Femte juli

Nätet till folket!

Sökresultat för: going dark

Going Dark – så vill EU komma åt dina meddelanden och din data

av

Vi har sammanställt allt du behöver veta om EU:s projekt Going Dark – som är tänkt att ge myndigheterna tillgång till medborgarnas meddelanden och data.

Vi har tidigare skrivit om EU:s Going Dark-grupp. Tanken är att komma åt medborgarnas elektroniska kommunikation, särskilt krypterad sådan.

En »High-Level Expert Group« har tillsatts. Den bytte snabbt namn till en »High-Level Group«, då expertgrupper har högre krav på på öppenhet och allsidighet. Deltagarlistan har varit hemlig.

Gruppen är speciellt inriktad på att ge myndigheterna tillgång till krypterad kommunikation och data, geodata och komma åt användning av anonymiseringstjänster som VPN och TOR/darknet.

Man har diskuterat tillgång till data i användarnas enheter (mobil, dator, platta, spelkonsoll etc.), tillgång till data i meddelande-apparnas system samt tillgång till data i transit.

Gruppen har även tagit upp statstrojaner (hemlig dataavläsning) och hur man skall komma runt EU-domstolens förbud mot generell datalagring. (I Sverige har en utredare redan föreslagit ny datalagring och att meddelandeoperatörer skall tvingas att överlämna begärd data i läsbar, det vill säga icke krypterad form.)

Going Dark-projektet var uppe som en informationspunkt i riksdagens EU-nämnd den 1 december 2023. Justitieminister Gunnar Strömmer sa då att…

»Vi som land fortsätter att vara utomordentligt aktiva i detta och i gruppens arbete i syfte att kunna bidra till att det kan presenteras verksamma rekommendationer inför tillträdet av den nya kommissionen hösten 2024 och för att de rekommendationerna sedan ska genomföras.«

EU-nämnden hade inga frågor, åsikter eller kommentarer.

I anknytning till Going Dark-gruppens arbete gick de europeiska polischeferna ut via Europol med uppmaningen »European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out«.

Vad de vill ha är laglig tillgång (lawfull access by design) till kommunikationstjänsternas lagrade data och skanning i realtid efter olagliga aktiviteter i användarnas meddelanden.

I ett 42-punktsprogram vill Going Dark-gruppen nu att meddelande-appar skall certifieras av EU. Man vill ha inflytande över branschens produktprotokoll och tekniska arkitektur.

Gruppen vill ha ny datalagring. Den kräver tillgång till begärd data i läsbar (ej krypterad) form. Data om IP-nummer / port skall också lagras. Detta skall även gälla operatörer som är baserade utanför EU.

Utöver datalagring vill man också ha tillgång till data. (Här kan nämnas att Europols utökade mandat redan ger dem rätt att bereda sig tillgång till data hos privata aktörer. Detta gäller även data om personer som inte är misstänkta för brott.)

Man vill även kunna övervaka dig i din uppkopplade bil – och genom allt annat under rubriken internet of things.

Man efterlyser infrastruktur som är »compatible with the transfer in real time of interception of potentially very large amounts of data of various nature«.

Gruppen har tydligen problem med att komma åt »home routing« via 5G. Därför vill man vara med i utformandet av standarden för 6G. Och så vill man komma åt internettrafik som går via satellit.

Man vill ha ökade resurser, inte bara för att komma åt krypterad data utan även för att utveckla AI-verktyg för dataanalys. (Som Chat Control 2, i sin grundform.)

Gruppen vill även se en mekanism för gränsöverskridande utbyte av information om tekniska sårbarheter som kan utnyttjas för övervakning.

Man kräver »state-of-the-art technological solutions« och en ny researchgrupp för att komma åt totalsträckskrypterad /end-to-end-krypterad kommunikation.

Meddelandeplattformar som inte underkastar sig det ovanstående skall kunna utsättas för administrativa sanktioner och begränsad möjlighet att verka på EU:s marknad.

(När samma resonemang är på tapeten i förslaget om Chat Control 2 föreslås att meddelande-appar som inte lyder order skall förbjudas på de tekniska plattformarnas app-stores.)

Man talar till och med om fängelse för »non-cooperative hosting providers«.

Allt detta och mer därtill hoppas man skall ligga till grund för den nya EU-kommissionens arbete de kommande fem åren.

Här kan det vara på sin plats att konstatera att Europadomstolen i februari slog fast att kryptering är en mänsklig rättighet. Europakonventionen och EU:s egen rättighetsstadga säger att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Även EU-domstolen har fattat i sammanhanget principiellt viktiga beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Man kan också konstatera att det inte finns något säkert sätt att komma åt krypterad information utan att också göra den tillgänglig för kriminella, främmande makt och andra aktörer med onda avsikter. Det har gjorts försök. Alla har misslyckats.

