Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Hur mycket övervakning tål den svenska demokratiska rättsstaten?

av

Övervakningsstaten expanderar snabbt mot en punkt där den blir ett demokratiskt problem. Och regeringen ökar takten.

Det går alltid att finna skäl för mer övervakning. Frågan är dock hur omfattande övervakningsstaten kan bli innan våra medborgerliga rättigheter och vår demokratiska rättsstat hotas.

Det är också värt att komma ihåg att övervakning inte bara handlar om gängkriminalitet, terrorism och andra hot mot vårt samhälle. Storebrorsstaten kan – och kommer – även att drabba vanligt, hederligt folk.

Redan innan Tidö-regeringen var användningen av hemliga tvångsmedel omfattande i Sverige. Men de senaste åren har tempot i lagstiftningsarbetet ökat markant. Här är några exempel på beslut som redan fattats eller är på gång:

• Utökad möjlighet att använda hemliga tvångsmedel

Utvidgning av syfte och metod för en redan omfattande polisiär användning av avlyssning och övervakning.

Man utreder även frågan om ökad användning av hemliga tvångsmedel mot barn och unga.

• Preventiva tvångsmedel

Detta är lagstiftning som tillåter övervakning utan konkret misstanke om brott. Vilket i sig är ett brott mot rättsstatens grundläggande principer.

Nyckelordet i sammanhanget är »konkret«. Regeringen kommer undan med att det ändå i någon mening kan finnas en misstanke om pågående eller framtida brottslig verksamhet.

Med detta balanserar man verkligen på gränsen för vad som är acceptabelt med hänvisning till vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Människor som inte misstänks för brott skall inte övervakas.

• Utökade möjligheter att använda preventiva tvångsmedel

Regeringen har just presenterat en utökning av lagen ovan till att även omfatta mindre allvarlig brottslighet. Tröskeln sätts vid brott som kan antas ge minst tre månaders fängelse.

Idag leder endast tre av tio fall av övervakning till åtal. Vilket antyder att problemet mer handlar om övervakningens kvalitet än dess kvantitet. Här är risken uppenbar att fler oskyldiga kommer att drabbas.

• Lagen om hemlig dataavläsning blir permanent

Hemlig dataavläsning handlar om att installera spionprogram i telefoner, datorer m.m. Enheten kan då användas för avlyssning och kontroll av allt som sker och finns på densamma.

Ett allvarligt problem är att användning av sådana spionprogram bygger på säkerhetsbrister i den programvara, de operativsystem och den IT-infrastruktur som vi alla använder.

För att hemlig dataavläsning skall kunna ske måste dessa säkerhetshål lämnas öppna (istället för att rapporteras in och åtgärdas). Detta öppnar även dörren för nätbedragare, hackare, främmande makt med flera. På så sätt blir vi alla mer sårbara online.

Dessutom lider hemlig dataavläsning av problemet att även oskyldiga människor i den övervakades omgivning kommer att drabbas.

• Mer kameraövervakning

Regeringen vill höja målet för antalet bevakningskameror från 1.600 till 2.400. Dessutom vill man göra det enklare för kommuner och regioner att använda kameraövervakning.

Samtidigt utreds ökad användning av biometri, vilket i detta sammanhang innebär automatiserad AI-stödd ansiktsigenkänning i realtid. Detsamma gäller ökad användning av automatisk avläsning av registreringsskyltar och direktåtkomst till trafikkameror.

• Utökad datalagring

En utredning föreslår att lagringen av metadata om alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. skall utökas till att även omfatta meddelandetjänster online.

Detta gäller även sådana meddelandetjänster som använder totalsträckskryptering (E2EE). Vilket i så fall kräver ett förbud mot end-to-end-encrytion eller spionprogram i apparna eller på telefonen / datorn (som med hemlig dataavläsning ovan).

Här skall påpekas att EU-domstolen redan 2014 upphävde EU:s datalagringsdirektiv med hänvisning till att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Enkelt uttryckt fastslog domstolen principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Trots detta fortsätter datalagringen i Sverige och många andra medlemsstater. Vilket EU-kommissionen inte visat några tecken på att ta tag i.

