Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Chat Control 2: På onsdag kan riksdagens EU-nämnd avgöra om det skall bli förbjudet att dela länkar

av

På onsdag kan riksdagens EU-nämnd bestämma Sveriges position om Chat Control 2 inför EU:s ministerråd. Senaste förslaget omfattar bland annat förbud mot att dela länkar om man inte frivilligt underkastar sig AI-granskning av de meddelanden man sänder.

Nu på onsdag (5/6) sammanträder riksdagens EU-nämnd. Punkt nummer två är att justitieminister Strömmer rapporterar av vad som hände på förra mötet i ministerrådet för rättsliga och inrikes frågor. Samt: Information och samråd inför möte i rådet den 13–14 juni 2024.

Och där, i ministerrådet skall man diskutera det belgiska ordförandeskapets senaste förslag om Chat Control 2 – som är tokigt på helt nya sätt.

Det är alltså på EU-nämndens möte onsdag den 5 juni kl 10 som Sveriges position om Chat Control 2 bör fastställas inför rådsmötet.

Redan idag måndag har medlemsstaternas tjänstemän förhandlat om saken. De har inget nytt sammanträde inplanerat förrän i samband med ovan nämnda rådsmöte (14/6). Vad de kommit fram till lär sippra ut de närmaste dagarna.

För att friska upp vårt minne: Chat Control 2 är EU-kommissionär Ylva Johanssons förslag om att låta AI granska innehållet i våra elektroniska meddelanden i syfte att bekämpa sexuella övergrepp mot barn. Det utgående Europaparlamentet blockerar i unikt stor enighet förslagets bärande delar. I ministerrådet råder oenighet och inget beslut har kunnat fattas.

Det förslag som det belgiska ordförandeskapet nu lägger fram (205 sidor) finns även i populärformat, som en PDF. Vad säger då den?

  • Meddelandetjänster som erbjuder totalsträckskrypterad (E2EE) kommunikation skall placeras i högsta riskkategorin.
  • Röstsamtal och textmeddelanden undantas från Chat Control 2.
  • Skanning efter innehåll med övergrepp på barn skall begränsas till foton och video.
  • Genom att spionera i våra telefoner och datorer skall de meddelandeappar vi använder analysera de bilder, videos och länkar (!) vi sänder innan de krypteras och sänds. För att sedan rapportera in till EU Center om de hittar något misstänkt.
  • Om användare vill kunna sända bilder, video och länkar (!) måste de lämna medgivande till att innehållet i deras meddelanden skannas enligt ovan. Vilket inkluderar att ge appen tillgång till lagrad data och kamera.

Enkelt uttryckt: Enda sättet att undvika client-side-scanning och behålla rätten att sända totalsträckskrypterade meddelanden är att avstå från att dela bilder, video och länkar. (Om ens då.)

Jag anar tekniska och praktiska luckor i resonemanget. Inte minst när man nu blandar in länkar i förslaget. Man kan inte utgå från att ordförandeskapet begriper vad det sysslar med.

På detta sätt anser sig dock belgarna kunna påstå att förslaget respekterar rätten till totalsträckskryptering. Man kontrollerar – efter påtvingat samtycke – innehållet innan det krypteras.

Och att sända bilder, video och länkar (!) är ingen mänsklig rättighet. Eller..?

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Så står det i både Europakonventionen om de mänskliga rättigheterna som i EU-stadgan. Det påpekas även att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Ministerrådets egen rättstjänst påpekar därför att inte heller detta förslag är förenligt med de grundläggande mänskliga rättigheterna. Men det tycks många av medlemsstaternas regeringar inte bry sig om. De kör på ändå.

Än så länge har det funnits en blockerande minoritet mot Chat Control 2 i ministerrådet. En sådan måste bestå av minst fyra länder som tillsammans omfattar över 35 procent av EU:s befolkning. Just nu spekuleras i om Frankrike kommer att byta sida på nästa möte. I så fall finns det inte någon blockerande minoritet längre. Allt är ohyggligt spännande.

Det är mot bakgrund av detta som onsdagens möte i riksdagens EU-nämnd är extra intressant. Där kan den svenska linjen om ordförandeskapets senaste förslag slås fast.

Sossarna är genomgående för Chat Control 2. M+KD+L säger nej i Europaparlamentet – men fortsätter att driva på för CC2 i ministerrådet. SD säger nej i Europaparlamentet men säger samtidigt så lite som möjligt som riksdagsparti. C+V+MP säger nej till CC2 rakt över.