Det gäller även client-side-scanning oavsett om den sker på system- eller applikationsnivå. Den kräver svagheter i hård- eller mjukvaran som kan missbrukas. Finns det en bakdörr kommer information om den att läcka. Inte ens CIA och NSA har lyckats hålla sina verktyg hemliga.

Här skall också påpekas att det redan finns verktyg för client-side-scanning på systemnivå (hemlig dataavläsning) som efter prövning kan sättas in mot personer som faktiskt är misstänkta för brott. Men EU:s ministerråd och Europol tycker uppenbarligen att det inte räcker.

Ju mer man gräver ner sig i pappren, ju mer uppenbart blir det att Chat Control 2 inte kan ses som ett isolerat förslag. Det är en del i en större drive för att komma åt privat kommunikation och data. Det handlade aldrig om barnen.

Länkar och resurser:
• High-Level Group “Going Dark” outcome: A mission failure »
• Going Dark expert group – EU’s surveillance forge »
• Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda. »
• Going dark – EU:s krig mot krypterad kommunikation »
• EU-kommissionen: High-Level Group (HLG) on access to data for effective law enforcement »
• Europol: European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out »
• Europol: Equilibrium between security and privacy: new report on encryption »
• Europadomstolen om rätten till krypterad kommunikation »
• UNHCR: What is Encryption? »
Anti-encryption EU expert group to make access to data a political and technical standard »
• EU-Staaten wollen Zugriff auf verschlüsselte Daten und mehr Überwachung »
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
• Going Dark-gruppens 42-punktsprogram »

Going dark – EU:s krig mot krypterad kommunikation

av

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »

Staten skall lämna vanligt hederligt folk ifred

av

Chat Control 2, Going Dark-projektet, Bakdörrs-lagen, Protect EU… Från alla håll bedrivs krypskytte mot rätten till privat, totalsträckskrypterad kommunikation.

Detta trots att rätten till privatliv och privat kommunikation är en grundläggande mänsklig rättighet.

Om staten bereder sig tillgång till innehållet i folks meddelanden och elektroniska kommunikationer (utan brottsmisstanke) uppstår en oemotståndlig frestelse.

Information är makt. Den som vet vad som händer kan få kontroll över andra.

Även om våra makthavare (för tillfället) inte uppvisar tecken på att vilja förvandla vårt samhälle till någon variant av 1900-talets utopiska dödskulter, så kan kontroll av människors korrespondens ändå komma att missbrukas. Av inkompetens. Av missriktad välvilja. Av överdrivet nit. Av egenintresse. Av aktörer som vill oss illa. Eller i namn av något överordnat mål.

Det är ju inte som att våra politiker och systemets funktionärer alltid uppvisat gott omdöme. Eller att våra system är vattentäta mot kriminella och främmande makt.

Man kan inte utgå från att staten alltid kommer att vara en aktör som respekterar individens frihet och rätt. Det saknas inte varnande exempel.

Ett land blir inte nödvändigtvis mer demokratiskt med tiden. Historen har lärt oss att vad som helst kan hända. Och att det kan gå fort.

Därför får vi inte ge upp kampen för rätten till privat, totalsträckskypterad kommunikation.

Staten skall lämna vanligt hederligt folk ifred.

(Vad gäller att övervaka buset finns redan hemlig dataavläsning – om misstanke om något brottsligt föreligger.)

CC0

2026: EU stärker greppet om internet

av

Chat Control 2, datalagring, bakdörrar till kryptering, åldersgränser för sociala medier, ny lagstiftning om hat och hot och en byråkratisk »demokratisköld« är några av frågorna EU driver 2026.

Här följer några frågor som rör internet som är på gång i EU under 2026. Första halvåret är Cypern ordförandeland i ministerrådet och andra halvåret Irland.

• Chat Control 2

EU:s ministerråd tvingades dra tillbaka idén om obligatorisk client-side-scanning med spionprogram i alla telefoner och datorer. Istället vill man i huvudsak fortsätta den frivilliga skanning efter olagligt innehåll som många meddelandetjänster ägnar sig åt redan idag (Chat Conrol 1).

Detta är inte heller oproblematiskt – då det rör sig om urskiljningslös övervakning av alla användares meddelanden (om än med samtycke i användarvillkoren) utan misstanke om brott.

Ministerrådet vill även ha en åldersgräns för meddelande-appar.