Och så här fortsätter det…

Existerande övervakning utökas ständigt vad gäller syfte och metod. Och nya former av övervakning tillkommer. Vilket står i konflikt med vad de mänskliga rättigheterna har att säga om rätten till privatliv:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Syftet med våra grundläggande mänskliga fri- och rättigheter är att skydda individen mot överheten. Därför skall de inte kompromissas bort eller kringgås.

Det finns inga tecken på att någon tänker stanna upp för att skaffa sig en helhetsbild av den svenska övervakningsstaten. Politikerna är inte ens intresserade av att utvärdera om den övervakning vi redan har är ändamålsenlig och fyller sitt syfte.

Därtill kan man lägga andra förslag som inte direkt handlar om övervakning men som ändå är högst problematiska i en demokratisk rättsstat. Till exempel anonyma vittnen.

Allt detta är sådant som kan användas av en framtida auktoritär regim för att kontrollera och förtrycka folket. Flera regeringar i EU har redan blivit påkomna med att ha planterat spionprogram i oppositionens och journalisters telefoner.

Det behövs inte ens ont uppsåt. Det räcker med dumhet, inkompetens, girighet, missriktad välvilja eller en dålig dag på jobbet för att olika övervakningsverktyg skall kunna användas på ett sätt som är förödande för den enskilde.

Naturligtvis krävs krafttag mot kriminella som kränker andras frihet, säkerhet och egendom. Men det måste gå att göra utan att upphäva de principer som är grundpelare för vår demokratiska rättsstat.

Chat Control 2: Ministerrådet trampar vatten

av

I sitt försök att driva igenom EU-kommissionens förslag om obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden – Chat Control 2 – har ministerrådets belgiska ordförandeskap bara skapat mer förvirring.

Bland annat vill man att meddelande-operatörerna på något magiskt sätt skall sålla ut misstänkta användare och misstänkta meddelanden – utan att själva känna till eller registrera desamma. Detta skall sedan användas för en riskbedömning som kan ligga till grund för ytterligare kontroll.

Hur detta är tänkt att gå till är oklart. Det enda ordförandeskapet har att säga är att lösningen skall vara teknikneutral och framtidssäker.

Ministerrådets rättstjänst konstaterar att detta ändå inte löser problemet med att man måste skanna alla meddelanden i ruta ett. Vilket strider mot rätten till privatliv och privat kommunikation.

Man vill även kontrollera totalsträckskrypterade (E2EE) meddelanden. Det är även här oklart hur.

Ett förslag är ”bakdörrar”, vilka skulle göra all krypterad kommunikation osäker. Ett annat förslag är ”client side scanning” med vilket spionprogram installeras i meddelande-apparna eller direkt i användarnas telefoner – för att läsa meddelanden innan de krypterats och sänts respektive efter att de tagits emot och av-krypterats. I ministerrådet finns såväl anhängare som starka motståndare till en sådan lösning.

Den svenska regeringen välkomnar ordförandeskapets förslag, men fruktar att det kan komma att leda till en stor administrativ börda för operatörerna.

Det belgiska ordförandeskapets taktik tycks dels vara att hålla kommissionens ursprungliga förslag levande – dels att hitta en kompromiss som inte samlar en blockerande minoritet i rådet. Detta även om ett sådant förslag blir obegripligt och/eller oförenligt med grundläggande mänskliga rättigheter.

• Länk: EU-Staaten weiter uneins über Chatkontrolle »

Detta är Chat Control 2: EU-kommissionen vill att dagens frivilliga skanning av användares elektroniska meddelanden skall bli obligatorisk. Detta gäller även totalsträckskrypterade (E2EE) meddelanden. AI skall granska vad som skrivs, sägs samt bilder, videos och bifogade filer för att utreda om du sprider material med övergrepp på barn eller har otillbörlig kontakt med minderåriga. En 17-årsgräns skall införas för meddelande-appar. Europaparlamentet, ministerrådets och EU-kommissionens rättstjänst säger nej till förslaget, då det bryter mot rätten till privatliv och privat korrespondens (som är en grundläggande mänsklig rättighet).

