Flash: Förslag om digitalt EU-ID

EU-kommissionens ordförande Ursula von der Leyen har just levererat sitt första linjetal i Europaparlamentet.

Bland annat flaggar hon för en europeisk digital identitet.

Tanken har varit uppe länge. Bland annat har det talats om att det skall krävas ett EU-ID för att kunna koppla upp sig på internet.

Detta kan bli ett hot såväl mot rätten till privatliv / anonymitet som ett verktyg för att kringgå kryptering (nycklar kopplade till EUeID).

Nu är det dags att vara vaksam.

EU och Europol satsar på att knäcka kryptering

EU-kommissionen arbetar just nu på en ny studie om hur man kan forcera end-to-end-krypterade meddelanden.

Europols European Centre for Cybercrime (EC3) i Haag arbetar redan med att knäcka krypterat innehåll och krypterade lagringsmedia. Enligt uppgift lyckas man i 39% av fallen. Målet är att i framtiden även kunna forcera krypterade meddelanden.

Matthias Monroy skriver på sin blogg:

»In the future, the „decryption platform“ is to use supercomputers of the European Union. For this purpose, Europol has concluded an agreement with the Joint Research Centre of the EU Commission, according to which the attacks on encrypted content are to be carried out in Ispra, Italy, at Lake Maggiore. Europol says, however, that the commissioning of the facility, which was planned last year, has been delayed and is now to take place in the summer of this year. Problems have therefore arisen with the secure connection between Ispra and Europol’s control room in The Hague.«

En särskild expertgrupp har nu tillsatts för att ta sig an frågan om krypterade meddelanden. I ett dokument från EU-kommissionen flaggas även för en ny approach. Monroy:

»Internet service providers such as Google, Facebook and Microsoft are to create opportunities to read end-to-end encrypted communications. If criminal content is found, it should be reported to the relevant law enforcement authorities. To this end, the Commission has initiated an „expert process“ with the companies in the framework of the EU Internet Forum, which is to make proposals in a study.«

Detta är intressant. Man vill alltså tvinga nätjättarna att läsa krypterad kommunikation. Vilket kan bli komplicerat för de företag som valt system för kryptering som inte ens de själva kan knäcka. Om de sedan hittar något misstänkt skall det anmälas till relevanta myndigheter.

Utöver att staten bereder sig tillgång till medborgarnas privata kommunikation (och därmed kränker rätten till privatliv och privat korrespondens) innebär knäckt kryptering ett mindre säkert internet för oss alla – oavsett om det handlar om bakdörrar eller att forcera krypterad kommunikation. Sådana verktyg blir, förr eller senare, även tillgängliga för andra – som kan ha en helt annan agenda. Till exempel bör man komma ihåg att en läcka avslöjade många av de verktyg för övervakning och dataintrång som används av amerikanska myndigheter – vilka nu hamnat i händerna på kriminella element runt om i världen.

Länk: European Commission starts new attack on end-to-end encryption »

TikTok och storpolitiken

»Lika illavarslande är att när ingreppen kommer från presidenten skapas krav på tacksamhet och lojalitet från företagens sida, vilket lätt slår över i ett likriktat medieklimat. För Trump är detta en föga dold ambition, han är särskilt kritisk mot företag som äger medier som kritiserar honom.

Den fria världen är under sådant styre på väg att underminera sina unika fördelar: lagstyre, fri konkurrens, medial pluralism och öppenhet mot omvärlden – kanske till och med den en gång så starka dominansen inom popkulturen.«

Mattias Svensson i DN: Tiktok påminner om att popkultur är storpolitik och att den fria världen har motvind »

Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Regeringen vill smyglansera automatiserad ansiktsigenkänning

SVT rapporterar:

»Efterlysta personer eller misstänkta för allvarlig brottslighet ska avslöjas vid gränsen – genom ansiktsigenkänning. Det föreslår regeringen i ett nytt lagförslag som ska göra det möjligt för polisen att testa tekniken på Skavsta flygplats.« (…)

»Passagerare kommer att fotograferas vid gränskontrollen. Med hjälp av biometrisk ansiktsverifiering jämförs bilden sedan med den biometriska bild som finns lagrad på en minneskrets i passagerarens pass.«

I sig är detta kanske inte så uppseendeväckande: Man vill kontrollera att personen vid gränskontrollen är samma person som i passet.