Nu vidtar trilogförhandlingar mellan EU:s ministerråd, Europaparlamentet (som säger nej till Chat Control 2 i dess centrala delar) och EU-kommissionen. De är planerade till 26 februari, 4 maj och 29 juni. Här är en länk till själva förhandlingsdokumentet (PDF 491 sidor).

• Datalagring

Datalagring kan bli en av årets stora frågor. 2014 upphävdes EU:s dåvarande datalagringsdirektiv av EU-domstolen som – enkelt uttryckt – slog fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Nu gör man ett försök att lansera ett nytt direktiv. Kommissionen har redan flaggat för att ett förslag är på gång. Och medlemsstaterna i ministerrådet är pådrivande.

Enligt rådets arbetsdokument vill man utöka datalagringen från att »bara« gälla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar och mobilpositioner till bland annat följande:

Alla meddelanden på alla meddelandetjänster och i alla meddelande-appar. IP-telefoni, molntjänster och VPN-uppkopplingar. Dina aktiviteter på sociala media, Spotify, Youtube och Netflix. Dina beställningar i tjänsteappar som Fodora och Uber. Med mera.

Man vill helt enkelt hålla koll på dig.

• Krypterade meddelanden

Närbesläktat med datalagringen är EU:s ständiga kamp mot totalsträckskrypterad (E2EE) kommunikation, inom ramen för projekten Going Dark och Protect EU. Ur EU-kommissionens färdplan:

»Under 2026 kommer kommissionen att lägga fram en teknisk färdplan för kryptering för att identifiera och utvärdera lösningar som möjliggör laglig åtkomst till krypterade data för brottsbekämpande myndigheter, samtidigt som cybersäkerheten och de grundläggande rättigheterna skyddas. Kommissionen kommer också att stödja utvecklingen av ny dekrypteringsteknik för att förse Europol med nästa generations dekrypteringskapacitet (från och med 2030).«

Detta innebär i praktiken ett politiskt krav på bakdörrar – även om ordet aldrig används.

(Den svenska regeringen har valt att avvakta med egen lagstiftning i ämnet – som föreslagits av en utredning – i väntan på EU-kommissionens förslag.)

• Åldersgränser för sociala medier

Irland har låtit meddela att man ser åldersgränser för sociala medier som en prioriterad fråga för sitt ordförandeskap i EU:s ministerråd under andra halvåret 2026. Även Europaparlamentet har uttalat sig för åldersgränser. Detta kan bli en stor och omstridd fråga, då det tycks ha gått politiskt mode i den.

Och åldersgränser kräver åldersverifiering, av alla.

Därför rullas en »mini-plånbok« (app) för åldersverifiering ut i EU i väntan på unionens riktiga digitala ID/wallet. Vilken alla kan komma att behöva ladda ner och använda för att bekräfta sin ålder på sociala medier. (Den tycks dock inte vara kompatibel med alla operativsystem.)

• Hat & hot blir EU-brott

Långsamt mals frågan om att göra hat och hot till ett »EU-brott« med gemensam definition och gemensamt lägsta straff genom EU:s beslutsapparat. Vilket är knepigt, då hat är en subjektiv känsla medan hot är en reell handling.

Vi har tidigare rapporterat:

»Europaparlamentet menar att vad som i sammanhanget skall anses utgöra hat ”must not be limited only to certain grounds or motivations”. Vilket låter som ett väldigt brett mandat.

Parlamentet efterlyser även en ”holistisk respons” och en ”multidimensionell approach”. Samt att kommissionen rekommenderas ha en ”open ended approach” till vad som skall listas som hat och hot.«

Vilket känns som att man öppnar dörren för nya inskränkningar av yttrandefriheten.

EU-brott kräver normalt hög grad av precision enligt legalitetsprincipen. Vilket än så länge saknas.

Förslaget lär stå i strid med vad Europakonventionen om de mänskliga rättigheterna och EU:s människorättsstadga har att säga om yttrandefriheten:

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Med tanke på hur många politiker, samhällsdebattörer och surkart som vill hindra olika former av yttranden är EU:s planer oroväckande.

• EU:s Demokratisköld

Om EU:s Digital Services Act öppnade för utomrättslig censur online genom diffusa formuleringar slår EU:s nya »demokratisköld« upp porten på vid gavel.

Vi har tidigare beskrivit denna som ett försök att försvara demokratin med byråkrati.

Man kommer att skapa en helt ny administrativ apparat för att kontrollera det fria ordet i EU – European Centre for Democratic Resilience.

Den skall samarbeta med civilsamhällets organisationer, researchers, akademien, fact checkers och media – för att »säkerställa integriteten i informationsmiljön«.