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control 2 – en lägesrapport

av

Inför EU-valrörelsen: Här är statusen på Chat Control 2. Vilka partier kommer att försvara rätten till privat elektronisk korrespondens och totalsträckskryptering?

Chat Control 1 är den gällande lagstiftningen. Den tillåter sociala media, meddelandetjänster m.fl. att titta i användarnas meddelanden för att hitta barnporr. Det har de alltid gjort. Och CC1 är det undantag i de europeiska datasklyddsreglerna som gör detta möjligt i EU.

Visserligen är det problematiskt att Big Data snokar i folks privata meddelanden – men så länge de är öppna med det och det sker i samförstånd med användaren (i användarvillkoren) kan de komma undan med det.

Chat Control 2 handlar om att göra ovanstående frivilliga kontroll av innehållet i användarnas meddelanden (text, tal, bild och video) obligatorisk. Inklusive totalsträckskrypterad (E2EE) kommunikation.

Samt att kontrollera vad folk har på sina molntjänster. Och en 17-årsgräns för sociala media.

Därtill vill man använda AI för att analysera alla bilder och elektroniska konversationer. Detta dels för att hitta tidigare okänt olagligt material (vilket innebär att alla dina bilder och bilagor måste bedömas av socialt inkompetenta maskiner). Dels för att analysera vad du skriver och säger, i syfte att att kontrollera att du inte är en ful gubbe.

Detta är en kränkning av den grundläggande mänskliga rättigheten till privatliv och privat korrespondens. Det är dessutom ett verktyg som med ett klubbslag kan användas för kontroll och förtryck av folket. Övervakningslagar utvidgas alltid vad gäller syfte och omfattning.

Europakonventionen om de mänskliga rättigheterna säger i artikel 8:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

EU-stadgan uttrycker sig snarlikt:

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

Och EU-domstolen har slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Chat Control 2 har således stött på patrull. Därför har Chat Control 1 förlängts fram till våren 2026.

Europaparlamentet säger nej till alla CC2:s bärande delar. Kränkningen av de mänskliga rättigheterna blev för flagrant. Dessutom försvarar parlamentet rätten till totalsträckskrypterad kommunikation.

Här kan nämnas att Europadomstolen (ej att förväxla med EU-domstolen) under tiden slagit fast att totalsträckskrypterad kommunikation är en mänsklig rättighet. I Tyskland föreslår regeringen att det skall bli obligatoriskt för meddelandetjänster att erbjuda totalsträckskryptreing.

I EU:s ministerråd puttrar CC2 på sparlåga. Man står i stort sett fast vid kommissionens ursprungliga förslag. Det belgiska ordförandeskapet försöker envist hålla liv i frågan. Vilket nog mest kan förklaras med att många i rådet ser CC2 som ett sätt att komma åt krypterad kommunikation.

Så länge parlamentet och rådet står så här långt ifrån varandra lär det inte bli fråga om några trilogförhandlingar (mellan parlamentet, rådet och kommissionen). Snarare rinner frågan över till nästa mandatperiod, efter sommarens EU-val.

Våren 2026 upphör förlängningen av CC1 att gälla. Då skall något annat finnas på plats. Det kan vara en sönderförhandlad CC2. Eller en helt ny CC3. Detta kommer att bli en av de första uppgifterna för den nya EU-kommissionen och det nyvalda Europaparlmentet.

Vilket gör Chat Control till en valfråga i EU-valet 2024. Vilka partier kommer att försvara rätten till privat elektronisk korrespondens och totalsträckskryptering?

Detta gäller inte bara i Europaparlamentet. Flera partier tycks ha en inställning i riksdag och regering (ministerrådet) och en annan i parlamentet. Här spelar riksdagens EU-nämnd en central roll, då regeringen måste samråda med den inför ministerrådets möten.