Skall det bli förbjudet att dela länkar om man inte underkastar sig »frivillig« granskning av de meddelanden man sänder? Frågan kan avgöras på onsdag.

Fyra dagar senare är det EU-val.

Uppdatering: Från ledamöter i riksdagens EU-nämnd får vi höra att regeringen valt att än så länge aldrig inhämta något mandat från nämnden och att man inte avser göra det på onsdag heller. Vilket är anmärkningsvärt, då processen pågår och alla medlemsstater gör inspel för att påverka resultatet. Det är som om EU-nämnden inte vill ta i frågan om Chat Control 2. Kanske på grund av att vissa partier vill ligga lågt med att de tycker olika i riksdag / regering / ministerrådet respektive Europaparlamentet.

Länkar:
• Audio communications excluded in latest draft of child sexual abuse material law »
• Be scanned – or get banned! »
• Majority for chat control possible – Users who refuse scanning to be prevented from sharing photos and links »
• Frankreich entscheidet über Zukunft der Chatkontrolle »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

EU-valet och internets framtid

av

Här är fyra frågor som borde vara aktuella i EU-valet: Chat Control 2, rätten till krypterad kommunikation, EU:s nya hat-förbud och ett nytt datalagringsdirektiv.

• Chat Control 2

EU-kommissionär Ylva Johanssons förslag om att låta AI granska innehållet i medborgarnas elektroniska meddelanden och konversationer – Chat Control 2 – står still.

Ministerrådet kan inte komma överens om någon gemensam kompromiss och Europaparlamentet har sagt nej till alla centrala delar i CC2.

Parlamentets beslut fattades i en unik bred enighet över partigrupperna, med hänvisning till att CC2 strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

På köpet hoppas parlamentet ha gjort sig av med en besvärlig fråga i EU-valrörelsen.

Inte desto mindre måste ett slutligt beslut om CC2 fattas under våren 2026, under nästa EU-mandatperiod. Och kommissionen och ministerrådet biter sig fortfarande fast vid det ursprungliga förslaget.

Socialdemokraterna tycks i huvudsak vara för CC2, även om de tillsammans med sin partigrupp i parlamentet står bakom parlamentets nej (tills vidare). Regeringspartierna är för CC2 i modifierad form, men står även de bakom Europaparlamentets nej.

Man kan ana en viss kognitiv dissonans. Det är uppenbart att man försöker vinna tid och ducka frågan om CC2 till efter EU-valrörelsen.

• »Going dark«

På initiativ av det tidigare svenska EU-ordförandeskapet har EU-kommissionen satt upp en ljusskygg »high level group« för att försöka bereda sig tillgång till totalsträckskrypterad (end-to-end-krypterad, E2EE) kommunikation.

(Från början var det en »high level expert group«, men ordet »expert« togs bort då expertgrupper enligt reglerna har större krav på öppenhet och transparens.)

Detta är en fråga där hela vår IT-säkerhet sätts på spel genom krav på bakdörrar till krypterad kommunikation. Här är både politiken och ordningsmakten pådrivande.

Denna ambition kolliderar dels med Europadomstolens beslut om att kryptering är en del av rätten till privat kommunikation, som är en grundläggande mänsklig rättighet. Dels mot EU-domstolens principiella beslut om att man får övervaka personer som misstänks för brott – men inte alla andra, hela tiden.

I sammanhanget kan noteras att det redan finns verktyg som hemlig dataavläsning för att övervaka personer som misstänks för brott. Vilket då sker med spionprogram på den misstänktes telefon och/eller dator.

Var Going Dark-projektet kommer att landa är oklart. Men det är uppenbart att Europaparlamentet har en viktig kontrolluppgift, så att projektet inte går bortom vad som kan accepteras i en demokratisk rättsstat och inom ramen för de mänskliga rättigheterna.

Europaparlamentet är rent av den enda institution som kan bedriva sådan tillsyn. Så det gäller att välja ledamöter som förstår och intresserar sig för frågan.

• EU:s nya hat-förbud

Under mandatperioden kommer EU att utöka katalogen över »EU-brott« med hat och hot. Andra exempel på EU-brott är terrorism och vapensmuggling.