Men det är långt ifrån allt. Utifrån förarbetena har vi tidigare noterat…

»För koordination vill man förstärka EU:s »Rapid Alert System (RAS)«. Man efterlyser även en ny oberoende EU-struktur för detta syfte. Denna skall bygga på det arbete som utförs av EU:s utrikestjänst, European External Action Service (EEAS) och Europaparlamentet.

En minimistandard för att bekämpa otillbörlig påverkan skall fastslås. Detta i samarbete med EU:s Intelligence and Situation Centre (EU INTCEN).

Ett verktyg i sammanhanget är EU:s Digital Services Act (DSA) och unionens Regulation on the Transparency and Targeting of Political Advertising. Man aviserar även en kommande Digital Fairness Act och ett nytt större digitalt lagstiftningspaket.

Rapporten pekar även på EU:s European Media Freedom Act (EMFA) och dess Audiovisual Media Services Directive (AVMSD).

Man vill lyfta fram civilsamhällets olika organisationer för faktagranskning som European Fact-Checking Standards Network (EFCSN) och EU:s eget European Digital Media Observatory (EDMO). Rapporten vill ge dessa större resurser.

Man aviserar även ett nytt European Network of Fact-Checkers samt en European Civil Society Strategy. Rapporten lyfter fram unionens European Internal Security Strategy och European Union Agency for Cybersecurity (ENISA).«

Men det räcker inte…

»Man välkomnar EU:s »ambitious binding ICT supply chain security legislation« och »stronger regulatory framework to the FDI Screening Regulation« kopplad till dess Cyber Resilience Act och Foreign Direct Investment (FDI) screening regulation.

Det reviderade NIS2-direktivet ställer bindande krav på cybersäkerhet för samhällsviktig och digital infrastruktur. Man uppmanar medlemsstaterna att följa det bättre, liksom EU:s Cyber Resilience Act och Cyber Solidarity Act inom ramen för dess ProtectEU Strategy.

Europol ges en viktig roll och man vill utöka dess mandat (igen). Även European Union Agency for Criminal Justice Cooperation (Eurojust) ses som en viktig aktör. European Border and Coast Guard Agency (Frontex) och European Union Agency for Asylum (EUAA) likaså.

Även G7, NATO, FN, Europarådet och OECD nämns som viktiga aktörer. Man anser att EU:s ständigt utvidgade regler mot penningtvätt kan komma till nytta i sammanhanget.«

Detta känns mer som en arbetsmarknadspolitisk stimulansåtgärd för byråkrater.

Allt detta kommer garanterat att göra debatten om yttrandefrihet i EU – både i och utanför EU – än mer intensiv, då syftet med allt det ovanstående är att begränsa det fria ordet.

Detta är några exempel på frågor som rör internets frihet, yttrandefriheten och rätten till privatliv som är på gång under 2026. Du följer utvecklingen här.

CC0

Europol vill tråla metadata

av

Genom att samla metadata om dina meddelanden vill Europol kunna kartlägga ditt liv – i väntan på att komma åt innehållet i din krypterade kommunikation.

EU, dess medlemsstater och Europol ligger på för att komma åt innehållet i totalsträckskrypterade meddelanden. Än så länge har de inte lyckats komma runt de praktiska, tekniska och juridiska hinder som ligger i vägen.

Därför vill EU:s polismyndighet Europol samla in metadata, det vill säga de tekniska data som omgärdar ett meddelande – undantaget dess innehåll.

Som vi kommer ihåg från debatten om FRA-lagen kan metadata avslöja väldigt mycket om dem som kommunicerar med varandra. Dessutom kan de användas för att bygga sociogram som kan kartlägga grupper av användare.

I Sverige ligger man redan ett steg före, med det utkast till lagrådsremiss om datalagring som sedan en tid varit ute på remiss.

Trots att den svenska datalagringen (metadata för telefonsamtal, SMS, e-post) står i strid med EU-domstolens beslut om att upphäva EU:s datalagringsdirektiv (2014) vill man nu utöka den.

Förslaget är att datalagringen även skall omfatta alla »nya« meddelandetjänster som tillkommit sedan lagen skrevs. Här är exempel på vad som kan komma att lagras:

  • Använd enhets telefonnummer, IP-adress och användarens identitet.
  • Start- och stopptid för kommunikation.
  • Typ av kommunikation.
  • Kommunikationsutrustning, IMEI-nummer, MAC-adress, enhets-ID.
  • Position vid start/slut.
  • Misslyckade samtal, ej levererade meddelanden.
  • Dynamiskt tilldelade IP-adresser.
  • GPS-data från appar, även om ingen kommunikation skett.