Notera: Denna bloggpost finns även som blogcast på Youtube och Soundcloud »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control: Det är totalsträckskryptering Ylva Johansson vill komma åt

av

Chat Control 2 har kört fast. Men EU:s ministerråd och EU-kommissionär Ylva Johansson vill inte ge upp tanken på att komma åt totalsträckskrypterade (E2EE) meddelanden.

I början av veckan höll EU:s inrikes- och justitieministrar möte i Bryssel. En av punkterna på ministerrådets agenda var Chat Control. (Video »)

Chat Control 1 (frivillig skanning av innehållet i medborgarnas meddelanden) förlängs, då Chat Control 2 (obligatorisk skanning samt AI-analys) kört fast i Europaparlamentet.

Det belgiska ordförandeskapet meddelade att man ändå har ambitionen att få till stånd ett beslut i ministerrådet om CC2 innan sommaren (då Ungern tar över ordförandeklubban).

Som vi rapporterade förra veckan fortsätter diskussionen och det belgiska ordförandeskapet har skickat upp några olika testballonger.

Bland annat vill man ha medlemsstaternas feedback på ett nytt sätt att göra riskbedömningar för olika meddelandetjänster (m.m.). Syftet med detta tycks vara att inte släppa frågan om tillgång till totalsträckskrypterade / end-to-end-krypterade (E2EE) meddelanden:

»Do you agree to include high-risk services using E2EE in the scope of standard detection orders, under the condition that a detection order should not create any obligation that would require a provider to create access to end-to-end encrypted data and that the technologies used for detection are vetted with regard to their effectiveness, their impact on fundamental rights and risks to cyber security?«

Vilket känns som en konstig fråga. Så här, ungefär: Skall CC2 omfatta E2EE under förutsättning att man inte kan tvinga operatörerna att bereda sig tillgång till E2E-krypterade meddelanden?

Det hela känns genomskinligt. Till att börja med är detta en uppenbar fint för att bryta ner en eventuell blockerande minoritet i ministerrådet. Att mjuka upp en text för att få igenom den och därefter strama upp den igen är ett klassiskt knep i EU:s maktspel.

Vidare handlar det om att vissa medlemsstater väldigt gärna vill komma åt E2E-krypterade meddelanden. Lyssnar man till vad inrikeskommisionär Ylva Johansson hade att säga på ministerådsmötet är det uppenbart att detta är synkat med EU-kommissionen (och Europol).

Enligt Johansson är E2EE nu det stora nya hotet mot barnen. (Nyss var det Darknet.)

Det är i sammanhanget väl känt att kommissionen och dess »högnivågrupp« arbetar intensivt med frågan om hur myndigheterna skall kunna bereda sig tillgång till E2E-krypterade meddelanden. Uppenbarligen hoppas man fortfarande att CC2 skall vara verktyget som gör detta möjligt.

Motståndet utgörs främst av Europaparlamentet som satt ner foten och sagt nej till så gott som allt av substans i CC2. Nu gäller det att det nya Europaparlament som väljs i sommar håller fast vid detta. Så länge parlamentet har tydliga röda linjer blir det svårt att finna en kompromiss i trilogförhandlingar med ministerrådet och kommissionen.

Dessutom har Europadomstolen slagit fast att rätten till E2EE är en mänsklig rättighet. Och Tyskland vill göra rätten till E2EE obligatorisk.

Dramat fortsätter. Men än så länge står CC2 och stampar på samma fläck, även om ministerrådet försöker trixa. Vi håller ett öga på detta, men just nu finns det ingen anledning till panik. Sannolikt kommer frågan att rinna över till nästa mandatperiod, efter sommarens EU-val.

Nästa möte med EU:s inrikes- och justitieministrar (RIF-rådet) hålls i Luxemburg den 13-14 juni. Om man inte gör någon fuling (som att fatta beslut om CC2 som en A-punkt* på något annat ministerrådsmöte) lär inga formella beslut fattas innan dess. Dock kommer frågan säkert att knådas bland tjänstemännen i Coreper.