För att göra detta måste EU:s institutioner komma fram till en definition av brottet och ett minimistraff. I en resolution som nyligen antogs ger Europaparlamentet kommissionen fria tyglar att definiera nästan vad som helst som hat. Detta kan bli helt tokigt.

M+KD+L+C+S+MP+V röstade för resolutionen. De bör avkrävas svar på vilka yttranden de vill förbjuda. Före valet.

Lagstiftningsprocessen kommer att äga rum under den kommande EU-mandatperioden.

• Datalagring

2014 upphävde EU-domstolen EU:s datalagringsdirektiv, för att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Datalagring innebär lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar och mobilpositioner.

Det var i samband med detta beslut som EU-domstolen etablerade principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Många medlemsstater (däribland Sverige) har med olika krumbukter och trots EU-domstolens protester fortsatt sin datalagring ändå. Nyligen föreslog en svensk utredning att den skall utökas. (Vårt remissyttrande.)

Både EU-kommissionen och ministerrådet är inne på att det behövs ett nytt datalagringsdirektiv som rundar domstolens principbeslut. Även detta är en process som kommer att hanteras under den kommande mandatperioden.

Glöm inte fråga dina EU-kandidater vad de tycker i frågorna ovan.

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Hur mycket övervakning tål den svenska demokratiska rättsstaten?

av

Övervakningsstaten expanderar snabbt mot en punkt där den blir ett demokratiskt problem. Och regeringen ökar takten.

Det går alltid att finna skäl för mer övervakning. Frågan är dock hur omfattande övervakningsstaten kan bli innan våra medborgerliga rättigheter och vår demokratiska rättsstat hotas.

Det är också värt att komma ihåg att övervakning inte bara handlar om gängkriminalitet, terrorism och andra hot mot vårt samhälle. Storebrorsstaten kan – och kommer – även att drabba vanligt, hederligt folk.

Redan innan Tidö-regeringen var användningen av hemliga tvångsmedel omfattande i Sverige. Men de senaste åren har tempot i lagstiftningsarbetet ökat markant. Här är några exempel på beslut som redan fattats eller är på gång:

• Utökad möjlighet att använda hemliga tvångsmedel

Utvidgning av syfte och metod för en redan omfattande polisiär användning av avlyssning och övervakning.

Man utreder även frågan om ökad användning av hemliga tvångsmedel mot barn och unga.

• Preventiva tvångsmedel

Detta är lagstiftning som tillåter övervakning utan konkret misstanke om brott. Vilket i sig är ett brott mot rättsstatens grundläggande principer.

Nyckelordet i sammanhanget är »konkret«. Regeringen kommer undan med att det ändå i någon mening kan finnas en misstanke om pågående eller framtida brottslig verksamhet.

Med detta balanserar man verkligen på gränsen för vad som är acceptabelt med hänvisning till vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Människor som inte misstänks för brott skall inte övervakas.

• Utökade möjligheter att använda preventiva tvångsmedel

Regeringen har just presenterat en utökning av lagen ovan till att även omfatta mindre allvarlig brottslighet. Tröskeln sätts vid brott som kan antas ge minst tre månaders fängelse.

Idag leder endast tre av tio fall av övervakning till åtal. Vilket antyder att problemet mer handlar om övervakningens kvalitet än dess kvantitet. Här är risken uppenbar att fler oskyldiga kommer att drabbas.

• Lagen om hemlig dataavläsning blir permanent

Hemlig dataavläsning handlar om att installera spionprogram i telefoner, datorer m.m. Enheten kan då användas för avlyssning och kontroll av allt som sker och finns på densamma.

Ett allvarligt problem är att användning av sådana spionprogram bygger på säkerhetsbrister i den programvara, de operativsystem och den IT-infrastruktur som vi alla använder.

För att hemlig dataavläsning skall kunna ske måste dessa säkerhetshål lämnas öppna (istället för att rapporteras in och åtgärdas). Detta öppnar även dörren för nätbedragare, hackare, främmande makt med flera. På så sätt blir vi alla mer sårbara online.

Dessutom lider hemlig dataavläsning av problemet att även oskyldiga människor i den övervakades omgivning kommer att drabbas.

• Mer kameraövervakning

Regeringen vill höja målet för antalet bevakningskameror från 1.600 till 2.400. Dessutom vill man göra det enklare för kommuner och regioner att använda kameraövervakning.