Regeringens förslag förskriver också att meddelandetjänster skall kunna tillhandahålla innehållet i elektroniska meddelanden i läsbar, av-krypterad form.

Vad gäller metadata ser det ut som en samordnad drive mellan Europol, EU:s medlemsstater och EU-kommissionen. Där Sverige alltså redan har ett förslag om hur man tänkt gå tillväga.

Vilket inte förvånar, då den svenska regeringen varit pådrivande i EU:s Going Dark-projekt.

Vi kan räkna med att det kommer ett förslag till nytt datalagringsdirektiv från EU-kommissionen nästa år.

Länkar:
• Europol doesn’t only want an encryption backdoor, but also your metadata »
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Stoppa regeringens bakdörrs-lag! »
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »

Relaterat:
• The European Commission wants a backdoor for end-to-end encryptions for law enforcement »
Experts ”deeply concerned” by the EU plan to weaken encryption
• Going Dark – så vill EU komma åt dina meddelanden och din data »
• ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden »
EU: Ny datalagring och bakdörrar till krypterad kommunikation »
• Regeringens kryptoproblem »
• Försvarsmakten använder appen signal för öppen kommunikation med mobiltelefoner »
• Signal lämnar Sverige om regeringens förslag på datalagring klubbas »
• Signals chef: Då lämnar vi Sverige »
• Centern: Nej till tekniska bakdörrar i krypterade appar »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 »
• Striden om kryptering tar ny fart »
• Europadomstolen: Totalsträckskryptering är en mänsklig rättighet »
• EuGoingDark surveillance plan: timeline, agenda, background »

CC0

ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden

av

I ett nytt projekt prioriterar EU övervakning av medborgarnas elektroniska kommunikationer och åtkomst till krypterade meddelanden.

ProtectEU – a European Internal Security Strategy är namnet på EU:s nya säkerhetssatsning. Centrala delar är ny datalagring och åtkomst till totalsträckskrypterade meddelanden. I kringsnacket nämns även att man vill komma till skott med Chat Control 2.

Inre säkerhet har utnämnts till ett av den nya EU-kommissionens prioriterade områden. Vilket är ett gränsområde då nationell säkerhet egentligen inte faller inom EU:s kompetens, utan ligger hos medlemsstaterna.

Bland annat vill man utöka Europols mandat. Detta ovanpå polissamarbetets redan vidgade mandat, som bland annat ger myndigheten direkt tillgång till data hos privata aktörer.

Man vill också se ett nytt regelverk för datalagring – efter att EU-domstolen 2014 upphävde EU:s datalagringsdirektiv, då det stred mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Trots domstolens beslut fortsätter många länder sin lagring av metadata om medborgarnas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. Däribland Sverige.

Den svenska regeringen vill till och med utöka datalagringen till att gälla alla meddelande-appar. Dessutom vill man att apparnas operatörer skall vara skyldiga att överlämna information om innehållet i användares meddelanden till myndigheterna i läsbar (det vill säga av-krypterad) form.

Vilket för oss till att en central punkt i ProtectEU är »lawful access to data«. Vilket är ett annat sätt att säga att man vill komma åt innehållet i totalsträckskrypterade meddelanden. Detta har redan förberetts inom ramen för EU:s projekt Going Dark [ länk 1 | länk 2 ].

Kopplingen till Chat Control 2 (granskning av innehållet i alla användares meddelanden) är tydlig. Det blir allt mer uppenbart att det förslaget mer handlar om övervakning än om att skydda barn mot övergrepp.

Utöver ny datalagring vill Going Dark-gruppen även se EU-licensiering av meddelande-appar och inflytande över branschens produktprotokoll och tekniska arkitektur. Man önskar sig också client-side-scanning, det vill säga spionprogram på medborgarnas telefoner och datorer. På önskelistan finns även övervakning av uppkopplade bilar. Kraven skall även gälla operatörer utanför EU, hur nu det är tänkt att gå till.

Detta är sådant som kan komma att rymmas inom Europols utökade mandat, i syfte att förvandla polissamarbetet till mer av en operativ myndighet.

Vi följer utvecklingen.

Länkar:
• Commission unveils ProtectEU – a new European Internal Security Strategy »
• ProtectEU: the European Internal Security Strategy »
• Factsheet: ProtectEU – A new European Internal Security Strategy »

Relaterat:
• Stoppa regeringens bakdörrs-lag! »
• Going Dark – så vill EU komma åt dina meddelanden och din data »
• Going dark – EU:s krig mot krypterad kommunikation »

CC0

Regeringens kryptoproblem

av

Svenska och europeiska myndigheter vill skapa bakdörrar som gör de säkra meddelande-appar de använder osäkra – för sig själva och för alla andra i hela världen.