(*En A-punkt är när tjänstemännen i Coreper förbereder ett ärende som sedan klubbas utan debatt på ett ministerrådsmöte utan debatt. Och då behöver det inte nödvändigtvis vara det relevanta ministerrådet. Till exempel smusslades IPRED-lagen igenom i tysthet på ett möte med rådet för fiskerifrågor.)

Relaterat:
• EU:s ministerråd ger Chat Control 2 konstgjord andning »
• Chatkontrolle: Der Rat will es nochmal versuchen »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Tyskland vill göra rätten till totalsträckskryptering obligatorisk

av

Samtidigt som EU vill urholka rätten till säker krypterad elektronisk kommunikation vill den tyska regeringen göra den obligatorisk.

Det tyska departementet för transport och digitala frågor har nu tagit första steget mot att göra rätten till totalsträckskryptering / end-to-end-kryptering (E2EE) obligatorisk. Detta är en fråga som regleras i den tyska regeringens koalitionsfördrag, men som dragit ut på tiden.

Vad är det då som skall bli obligatoriskt? Det tycks inte handla om något generellt absolut krav på kryptering av allt. Däremot måste alla meddelande- och molntjänster erbjuda möjligheten till E2EE. Detta skall gälla överallt där det är tekniskt möjligt.

Vilket är ett stort steg i rätt riktning, även om man kan tycka att E2EE borde vara standard för alla elektroniska kommunikationer.

En intressant aspekt är att en av EU:s tyngsta aktörer nu är på väg att göra rätten till totalsträckskrypterad kommunikation till lag. Vilket går på tvärs mot vad andra länder i EU:s ministerråd vill. Till exempel vill Spanien helt förbjuda E2EE.

Samtidigt har EU en »högnivågrupp« som arbetar med frågan om hur man skall kunna kringgå kryptering och bereda sig tillgång till all elektronisk kommunikation.

Detta skall bli intressant att följa.

• Recht auf Verschlüsselung geplant »

Relaterat: Going dark – EU:s krig mot krypterad kommunikation »

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »

Nu förlängs Chat Control 1 – i väntan på Chat Control 3

av

Tro inte att striden om Chat Control är över. Ett nytt förslag om vad som skall ersätta Chat Control 1 kommer under nästa EU-mandatperiod.

Med starka argument om grundläggande mänskliga rättigheter lyckades vi stoppa Chat Control 2 i Europaparlamentet.

CC2 skulle göra granskning av medborgarns elektroniska meddelanden obligatorisk och föreskrev även att AI skulle granska allt som skrivs, sägs och sänds för att identifiera olagligt innehåll.

För att operatörer och plattformar frivilligt skall kunna fortsätta granska sina användares meddelanden i jakt på innehåll med sexuella övergrepp mot barn förlängs nu Chat Control 1, som i sin ursprungliga form går ut i sommar.

Egentligen är detta också problematiskt. Brevhemligheten är en grundläggande mänsklig rättighet som även bör gälla online. Och alla offentliga postningar kan plattformarna granska utan att det krävs någon lag alls.

Men nu är det som det är och CC1 är mindre dålig än CC2.

Just nu behandlas frågan i Europaparlamentets LIBE-utskott, där förslaget är att CC1 skall förlängas med ett år. Kommissionen vill ha en förlängning med två år och rådet med tre.

Hur som helst måste vi förbereda oss för Chat Control 3, som kommer att komma när en ny kommission tillträder efter sommarens EU-val.

Vi vet inte hur CC3 kommer att se ut mer än att man kommer att föreslå en fortsatt granskning av innehållet i folks elektroniska meddelanden. En central fråga är om det kommer att bli frivilligt eller obligatoriskt.

Vidare kan man anta att AI-analys av innehållet i våra kommunikationer knappast återkommer i CC3, i vart fall inte i sin tidigare form. Kritiken var för hård. Men vad som helt kan hända.

Den stora striden lär stå om rätten till krypterad kommunikation. Kanske i CC3, kanske i någon annan dossier. Men att frågan blir aktuell under nästa EU-mandatperiod är rätt uppenbart.