Samtidigt utreds ökad användning av biometri, vilket i detta sammanhang innebär automatiserad AI-stödd ansiktsigenkänning i realtid. Detsamma gäller ökad användning av automatisk avläsning av registreringsskyltar och direktåtkomst till trafikkameror.

• Utökad datalagring

En utredning föreslår att lagringen av metadata om alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. skall utökas till att även omfatta meddelandetjänster online.

Detta gäller även sådana meddelandetjänster som använder totalsträckskryptering (E2EE). Vilket i så fall kräver ett förbud mot end-to-end-encrytion eller spionprogram i apparna eller på telefonen / datorn (som med hemlig dataavläsning ovan).

Här skall påpekas att EU-domstolen redan 2014 upphävde EU:s datalagringsdirektiv med hänvisning till att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Enkelt uttryckt fastslog domstolen principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Trots detta fortsätter datalagringen i Sverige och många andra medlemsstater. Vilket EU-kommissionen inte visat några tecken på att ta tag i.

Och så här fortsätter det…

Existerande övervakning utökas ständigt vad gäller syfte och metod. Och nya former av övervakning tillkommer. Vilket står i konflikt med vad de mänskliga rättigheterna har att säga om rätten till privatliv:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Syftet med våra grundläggande mänskliga fri- och rättigheter är att skydda individen mot överheten. Därför skall de inte kompromissas bort eller kringgås.

Det finns inga tecken på att någon tänker stanna upp för att skaffa sig en helhetsbild av den svenska övervakningsstaten. Politikerna är inte ens intresserade av att utvärdera om den övervakning vi redan har är ändamålsenlig och fyller sitt syfte.

Därtill kan man lägga andra förslag som inte direkt handlar om övervakning men som ändå är högst problematiska i en demokratisk rättsstat. Till exempel anonyma vittnen.

Allt detta är sådant som kan användas av en framtida auktoritär regim för att kontrollera och förtrycka folket. Flera regeringar i EU har redan blivit påkomna med att ha planterat spionprogram i oppositionens och journalisters telefoner.

Det behövs inte ens ont uppsåt. Det räcker med dumhet, inkompetens, girighet, missriktad välvilja eller en dålig dag på jobbet för att olika övervakningsverktyg skall kunna användas på ett sätt som är förödande för den enskilde.

Naturligtvis krävs krafttag mot kriminella som kränker andras frihet, säkerhet och egendom. Men det måste gå att göra utan att upphäva de principer som är grundpelare för vår demokratiska rättsstat.

Chat Control 2: Ministerrådet trampar vatten

av

I sitt försök att driva igenom EU-kommissionens förslag om obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden – Chat Control 2 – har ministerrådets belgiska ordförandeskap bara skapat mer förvirring.

Bland annat vill man att meddelande-operatörerna på något magiskt sätt skall sålla ut misstänkta användare och misstänkta meddelanden – utan att själva känna till eller registrera desamma. Detta skall sedan användas för en riskbedömning som kan ligga till grund för ytterligare kontroll.

Hur detta är tänkt att gå till är oklart. Det enda ordförandeskapet har att säga är att lösningen skall vara teknikneutral och framtidssäker.

Ministerrådets rättstjänst konstaterar att detta ändå inte löser problemet med att man måste skanna alla meddelanden i ruta ett. Vilket strider mot rätten till privatliv och privat kommunikation.

Man vill även kontrollera totalsträckskrypterade (E2EE) meddelanden. Det är även här oklart hur.

Ett förslag är ”bakdörrar”, vilka skulle göra all krypterad kommunikation osäker. Ett annat förslag är ”client side scanning” med vilket spionprogram installeras i meddelande-apparna eller direkt i användarnas telefoner – för att läsa meddelanden innan de krypterats och sänts respektive efter att de tagits emot och av-krypterats. I ministerrådet finns såväl anhängare som starka motståndare till en sådan lösning.

Den svenska regeringen välkomnar ordförandeskapets förslag, men fruktar att det kan komma att leda till en stor administrativ börda för operatörerna.

Det belgiska ordförandeskapets taktik tycks dels vara att hålla kommissionens ursprungliga förslag levande – dels att hitta en kompromiss som inte samlar en blockerande minoritet i rådet. Detta även om ett sådant förslag blir obegripligt och/eller oförenligt med grundläggande mänskliga rättigheter.