Samtidigt som EU för krig mot totalsträckskrypterad (E2EE) elektronisk kommunikation med Chat Control 2 och projektet Going Dark föreslår den svenska regeringen att meddelandetjänster på begäran skall tvingas överlämna innehållet i sina användares kommunikationer till myndigheterna i läsbar (det vill säga icke krypterad) form.

Ställd inför detta hotar meddelande-appen Signal att lämna Sverige. Det vill säga blockera svenska användare hellre än att skapa bakdörrar som öppnar säkerhetsluckor på en global nivå.

Till SVT säger Signals chef Meredith Whittaker:

»– Vårt ansvar är att erbjuda teknologi som upprätthåller de mänskliga rättigheterna i en era där de rättigheterna kränks på allt fler ställen. I den digitala världen i dag finns det väldigt få ställen där vi kan kommunicera privat eller visselblåsa.«

Signal används idag av människorättsaktivister, dissidenter, media, visselblåsare, säkerhetsmedvetna företag, organisationer och privatpersoner världen över. De skulle alla drabbas om den svenska regeringen får som den vill.

Men inte nog med det. Den svenska försvarsmakten rekommenderar nu sin personal att använda Signal för säker elektronisk kommunikation. »Beslutet syftar till att försvåra avlyssning av samtal och meddelanden som sänds via telefonnätet.«

Enligt uppgift har även Regeringskansliet och Utrikesdepartementet (med flera myndigheter) implementerat Signal i sina kommunikationssystem för att säkerställa säker och krypterad kommunikation.

Sedan februari 2020 är Signal den rekommenderade appen för snabbmeddelanden för Europeiska kommissionen och dess personal. Den används även av den tyska regeringen. Plus en mängd andra regeringar och myndigheter världen över.

Samtidigt vill alltså både EU och den svenska regeringen skapa en bakdörr – som gör Signal (och liknande meddelande-appar) sårbar för angrepp från främmande makt, kriminella och andra aktörer med ont uppsåt.

Detta i namn av att bekämpa den grova brottsligheten. Men saken är att man redan har ett sådant verktyghemlig dataavläsning. Det handlar om spionprogram på moibiltelefoner, datorer, plattor, spelkonsoler m.m. – men bara hos personer som misstänks för brott. Inte alla andra.

Med hemlig dataavläsning kan myndigheterna se allt som finns och görs på en misstänkts mobil eller dator. Plus använda mikrofon och kamera för att övervaka användaren och dess omgivning. Det är inte heller oproblematiskt.

Men det är bättre än att göra säker elektronisk kommunikation osäker för alla i hela världen genom bakdörrar till totalsträckskrypterade meddelandetjänster.

Vilket är i linje med EU-domstolens principbeslut om datalagring: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Här skall även nämnas att Europadomstolen för de mänskliga rättigheterna kommit fram till att totalsträckskrypterad kommunikation är en mänsklig rättighet.

Inte desto mindre fortsätter regeringen, EU och Europol att kräva bakdörrar för att kunna komma åt medborgarnas totalsträckskrypterade elektroniska meddelanden.

Även om regeringen skulle få igenom sitt förslag hindrar det ändå inte att den som verkligen vill kan kommunicera med totalsträckskryptering – utanför de stora meddelande-apparna. Det är en fråga om att man inte kan förbjuda matematik.

Länkar:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Försvarsmakten använder appen signal för öppen kommunikation med mobiltelefoner »
• Signal lämnar Sverige om regeringens förslag på datalagring klubbas »
• Signals chef: Då lämnar vi Sverige »
• Centern: Nej till tekniska bakdörrar i krypterade appar »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 »
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Striden om kryptering tar ny fart »
• Europadomstolen: Totalsträckskryptering är en mänsklig rättighet »

CC:0

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

Justitieminister Strömmer om Chat Control 2: Min svåraste fråga

av

Justitieministern vet att Chat Control 2 är fel. Men det är inte han, utan EU som äger frågan. Och EU vill komma åt medborgarnas krypterade kommunikation.

Aftonbladets Oisín Cantwell har genomfört ännu en av sina långa intervjuer med justitieminister Gunnar Strömmer (M).

När det gäller Chat Control 2 försvarar Strömmer sitt partis dubbla budskap (nej till CC2 i EU-valrörelsen men ja till CC2 i EU:s ministerråd) med att det är EU-kommissionens ursprungliga förslag man säger nej till. Vad som sker i EU:s ministerråd är en annan sak.