Samtidigt kör EU:s medlemsstater egna race för att kringgå krypterad kommunikation. Till exempel föreslår en svensk statlig utredning att meddelandetjänster på begäran skall tvingas överlämna innehåll i användarnas meddelanden till myndigheterna i »läsbar form«.

Uppdatering: Nu har Europaparlamentets LIBE-utskott röstat för ett års förlängning av Chat Control 1.

• European Parliament to extend voluntary chat control with some modifications »
• New chat control gate leak: Intelligence-industrial network suggests undermining encryption for other purposes than CSAM »

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

EU, rätten till privatliv och yttrandefriheten

av

Sommarens EU-val kommer att vara viktigt för våra mänskliga rättigheter online. Speciellt rätten till privatliv och yttrandefriheten.

EU-politiken lär bli extra intressant nästa mandatperiod, 2024-29.

Lagstiftning i EU initieras av EU-kommissionen. Det sker som regel i så god till att ministerrådet och Europaparlamentet skall hinna klubba de nya direktiven och förordningarna innan mandatperiodens slut.

Efter EU-valet nästa sommar börjar sedan allt om på nytt – med nya lagar som bygger vidare på de gamla i något slags ständig expansion.

Mandatperiod efter mandatperiod har politiken ökat sin makt över internet, nu senast med sin Digital Services Act, DSA (Förordningen om digitala tjänster.)

Denna utveckling kommer att fortsätta under nästa legislatur.

Inte sällan står sådana förslag i strid med de grundläggande mänskliga rättigheterna. Framförallt är det två av dessa rättigheter som är viktiga vad gäller internet.

1: Rätten till privatliv och privat korrespondens

EU:s rättighetsstadga och Europadeklarationen om de mänskliga rättigheterna säger…

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

FN:s deklaration om de mänskliga rättigheterna har en snarlik formulering…

»Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens…«

Hur viktig och laddad denna princip är såg vi under de senaste årens strid om Chat Control 2 – som var tänkt att leda till svepande granskning av medborgarnas elektroniska meddelanden, utan misstanke om brott.

Det var denna grundläggande mänskliga rättighet som slutligen tvingade de folkvalda i Europaparlamentet att i praktiken döda förslaget. All uppmärksamhet gjorde att den inte gick att runda.

Men tro inte annat än att Chat Control kommer att komma tillbaka i ny tappning under nästa mandatperiod.

Att försvara medborgarnas rätt till privatliv är en ständigt pågående dragkamp i EU.

Den rimliga principen är: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

2: Yttrandefriheten

EU:s rättighetsstadga och Europarådet formulerar denna mänskliga rättighet så här…

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

FN säger samma sak fast åter med vissa smärre språkliga skillnader.

Här kan det komma att blåsa upp till storm under nästa EU-mandatperiod.

EU:s nya Digital Services Act öppnar för inskränkningar i yttrandefriheten. Och det saknas inte krafter som vill begränsa det fria ordet.

EU:s politiker försöker ständigt finna sätt att komma åt yttranden på nätet som de ogillar, men som inte är olagliga.

DSA:s nya statligt godkända nätcensorer (trusted flaggers / betrodda anmälare) balanserar farligt nära den röda linjen. De kommer att få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

Ett annat problem är DSA:s möjlighet för myndigheter i ett land att beordra nedtagning av innehåll på servrar i ett annat land – även om innehållet inte är olagligt i det senare landet.

Ovanstående är bara två exempel på hur DSA rimmar illa med yttrandefriheten som den formulerats i de olika fördragen om mänskliga rättigheter.

Detta är viktigt när EU-kommissionen och medlemsstarterna försöker utnyttja de verktyg för att begränsa det fria ordet som DSA ger.

Här måste Europaparlamentet vara en vakthund som ser till att yttrandefrihetens princip upprätthålls.

Sedan kommer helt nya förslag som hotar ett fritt och öppet internet. Det är en ständigt pågående process. Till exempel lär frågan om krypterad kommunikation bli het.

Slaget om mänskliga rättigheter online kommer att stå under den tionde EU-legislaturen – med fokus på rätten till privatliv och yttrandefriheten.