Justitieminister Morgan Johansson (S) säger »Jag tror att det finns en stor förståelse bland svenska folket för att vi behöver den här tekniken vid våra gränspassager.«

Detta är en trojansk häst.

Regeringen banar väg för automatiserad ansiktsigenkänning genom en någorlunda rimlig applikation som kan antas vara godtagbar eller rent av önskvärd bland befolkningen.

Men automatiserad ansiktsigenkänning kan även vara ständig övervakning och spårning av alla som rör sig i samhället, i realtid. Det kan vara automatiserad registrering eller identifiering av deltagare på ett politiskt möte. Det kan vara skattemyndigheten som vill snoka i dina förehavanden. Det kan vara myndigheter som vill bygga sociogram ör att kartlägga människors förhållande till varandra. Och som vanligt kommer antalet falska positiva att vara överväldigande – även om träffsäkerheten skulle vara 99%, vilket inget system kommer i närheten av idag.

Om vi skall ha gränskontroller är det naturligtvis rimligt att man kan kontrollera att den inresande är den han eller hon uppger sig vara i sin identitetshandling. Men det gäller att se upp, så att detta inte blir en bakdörr för att öppna upp för en teknik för massövervakning och kontroll av vanligt, hederligt folk.

SVT: Regeringen vill testa ansiktsigenkänning på svensk flygplats »

EU:s samordnare mot terrorism vill se EU-lag för att kringgå kryptering

EU:s samordnare mot terrorism, belgaren Gilles de Kerchove vill att den nya Digital Services Act skall omfatta lagstiftning om kryptering.

Enligt tyska Netzpolitik vill han att service providers skall åläggas att tillhandahålla läsbar, okrypterad tillgång till meddelanden som myndigheterna är intresserade av.

Netzpolitik skriver (med reservation för översättningen):

»Kryptering är inte bara allmänt förekommande på Internet, den är också viktig. Den skyddar konfidentialitet och äkthet mot allestädes närvarande attacker från alla – såväl underrättelsetjänster som brottslingar. Det finns ingen kryptering som kan de-krypteras av polisen i Berlin och Budapest, men inte av internetbrottslingar och ryska myndigheter. de Kerchove känner till detta dilemma, men han ignorerar det. Han kräver en ”optimal lösning” som gör det möjligt för användare att ”njuta av fördelarna med kryptering när det gäller integritet och dataskydd”, samtidigt som den europeiska polisen och underrättelsetjänsterna får tillgång till okrypterat innehåll. Han säger inte hur den lösningen ska se ut – eftersom den inte existerar. Han förnekar att han vill ha en statlig bakdörr, som enligt hans definition skulle vara ”permanent tillgång” för stater. Istället vill han ha åtkomst när polis och underrättelsetjänster begär ut  okrypterad data, vilket han kallar ”en ytterdörr”. Denna definitionsmässiga akrobatik förändrar inte det grundläggande problemet: kryptering skyddar antingen mot alla – eller mot ingen.«

Debatten står med andra ord och stampar på samma ställe som för tio år sedan.

»de Kerchove kritiserar att tillverkare som Google introducerar kryptering utan att först be EU om tillstånd. Han kräver en ”laglig skyldighet för leverantörer” att ”arbeta tillsammans med statliga myndigheter på teknisk nivå” och diskutera deras kryptering tillsammans.«

Att de Kerchove ger sig in i debatten just nu beror naturligtvis på att han vill ha in lagstiftning om kryptering i EU:s nya Digital Services Act, som just nu håller på att utformas.

Artikeln avslutas med en engelskspråkig text som ger en översikt över krypteringsfrågan i EU.