»Det är därför vi har drivit en linje om att om det här ska förverkligas så måste förslaget få en helt annan precision. Man måste tydliggöra i vilka situationer det ska tillämpas. Rättssäkerheten måste öka markant.«

Vilket mer låter som ett argument för att säga nej till CC2 även i ministerrådet…

Att kommissionens och ministerrådets senaste förslag skiljer sig åt i detaljerna stämmer.

Men det handlar fortfarande om att bereda sig tillgång till innehållet i folks elektroniska meddelanden – utan någon misstanke om brott.

Det handlar om svepande massövervakning som, om den blir verklighet, vore varje förtryckande regims blöta dröm. Ett verktyg för total kontroll vars syfte och metod enkelt kan utökas.

Chat Control 2 – i så väl kommissionens som rådets varianter – strider mot de grundläggande mänskliga rättigheterna, mot EU:s egna fördrag, mot svensk grundlag och mot EU-domstolens principiella ställningstagande: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

De grundläggande mänskliga rättigheterna och grundlagen skall inte kunna rundas eller ignoreras. De skall stå orubbliga mot det politiska dagsmodet och politisk klåfingrighet.

Detta vet Gunnar Strömmer. Det är sådant han själv drivit när han var chef för Centrum för Rättvisa.

På hemmaplan kan han som justitieminister driva förslag om övervakning fram till den formella gränsen för vad som kan accepteras inom ramen för de mänskliga rättigheterna och en demokratisk rättsstat. Även om förslagen strider mot dess anda.

(Därmed inte sagt att dessa förslag är rätt eller bra. Bara att han kommer undan med det. Mer om det i en kommande bloggpost.)

I EU har Strömmer inte den makten. Där är det bara att följa med över alla röda linjer om man vill vara med i klubben. Vilket han inte verkar helt bekväm med. Ur intervjun, om CC2:

»[J]ag medger gärna att av alla de förslag som jag har haft att hantera som handlar om att stärka brottsbekämpningen så tycker jag att det här är det svåraste.«

Bilden stärks av detta uttalande från förra vintern:

»[D]et enda konkreta förslaget under mina 14 månader, då jag själv har känt en liten klump i magen, det kom faktiskt inte från oss. Utan det var just det som kom att kallas Chatcontrol som kom från EU-systemet.«

Justitieminister Gunnar Strömmer (M) vet att Chat Control 2 är fel och att förslaget inte tål en prövning i EU-domstolen eller Europadomstolen.

Men han tvingas ändå driva frågan framåt – då den är en del av EU:s och Europols ambitioner om mer övervakning och deras bredare krig mot krypterad kommunikation, Going Dark (där den svenska regeringen varit pådrivande).

Eller så kan han fatta mod, följa sitt samvete och skjuta ner Chat Control 2 – eftersom det är ett dåligt förslag i sig.

Vi har redan Chat Control 1 som levererar fler tips om olagligt innehåll än polisen hinner hantera. Varför ersätta något som faktiskt fungerar med något annat, oprövat som kränker individens fri- och rättigheter?

Vill politiken sedan komma åt innehållet i medborgarnas elektroniska och krypterade meddelanden – säg då det rakt ut, så kan vi ta den debatten. Istället för att gömma frågan bakom barnen.

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Nya EU-kommissionen och internet

av

Den nya EU-kommissionen kommer att ha fullt upp med att reglera internet, övervaka medborgarna och skrämma bort IT-investeringar från Europa.

Idag har Europaparlamentet godkänt den nya EU-kommissionen. Här är några frågor på dess bord som rör internet under mandatperioden.

Datalagring

2014 upphävde EU-domstolen EU:s direktiv om datalagring (lagring av metadata om allas telefonsamtal, SMS, e-post-meddelanden, uppkopplingar, mobilpositioner m.m.).

Detta med hänvisning till de grundläggande mänskliga rättigheterna och vad de har att säga om rätten till privatliv och privat korrespondens. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Nu diskuteras ett nytt datalagringsdirektiv i EU, som är tänkt att försöka kringgå EU-domstolens beslut. Precis som i Sverige vill man även komma åt de olika meddelandetjänsterna. Speciellt de totalsträckskrypterade.

Ännu finns inget konkret på bordet, men det kommer. Gissningsvis rätt tidigt under mandatperioden då det tar åratal att få igenom ett nytt direktiv. Det skulle inte förvåna om förslaget redan ligger klart och väntar på tillträdande kommissionär Brunners skrivbord.

Chat Control 2 / CSAR

Den nya EU-kommissionen står fast vid Ylva Johanssons ursprungliga förslag om att låta AI granska innehållet i folks elektroniska kommunikationer (och molntjänster m.m.).