• Länk: EU-Staaten weiter uneins über Chatkontrolle »

Detta är Chat Control 2: EU-kommissionen vill att dagens frivilliga skanning av användares elektroniska meddelanden skall bli obligatorisk. Detta gäller även totalsträckskrypterade (E2EE) meddelanden. AI skall granska vad som skrivs, sägs samt bilder, videos och bifogade filer för att utreda om du sprider material med övergrepp på barn eller har otillbörlig kontakt med minderåriga. En 17-årsgräns skall införas för meddelande-appar. Europaparlamentet, ministerrådets och EU-kommissionens rättstjänst säger nej till förslaget, då det bryter mot rätten till privatliv och privat korrespondens (som är en grundläggande mänsklig rättighet).

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control 2 – en lägesrapport

av

Inför EU-valrörelsen: Här är statusen på Chat Control 2. Vilka partier kommer att försvara rätten till privat elektronisk korrespondens och totalsträckskryptering?

Chat Control 1 är den gällande lagstiftningen. Den tillåter sociala media, meddelandetjänster m.fl. att titta i användarnas meddelanden för att hitta barnporr. Det har de alltid gjort. Och CC1 är det undantag i de europeiska datasklyddsreglerna som gör detta möjligt i EU.

Visserligen är det problematiskt att Big Data snokar i folks privata meddelanden – men så länge de är öppna med det och det sker i samförstånd med användaren (i användarvillkoren) kan de komma undan med det.

Chat Control 2 handlar om att göra ovanstående frivilliga kontroll av innehållet i användarnas meddelanden (text, tal, bild och video) obligatorisk. Inklusive totalsträckskrypterad (E2EE) kommunikation.

Samt att kontrollera vad folk har på sina molntjänster. Och en 17-årsgräns för sociala media.

Därtill vill man använda AI för att analysera alla bilder och elektroniska konversationer. Detta dels för att hitta tidigare okänt olagligt material (vilket innebär att alla dina bilder och bilagor måste bedömas av socialt inkompetenta maskiner). Dels för att analysera vad du skriver och säger, i syfte att att kontrollera att du inte är en ful gubbe.

Detta är en kränkning av den grundläggande mänskliga rättigheten till privatliv och privat korrespondens. Det är dessutom ett verktyg som med ett klubbslag kan användas för kontroll och förtryck av folket. Övervakningslagar utvidgas alltid vad gäller syfte och omfattning.

Europakonventionen om de mänskliga rättigheterna säger i artikel 8:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

EU-stadgan uttrycker sig snarlikt:

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

Och EU-domstolen har slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Chat Control 2 har således stött på patrull. Därför har Chat Control 1 förlängts fram till våren 2026.

Europaparlamentet säger nej till alla CC2:s bärande delar. Kränkningen av de mänskliga rättigheterna blev för flagrant. Dessutom försvarar parlamentet rätten till totalsträckskrypterad kommunikation.

Här kan nämnas att Europadomstolen (ej att förväxla med EU-domstolen) under tiden slagit fast att totalsträckskrypterad kommunikation är en mänsklig rättighet. I Tyskland föreslår regeringen att det skall bli obligatoriskt för meddelandetjänster att erbjuda totalsträckskryptreing.

I EU:s ministerråd puttrar CC2 på sparlåga. Man står i stort sett fast vid kommissionens ursprungliga förslag. Det belgiska ordförandeskapet försöker envist hålla liv i frågan. Vilket nog mest kan förklaras med att många i rådet ser CC2 som ett sätt att komma åt krypterad kommunikation.

Så länge parlamentet och rådet står så här långt ifrån varandra lär det inte bli fråga om några trilogförhandlingar (mellan parlamentet, rådet och kommissionen). Snarare rinner frågan över till nästa mandatperiod, efter sommarens EU-val.

Våren 2026 upphör förlängningen av CC1 att gälla. Då skall något annat finnas på plats. Det kan vara en sönderförhandlad CC2. Eller en helt ny CC3. Detta kommer att bli en av de första uppgifterna för den nya EU-kommissionen och det nyvalda Europaparlmentet.

Vilket gör Chat Control till en valfråga i EU-valet 2024. Vilka partier kommer att försvara rätten till privat elektronisk korrespondens och totalsträckskryptering?

Detta gäller inte bara i Europaparlamentet. Flera partier tycks ha en inställning i riksdag och regering (ministerrådet) och en annan i parlamentet. Här spelar riksdagens EU-nämnd en central roll, då regeringen måste samråda med den inför ministerrådets möten.