Netzpolitik: Anti-Terror-Koordinator der EU fordert Gesetz gegen Verschlüsselung »

USA:s Attorney General mullrar mot Apples försvar av användarnas rätt till privatliv och säkerhet

Attorney General Bill Barr uttrycker sig i hotfulla termer efter att Apple inte velat – och inte kunnat – låsa upp en misstänkt skytts telefon. Detta trots att FBI lyckats låsa upp telefonen i fråga utan Apples hjälp. Barr hotar nu med lagstiftning för att skapa en bakdörr. Och Apple slår tillbaka:

»It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers.«

»There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.«

Detta är ett ställningskrig som pågått länge nu. Myndigheterna hoppas kanske vinna genom att ständigt återkomma med sina krav om bakdörrar, som något slags utmattningstaktik. Men eftersom det skulle hota säkerheten för alla användare måste teknikföretagen stå fast och säga nej.

Men detta är inte det enda hotet från den amerikanska staten mot nätanvändarnas rätt till privatliv. Vox skriver:

»Barr raising the legislative solution specter is well-timed. A bipartisan bill called the EARN IT Act, which would essentially force platforms like Facebook, Reddit, and even end-to-end encrypted apps like WhatsApp and Signal to give the government a backdoor to any and all customer information is currently making its way through the Senate. There’s also the bill reauthorizing the Patriot Act, for which a painfully close Senate vote defeated an attempt to exclude web search history and browser information from warrantless surveillance by the FBI. The bill, once resolved by the House and Senate, will go to President Trump’s desk to sign.«

I sammanhanget skall man komma ihåg att lagar som rör övervakning i USA har en förmåga att leta sig över till EU med tiden. Vilket bland annat kan bero på ett nära underrättelsesamarbete (i vilket Sverige tycks spela en framträdande roll).

Vox: Why Attorney General Bill Barr is mad at Apple »

Bruce Schneier: Corona-appar är värdelösa

Den välkände dataskyddsexpeerten Bruce Schneier sågar planerna på smittspårningsappar.

BuzzFeedNews:

”My problem with contact tracing apps is that they have absolutely no value,” Bruce Schneier, a privacy expert and fellow at the Berkman Klein Center for Internet & Society at Harvard University, told BuzzFeed News. ”I’m not even talking about the privacy concerns, I mean the efficacy. Does anybody think this will do something useful? … This is just something governments want to do for the hell of it. To me, it’s just techies doing techie things because they don’t know what else to do.”

På sin egen blogg förklarar Schneier problemet med falska positiva och falska negativa statusmeddelanden:

False positives: Any app will have a precise definition of a contact: let’s say it’s less than six feet for more than ten minutes. The false positive rate is the percentage of contacts that don’t result in transmissions. This will be because of several reasons. One, the app’s location and proximity systems — based on GPS and Bluetooth — just aren’t accurate enough to capture every contact. Two, the app won’t be aware of any extenuating circumstances, like walls or partitions. And three, not every contact results in transmission; the disease has some transmission rate that’s less than 100% (and I don’t know what that is).

False negatives: This is the rate the app fails to register a contact when an infection occurs. This also will be because of several reasons. One, errors in the app’s location and proximity systems. Two, transmissions that occur from people who don’t have the app (even Singapore didn’t get above a 20% adoption rate for the app). And three, not every transmission is a result of that precisely defined contact — the virus sometimes travels further.

Han påpekar också att utan tillgång till snabb och enkel provtagning blir det hela än mer meningslöst.

Schneier on Security: Me on COVID-19 Contact Tracing Apps »

Bra att veta innan du laddar ner den senaste corona-appen

Piratpartiet har en bra översikt av den nya smittspridningsapp som nu lanseras i Sverige, baserad på den brittiska Covid-19 Symptom Tracker. Här är några saker att tänka på för den som kanske funderar på att ladda ner den.

  1. Data kan lämnas ut till amerikanska aktörer.
  2. Zoe är inte speciellt tydliga med vilka uppgifter om appanvändarna som man faktiskt samlar in.
  3. Insamlad data delas med flera andra aktörer än de svenska forskare man kan ledas att tro tar del av den.
  4. Zoe anger inget slutdatum för lagring av hälsodatan.
  5. Man delar ospecificerade personuppgifter med en stor mängd tredjepartsaktörer.
  6. Man länkar inte till källkoden för appen någonstans på sin officiella sida.