Om ministerrådet kommer fram till en position går frågan in i trilog-förhandlingar mellan EU-kommissionen, ministerrådet (client-side-scanning) och Europaparlamentet (som säger nej till Chat Control 2 i dess bärande delar).

Vilket med största sannolikhet kommer att landa i någon form av ja till förslaget. Om inte parlamentet upplever ett yttre tryck som får det att inse att ett hårdnackat nej ligger i dess intresse.

The Digital Services Act (DSA)

Den utgående EU-kommissionen lämnar efter sig frågan om hur det är tänkt att stora sociala media skall stoppa innehåll som man ogillar – men som inte är olagligt.

I en rättsstat bör det – i förväg – tydligt framgå vad som är tillåtet att säga eller ej. Det som inte uttryckligen är förbjudet måste vara tillåtet.

Det blir även upp till den nya kommissionen att se till att DSA:s krav på nätcensorer – Trusted Flaggers / betrodda anmälare) uppfylls. Riken är uppenbar att olika särintressen och intressegrupper kan komma att se en sådan roll för sig själva som ett verktyg för att kunna styra vad som sägs på nätet.

Hat & hot blir EU-brott

Kommissionen och parlamentet (inklusive alla svenska partier i Europaparlamsentet utom SD) driver på för att göra hat och hot till ett »EU-brott« i klass med terrorism och vapensmuggling.

Än så länge finns bara pladdriga policypapper och resolutioner som inte närmare berör vad det är som skall bli förbjudet att säga, skriva och posta. Men nu måste man bli mer konkreta.

Vad gäller »hat« är utrymmet för subjektiva bedömningar stort. Givet EU:s återkommande gräl med sociala media i allmänhet och X i synnerhet är det uppenbart att detta är en fråga som kommer att beröra yttrandefriheten på internet.

Vi följer denna dossier och återkommer när det händer något av betydelse.

Going Dark

Kommissionen, medlemsstaterna och Europol håller (vid sidan av Chat Control 2) på med ett projekt för att komma åt totalsträckskrypterad kommunikation, Going Dark.

Det finns dock redan en lösning, även om den har sina brister: Hemlig dataavläsning. Det vill säga spionprogram (client-side-scanning) på misstänktas telefoner och datorer som registrerar allt som sker på och kring enheten.

Dock drar frågan åt att man vill ha en generell möjlighet att komma åt krypterade meddelanden. Vilket kan kasta ett visst ljus över ministerrådets senaste förslag om client-side-scanning på allas telefoner och datorer som en del av Chat Control 2.

Nu återstår att se vad som kommer ut ur Going Dark-projektet. Blir det några förslag från kommissionen? Eller är detta något som medlemsstaterna kommer att hantera synkroniserat på nationell nivå?

EU, internet och världen

EU har en allt mer omfattande reglering vad gäller internet. Regler som den nya kommissionen har att upprätthålla – även om de driver IT-entreprenörer ut ur EU.

Chat Control 2 har föranlett meddelandetjänster som Signal att hota om att inte längre tillhandahålla sina tjänster i EU. Nya aktörer på meddelande-marknaden kommer att tvingas bygga in spion-moduler från början, vilket kommer att avskräcka nya aktörer som respekterar sina användares integritet.

GDPR gav oss inte bara cockie-eländet utan begränsade även EU-medborgares tillgång till en del utländska siter, bland annat utländsk media. Denna reglering gav dessutom våra företag en ny, kostsam byråkratisk börda.

EU:s nya AI-lagstiftning har än så länge medfört att Apple inte släpper alla sina AI-funktioner på mobiler i EU. Fler oönskade konsekvenser lär följa. Och investeringarna i AI kommer att ske i andra delar av världen.

The Digital Services Act har hamnat på kollissionskurs med yttrandefriheten. Den påbjuder även en omfattande byråkrati för stora sociala plattformar – vilket är en garanti för att startups som saknar Metas och Alphabets resurser och kår av jurister aldrig kommer att kunna etablera sig eller växa sig stora på markanden.

Detta drabbar inta bara oss i EU. Internet känner inga gränser. Om till exempel Chat Control 2 leder till bakdörrar till (än så länge) toitalsträckskrypterde meddelanden kommer sådana även att kunna utnyttjas av regimer i skurkstater för att förtrycka sin befolkning och opposition.

EU:s självbild är att man är »väldsledande« vad gäller att sätta en standard för reglering av IT. Det är inte helt säkert att det är en bra sak.

Detta var bara några exempel på vad som är i görningen. Följ oss för att hålla dig uppdaterad.