Notera: Denna bloggpost finns även som blogcast på Youtube och Soundcloud »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control: Det är totalsträckskryptering Ylva Johansson vill komma åt

av

Chat Control 2 har kört fast. Men EU:s ministerråd och EU-kommissionär Ylva Johansson vill inte ge upp tanken på att komma åt totalsträckskrypterade (E2EE) meddelanden.

I början av veckan höll EU:s inrikes- och justitieministrar möte i Bryssel. En av punkterna på ministerrådets agenda var Chat Control. (Video »)

Chat Control 1 (frivillig skanning av innehållet i medborgarnas meddelanden) förlängs, då Chat Control 2 (obligatorisk skanning samt AI-analys) kört fast i Europaparlamentet.

Det belgiska ordförandeskapet meddelade att man ändå har ambitionen att få till stånd ett beslut i ministerrådet om CC2 innan sommaren (då Ungern tar över ordförandeklubban).

Som vi rapporterade förra veckan fortsätter diskussionen och det belgiska ordförandeskapet har skickat upp några olika testballonger.

Bland annat vill man ha medlemsstaternas feedback på ett nytt sätt att göra riskbedömningar för olika meddelandetjänster (m.m.). Syftet med detta tycks vara att inte släppa frågan om tillgång till totalsträckskrypterade / end-to-end-krypterade (E2EE) meddelanden:

»Do you agree to include high-risk services using E2EE in the scope of standard detection orders, under the condition that a detection order should not create any obligation that would require a provider to create access to end-to-end encrypted data and that the technologies used for detection are vetted with regard to their effectiveness, their impact on fundamental rights and risks to cyber security?«

Vilket känns som en konstig fråga. Så här, ungefär: Skall CC2 omfatta E2EE under förutsättning att man inte kan tvinga operatörerna att bereda sig tillgång till E2E-krypterade meddelanden?

Det hela känns genomskinligt. Till att börja med är detta en uppenbar fint för att bryta ner en eventuell blockerande minoritet i ministerrådet. Att mjuka upp en text för att få igenom den och därefter strama upp den igen är ett klassiskt knep i EU:s maktspel.

Vidare handlar det om att vissa medlemsstater väldigt gärna vill komma åt E2E-krypterade meddelanden. Lyssnar man till vad inrikeskommisionär Ylva Johansson hade att säga på ministerådsmötet är det uppenbart att detta är synkat med EU-kommissionen (och Europol).

Enligt Johansson är E2EE nu det stora nya hotet mot barnen. (Nyss var det Darknet.)

Det är i sammanhanget väl känt att kommissionen och dess »högnivågrupp« arbetar intensivt med frågan om hur myndigheterna skall kunna bereda sig tillgång till E2E-krypterade meddelanden. Uppenbarligen hoppas man fortfarande att CC2 skall vara verktyget som gör detta möjligt.

Motståndet utgörs främst av Europaparlamentet som satt ner foten och sagt nej till så gott som allt av substans i CC2. Nu gäller det att det nya Europaparlament som väljs i sommar håller fast vid detta. Så länge parlamentet har tydliga röda linjer blir det svårt att finna en kompromiss i trilogförhandlingar med ministerrådet och kommissionen.

Dessutom har Europadomstolen slagit fast att rätten till E2EE är en mänsklig rättighet. Och Tyskland vill göra rätten till E2EE obligatorisk.

Dramat fortsätter. Men än så länge står CC2 och stampar på samma fläck, även om ministerrådet försöker trixa. Vi håller ett öga på detta, men just nu finns det ingen anledning till panik. Sannolikt kommer frågan att rinna över till nästa mandatperiod, efter sommarens EU-val.

Nästa möte med EU:s inrikes- och justitieministrar (RIF-rådet) hålls i Luxemburg den 13-14 juni. Om man inte gör någon fuling (som att fatta beslut om CC2 som en A-punkt* på något annat ministerrådsmöte) lär inga formella beslut fattas innan dess. Dock kommer frågan säkert att knådas bland tjänstemännen i Coreper.

(*En A-punkt är när tjänstemännen i Coreper förbereder ett ärende som sedan klubbas utan debatt på ett ministerrådsmöte utan debatt. Och då behöver det inte nödvändigtvis vara det relevanta ministerrådet. Till exempel smusslades IPRED-lagen igenom i tysthet på ett möte med rådet för fiskerifrågor.)

