less safe. WhatsApp and other services will be next in their sights.«

»They seek to do this in secret, with minimal accountability, and potentially global impacts. It is straightforward bullying.«

Från Electronic Frontier Foundation (EFF) kommer liknande reaktioner:

»If Apple does comply, users should consider disabling iCloud backups entirely. Perhaps most concerning, the U.K. is apparently seeking a backdoor into users’ data regardless of where they are or what citizenship they have.«

Den totalsträckskrypterade meddelandeappen Signal, i Financial Times:

»”Using technical capability notices to weaken encryption around the globe is a shocking move that will position the UK as a tech pariah, rather than a tech leader,” said Meredith Whittaker, president of the Signal Foundation, the nonprofit that runs the secure messaging app. ”If implemented, the directive will create a dangerous cyber-security vulnerability in the nervous system of our global economy.”«

I sammanhanget skall påpekas att Europadomstolen har slagit fast att totalsträckskrypterad (E2EE) kommunikation är en mänsklig rättighet, inom ramen för rätten till privatliv och privat korrespondens.

Det är anmärkningsvärt när länder och regionala organ vill införa övervakning som får globala konsekvenser. Ovanstående är bara ett exempel. Ett annat är EU:s Chat Control 2 som kan komma att inte bara drabba privatpersoner och företag över hela världen – utan även oliktänkande och oppositionella i skurkstater.

• Washington Post: U.K. orders Apple to let it spy on users’ encrypted accounts »
• Financial Times: UK orders Apple to give it access to encrypted cloud data »
• Open Rights Group: UK Government undermines security with demands for Apple users encrypted data »
• EFF: The UK’s Demands for Apple to Break Encryption Is an Emergency for Us All »
• Headline USA: Apple Ordered to Provide Gov’t Access to ALL User Data on the Cloud »

Relaterat:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »

Början till slutet för Chat Control 2?

av

Ett nytt förslag i EU:s ministerråd säger nej till de värsta delarna av Chat Control 2. Men det finns fortfarande problematiska saker kvar.

Efter snart tre år i långbänk i EU:s ministerråd föreslår det polska ordförandeskapet enkelt uttryckt att Chat Control 2 skrotas i sina centrala delar. Istället blir de nu gällande reglerna – Chat Control 1 – permanenta tills vidare.

Vilket innebär att meddelandetjänster kan fortsätta att frivilligt söka efter sexuella övergrepp mot barn i användarnas meddelanden, precis som idag. Men det blir inget krav på att detta skall göras obligatoriskt.

Det blir inte heller någon client-side-scanning med spionprogram på medborgarnas telefoner och datorer. Även tanken på att använda (icke-existrerande) AI-teknik för att analysera innehållet i folks meddelanden skrotas.

Detta sker samtidigt som den blockerande minoriteten mot CC2 i ministerrådet blivit allt mer osäker. Nu blir situationen plötsligt den omvända – att den majoritet av medlemsstater som vill ha massövervakning kan komma att säga nej till det nya förslaget.

Ur det nya förslaget:

»a) Detection orders are deleted from the scope of the Regulation (Articles 7 to 11).
b) A review clause is maintained with the invitation to the Commission to assess within three years after entry into force of this Regulation the legal and technological possibilities of mandatory detection in the future (Article 85).
c) The derogation from certain provisions of Directive 2002/58/EC is included in the Regulation as a permanent measure (Article 4a).«

Men allt är inte frid och fröjd. Den redan existerande Chat Control 1 innebär som sagt att meddelandetjänster har rätt att frivilligt granska innehållet i sina användares meddelanden. Vilket i sig är en form av massövervakning.

Men det blir inget tvång att göra detta och granskningen måste rimligtvis avtalas i användarvillkoren. Dessutom kommer totalsträckskrypterade meddelande-appar som Signal att kunna användas i EU även i framtiden.

Det är även värt att notera att man håller öppet för obligatorisk innehållsgranskning av meddelanden någon gång i framtiden (när/om tekniken så medger).

Ministerrådets nya förlag innehåller även ett krav på en 16-årsgräns (artikel 6) för meddelande-appar och appar som har inbyggd chatfunktion (t.ex. spel). Vilket är en orealistisk och dålig idé. Dessutom kommer detta att medföra ID-krav, vilket i sin tur kommer att göra det omöjligt att vara anonym. (ID-krav för meddelandetjänster finns även i artikel 4.)

Förslaget skall diskuteras bland medlemsstaterna i rådets Law Enforcement Working Party i morgon, onsdag.

Eftersom det är ett helt nytt förslag måste frågan även tas upp i EU:s ministerråd för rättsliga och inrikes frågor. Det har formella möten den 6-7 mars och 12-13 juni.

På det hela taget rör sig frågan år rätt håll, även om det finns problematiska delar kvar.

Europaparlamentet har redan sagt nej till Chat Control 2 i alla dess centrala delar. Om ministerrådet nu ställer sig bakom det nya förslaget – då lär resultatet av trilogförhandlingarna (EU-kommissionen, ministerrådet och Europaparlamentet) bli att allt som har att göra med obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden faller. Vilket i sig vore en seger för rätten till privatliv.

Men än är vi inte där och det finns fortfarande problematiska delar (som åldersgränser/ID-krav) kvar i både rådets och parlamentets skrivningar.

• Ministerrådets senaste förslag »
• Half-good new Polish Chat Control proposal to be discussed on Wednesday »
• Surveillance: EU Council leaders want to make voluntary chat control permanent »
• Chatcontrol-wetgeving deels afgezwakt: berichten scannen wordt optioneel »

Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation

av

Regeringens förslag om att ge myndigheterna tillgång till krypterade meddelanden sågas grundligt av tunga remissinstanser.