Läs mer här: Ny svensk corona-app »

Mobilspårning – Vad? Hur? Varför?

De stora teleoperatörerna tänker dela mobilpositionsdata med EU. Förmodligen har detta redan börjat. Syftet är att följa virusets väg och utbredning. Hur man nu tänkt göra det.

Inrikesminister Ygeman verkar inte veta så mycket om det här, hänvisar till EU, kan inte ge något tydligt svar på om svenska mobilkunder omfattas – men är i stora drag positiv till verksamheten.

Till och med Vänsterpartiet – som var den sista bastionen för privatlivets helgd i riksdagen – har vikt ner sig. SR:

Tillfällig datainsamling vore positivt, anser Jens Holm, riksdagsledamot i Vänsterpartiet.

– Jag ser det här som någonting ytterst begränsat som man gör under coronakrisen som vi befinner oss i, säger han.

Moderaterna hugger till med att detta är en fråga för Folkhälsoinstitutet.

Den totala förvirringen tyder på att man befinner sig i panik. Vilket är ett dåligt tecken.

Och det hela kan ändå redan vara igång, i EU:s regi.

Vi har inte ens fått reda på vad detta egentligen handlar om, hur det är tänkt att fungera och hur man avser använda verktyget. Gäller det »bara« heatmaps över koncentration av människor och deras resor – eller kan man göra spårning ner på individnivå?

En sak kan vi dock vara rätt säkra på: När systemet väl är infört – då kommer det att bli kvar. Sedan blir det värre. Så är det i princip alltid.

Den information övervakning ger upphov till är en allt för stor frestelse för de styrande. Åter till SR:

Samarbetet får också kritik. Datadelningen kan leda till utökad övervakning av mobilanvändare, enligt aktivisten och den tidigare Pirate Bay-grundaren Peter Sunde.

– Jag tror det finns konsekvenser som vi inte hinner tänka igenom och som jag tror är farligare än smittan, säger Peter Sunde.

EU:s egen Data Protection Supervisor Wojciech Wiewiorowski säger:

– The EDPS often stresses that such developments usually do not contain the possibility to step back when the emergency is gone.

Visst, EU meddelar att datan skall vara anonymiserad. Man säger även att all data skall raderas efter krisen. Men hur kan vi vara säkra på det? Hur går det till? Det räcker inte med löften – om det inte finns någon öppenhet och insyn.

Och här måste jag undra: Om EU:s mål med mobilspårningen är att följa virusets väg och utbredning – hur är det tänkt att fungera om datan skall vara anonymiserad? Då vet man ju inte vilka av alla dem man följer som är smittade, sjuka, tillfrisknade eller friska. Vilket man knappast vet ändå, eftersom testning inte sker av hela befolkningen.

Vad man däremot kan göra är att observera befolkningens grad av rörlighet. För att kontrollera i vilken mån vi lyder. Vilket ger rätt starka Storebrors-vibbar. Men är detta verkligen skäl nog för att introducera ännu ett verktyg för övervakning av befolkningen?

Men vi verkar, som sagt, stå inför fullbordat faktum. Nu gäller att man respekterar följande punkter:

  • Man måste vara helt säker på att all data verkligen är anonymiserad.
  • Verksamheten måste upphöra så fort krisen är över.
  • Allt måste ske med total öppenhet och transparens vad gäller vilken data som samlas in, hur det sker, hur den anonymiseras, vilket syftet är och hur informationen är tänkt att användas.

Alla tre punkterna är nödvändiga krav som måste ställas – och uppfyllas.

För att slutligen påpeka det uppenbara: Mobilspårning kan missbrukas av rädda, fega, principlösa, inkompetenta eller onda makthavare. Och som verktyg för att hålla ett öga på vad folket har för sig i största allmänhet passar det naturligtvis överheten utmärkt.

Länkar:
• Politiker positiva till att spåra viruset via mobiler »
• Vodafone, Deutsche Telekom, 6 other telcos to help EU track virus »
• Corona: Mobiloperatörer delar nu platsdata med EU »

Relaterat: Europe quietly becoming a spy superpower »