Relaterat:
• EU:s ministerråd ger Chat Control 2 konstgjord andning »
• Chatkontrolle: Der Rat will es nochmal versuchen »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Tyskland vill göra rätten till totalsträckskryptering obligatorisk

av

Samtidigt som EU vill urholka rätten till säker krypterad elektronisk kommunikation vill den tyska regeringen göra den obligatorisk.

Det tyska departementet för transport och digitala frågor har nu tagit första steget mot att göra rätten till totalsträckskryptering / end-to-end-kryptering (E2EE) obligatorisk. Detta är en fråga som regleras i den tyska regeringens koalitionsfördrag, men som dragit ut på tiden.

Vad är det då som skall bli obligatoriskt? Det tycks inte handla om något generellt absolut krav på kryptering av allt. Däremot måste alla meddelande- och molntjänster erbjuda möjligheten till E2EE. Detta skall gälla överallt där det är tekniskt möjligt.

Vilket är ett stort steg i rätt riktning, även om man kan tycka att E2EE borde vara standard för alla elektroniska kommunikationer.

En intressant aspekt är att en av EU:s tyngsta aktörer nu är på väg att göra rätten till totalsträckskrypterad kommunikation till lag. Vilket går på tvärs mot vad andra länder i EU:s ministerråd vill. Till exempel vill Spanien helt förbjuda E2EE.

Samtidigt har EU en »högnivågrupp« som arbetar med frågan om hur man skall kunna kringgå kryptering och bereda sig tillgång till all elektronisk kommunikation.

Detta skall bli intressant att följa.

• Recht auf Verschlüsselung geplant »

Relaterat: Going dark – EU:s krig mot krypterad kommunikation »

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »

Nu förlängs Chat Control 1 – i väntan på Chat Control 3

av

Tro inte att striden om Chat Control är över. Ett nytt förslag om vad som skall ersätta Chat Control 1 kommer under nästa EU-mandatperiod.

Med starka argument om grundläggande mänskliga rättigheter lyckades vi stoppa Chat Control 2 i Europaparlamentet.

CC2 skulle göra granskning av medborgarns elektroniska meddelanden obligatorisk och föreskrev även att AI skulle granska allt som skrivs, sägs och sänds för att identifiera olagligt innehåll.

För att operatörer och plattformar frivilligt skall kunna fortsätta granska sina användares meddelanden i jakt på innehåll med sexuella övergrepp mot barn förlängs nu Chat Control 1, som i sin ursprungliga form går ut i sommar.

Egentligen är detta också problematiskt. Brevhemligheten är en grundläggande mänsklig rättighet som även bör gälla online. Och alla offentliga postningar kan plattformarna granska utan att det krävs någon lag alls.

Men nu är det som det är och CC1 är mindre dålig än CC2.

Just nu behandlas frågan i Europaparlamentets LIBE-utskott, där förslaget är att CC1 skall förlängas med ett år. Kommissionen vill ha en förlängning med två år och rådet med tre.

Hur som helst måste vi förbereda oss för Chat Control 3, som kommer att komma när en ny kommission tillträder efter sommarens EU-val.

Vi vet inte hur CC3 kommer att se ut mer än att man kommer att föreslå en fortsatt granskning av innehållet i folks elektroniska meddelanden. En central fråga är om det kommer att bli frivilligt eller obligatoriskt.

Vidare kan man anta att AI-analys av innehållet i våra kommunikationer knappast återkommer i CC3, i vart fall inte i sin tidigare form. Kritiken var för hård. Men vad som helt kan hända.

Den stora striden lär stå om rätten till krypterad kommunikation. Kanske i CC3, kanske i någon annan dossier. Men att frågan blir aktuell under nästa EU-mandatperiod är rätt uppenbart.

Samtidigt kör EU:s medlemsstater egna race för att kringgå krypterad kommunikation. Till exempel föreslår en svensk statlig utredning att meddelandetjänster på begäran skall tvingas överlämna innehåll i användarnas meddelanden till myndigheterna i »läsbar form«.

Uppdatering: Nu har Europaparlamentets LIBE-utskott röstat för ett års förlängning av Chat Control 1.

• European Parliament to extend voluntary chat control with some modifications »
• New chat control gate leak: Intelligence-industrial network suggests undermining encryption for other purposes than CSAM »