Bort med tassarna från totalsträckskrypterad kommunikation! Det är budskapet när Försvarsmakten ger sitt remissvar på regeringens utkast till lagrådsremiss om »Datalagring och tillgång till elektronisk information«.

Förslaget bygger på en utredning som bland annat föreslår att i princip alla elektroniska meddelandetjänster (utom telefon och SMS) skall tvingas lämna ut information om innehåll i användarnas meddelanen. Det skall ske i läsbar (okrypterad) form. Även om meddelandet är totalsträckskrypterat (E2EE).

Vilket i så fall kräver något slags bakdörr. Detta kallas på kanslihus-svenska för »anpassningsskyldighet«.

Datasäkerhetsspecialisten Karl Emil Nikka har gjort en sammanställning av remissvaren, som presenteras i den utmärkta podcasten Bli Säker. Du kan se avsnittet nedan. Här är några nedslag:

Journalistförbundet menar att det är viktigt för källskyddet med anonymitet och att denna hotas med förslaget. Man pekar även på att totalsträckskrypterade meddelandetjänster är viktiga för människorättsaktivister och andra som riskerar att drabbas av repressalier i autoritära länder.

Södertörns Tingsrätt undrar hur regeringen tänkt få meddelandetjänster i resten av världen att acceptera och följa en sådan svensk lag. »Legitima globala aktörer kan dra sig ur den svenska marknaden, medan oseriösa aktörer i tredje land kan avstå från att följa skyldigheten med begränsade risker.«

Polisen tycks mena att det är möjligt för meddelandetjänster att möta utredningens krav och samtidigt tillgodose säkerhet och skydd för kommunikation. Hur det skall gå till är dock oklart. Detta känns på sin höjd som en åsikt.

Även Säkerhetspolisen menar att förslaget visar att det är möjligt att genomföra utan en generell försvagning av integritets- och informationssäkerhetsskydd. Varifrån kommer denna idé?

I den bakomliggande utredningen kan vi se hur detta är tänkt att gå till. Det verkar som om utredaren tror att det går att skapa en lösning där endast ett meddelandes avsändare, mottagare och svenska myndigheter kan läsa.

I podcasten frågar sig Karl Emil Nikka vad som får utredare och regering att tro att globala företag skulle införa detta för just Sverige. Skulle inte en sådan lösning även kunna användas av auktoritära regimer i andra länder?

IT-säkerhetsföretaget Trusec menar att det »saknas sakkunnig expertis inom cyber och cybersäkerhet i utredningen«. Man menar att förslaget kan leda till sämre säkerhet för alla användare.

De svenska användargrupperna menar att anpassningsskyldigheten skapar ett stort intrång i den personliga integriteten. Den kan även »leda till att företag som tillhandahåller kommunikationslösningar kan komma att dra sig ut från den svenska marknaden och enbart lämna kvar tjänster där kommunikationen inte kan totalsträckskrypteras.« Man efterlyser även en konsekvensanalys.

Internetstiftelsen menar att förslaget inte går ihop »eftersom hela syftet med totalsträckskrypterade tjänster är att ingen förutom mottagare och sändare ska kunna ta del av informationen.«

Näringslivet i TechSverige skriver i sitt remissvar »Vi har sett hur effektiva illvilliga aktörer är på att identifiera och utnyttja sårbarheter i digitala kommunikationssystem. Under senare tid har även experter uppmanat till en ökad användning av totalsträckskrypterad (end-to-end) kommunikation. TechSverige vill därför trycka på vikten av tydliga skydd för krypterad kommunikation så inte lagstiftningen skapar sårbarheter som kan nyttjas av illvilliga aktörer

Juridiska fakulteten vid Stockholms Universitet påpekar följande »Vidare kan krav på att tillhandahålla bakdörrar och nyckeldeponering avseende totalsträckskrypterade tjänster få motsatt effekt, eftersom det inte bara är brottsbekämpande myndigheter som kan göra bruk av dessa utan även kriminella och andra hotaktörer.« Vilket tidigare har påpekats av både Europol och EU:s cybersäkerhetsmyndighet ENISA.

Netnod, tungviktarna som driver knutpunkter som kopplar ihop Sverige med resten av internet konstaterar i tydliga ordalag att kravet på anpassningsskyldighet är omöjligt.

»Detta är tekniskt omöjligt att uppfylla för en totalsträckskrypterad tjänst utan att kompromettera totalsträckskrypteringen. Och om informationen är krypterad med nyckelmaterial i säkert element kan denna nyckel inte delas med en tredje part (dvs tjänstetillhandahällaren) på ett sådant sätt som lagrådsremissen och utredningen föreslår (…)«

»Detta innebär därmed att bakdörrar maste byggas in i kommunikationstjänster. Bakdörrar är att likställa med sårbarheter ur ett riskhanteringsperspektiv, och sårbarheter får aldrig byggas in i tjänster enligt Netnod.«

Det är ord och inga visor. Och den sista spiken i kistan hamras in av Försvarsmakten som säger att »Försvarsmakten bedömer att kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kuna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part

Som synes är kritiken av förslaget massiv. Förhoppningsvis så massiv att regeringen inte kan bortse från den.

Guldstjärna till Karl Emil Nikka som gjort sammanställningen. Se hela presentationen i Bli Säker-podden nedan. (Start vid 15:45.)

Vi har tidigare skrivit om utredningen och vårt remissvar på densamma:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »

Vi har även skrivit om en annan del av förslaget till lagrådsremiss, så kallad »nationell säkerhetslagring« där Säpo i vissa situationer kan besluta om att lagra alla våra elektroniska fotspår i upp till två år:
• Undantagstillstånd i den svenska övervakningsstaten »