Femte juli

Nätet till folket!

Sökresultat för: going dark

Exit Ylva Johansson – EU-kommissionären bakom Chat Control 2

av

Ylva Johanssons hantering av Chat Control 2 är som en katalog över sådant som är fel med EU: Inkompetens, arrogans, politisk korruption, fulspel och maktfullkomlighet.

Snart tillträder den nya EU-kommissionen – och avgående inrikeskommissionär Ylva Johansson drar sig tillbaka.

Under mandatperioden har Ylva Johansson givit ett ansikte åt politiker som inte begriper vad de sysslar med.

Hennes okunnighet om Chat Control 2 – som är hennes eget förslag om massövervakning av folks elektroniska meddelanden – och dess konsekvenser är uppseendeväckande.

Detta blixtbelystes när hon medverkade i Svenska Dagbladets ledarpodd den 23 mars 2023. Låt oss ta ett exempel när ledarredaktionens Andreas Ericson ställer en elementär fråga om Chat Control 2:

AE: – Om du exempelvis känner att du vill vara visselblåsare på EU-kommissionen och höra av dig till Svenska Dagbladet under källskydd, kommer du och jag kunna ha krypterad kontakt som myndigheterna inte kommer läsa i framtiden. Även med det här förslaget?

YJ: – Ja, det är självklart.

AE: – Men om det är så, kommer inte då alla pedofiler använda samma krypterade kontakt? Vad är i så fall vunnet?

YJ: – Nej men grejen är att det enda som… (tystnad) det som…sexuell… Sexuella övergrepp på barn, bilder på det, är alltid kriminellt.

AE: – Ja men de kommer väl ändå kunna… Om du och jag kommer kunna kryptera vår kommunikation, då kommer väl pedofiler också kunna krypteras sin?

YJ: – Om man delar det materialet så kan det vara så att det detekteras det materialet. Men det är ju inte så att man kan läsa någons kommunikation. Och det finns tekniker att detektera utan att bryta krypteringen.

Ridå. Nedan kan du se ett lite längre klipp ur podden, i vilket kommissionär Johansson även blir satt på plats av IT-säkehetsspecialisten Karl Emil Nikka.

Johanssons hantering av Chat Control 2 är anmärkningsvärd. Till att börja med togs förslaget fram i samförstånd med ett amerikanskt företag som utvecklar mjukvara för att granska innehållet i elektroniska meddelanden, Thorn. Som dessutom drivs av Hollywood-kändisar, vilket gjorde alla i EU-apparaten star struck.

Det har visat sig att NGO:er som finansieras av EU har bedrivit lobbyarbete mot EU för Chat Control 2. I en av dessa organisationers ledning sitter en hög EU-tjänsteman som arbetar i Ylva Johanssons närhet – och som varit med och skrivit kommissionens förslag till CC2.

För att påverka opinionen i vissa länder (bl.a. Sverige) inför en viktig omröstning om Chat Control 2 i ministerrådet köpte kommissionen hårt riktade annonser på X. I urvalet av mottagare ingick bland annat politisk hemvist och religion. Vilket är en form av politisk annonsering som är förbjuden i såväl GDPR som EU:s egen nya Digital Services Act.

Johansson har även lyft fram en riggad opinionsmätning från EU:s egen Eurobarometer som påstår att 78% av européerna och 71% av svenskarna stöder Chat Control 2. Vilket är ett rakt motsatt resultat från SvD Novus som hävdar att 72% av svenskarna säger nej.

Hanteringen av Chat Control 2 är som en katalog över sådant som är fel med EU. En ögonblicksbild av systemets inkompetens, arrogans, politisk korruption, fulspel och maktfullkomlighet.

I den här bloggposten kan du läsa en mer utförlig beskrivning av denna solkiga historia, med djuplänkar: Ylva Johansson: Er kritik gör mig bara mer beslutsam »

Som inrikeskommissionär har Ylva Johansson även varit högsta politiska ansvarig för utvidgningen av Europols mandat. (Till exempel har man nu fått rätt att inhämta data direkt hos privata aktörer.) Det är även på hennes vakt som EU startat projektet Going Dark, som syftar till att komma åt totalsträckskrypterad (E2EE) kommunikation.

Nu tas hennes jobb över av österrikaren Magnus Brunner, som av allt att döma tänker fortsätta i Ylva Johanssons spår. Själv kan hon luta sig mot ett avgångsvederlag från skattebetalarna på ungefär 150.000 kronor i månaden, i ett par år.

Relaterat:
• Nikka Systems: Sista faktagranskningen av Ylva Johanssons Chat Control-lögner »
• Ylva Johansson: Er kritik gör mig bara mer beslutsam »
• Europol får utökat mandat för övervakning »
• Going Dark – så vill EU komma åt dina meddelanden och din data »


Mer om Chat Control 2:
• Chat Control 2: Kräv svar i riksdagen denna vecka!
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

De blir ansvariga för nätfrågorna i EU-kommissionen

av

Chat Control 2, DSA och yttrandefrihet – här är de nya ansvariga EU-kommissionärerna.

Det finns nu ett förslag till en ny EU-kommission – som sedan måste godkännas av Europaparlamentet. Här är några av nyckelfigurerna vad gäller nätfrågorna.

Magnus Brunner, Österrike, kommissionär för inrikes frågor och migration. EU:s nye kommissionär för polisfrågor, övervakning, Going Dark med mera. Efterträder Ylva Johansson. Ansvarig för Chat Control 2. Från konservativa ÖVP.

Henna Virkkunen, Finland, kommissionär för digital- och framkantsteknologi. Vice kommissionsordförande med ansvar för teknisk suveränitet, säkerhet och demokrati. Det är förmodligen under Virkkunen EU:s Digital Services Act hamnar. Från borgerliga Samlingspartiet.

Michael McGrath, Irland, kommissionär för demokrati, rättsliga frågor och rättsstat. Från Fianna Fáil (Soldiers of Destiny).

Ekaterina Zaharieva, Bulgarien, kommissionär för research, forskning och utveckling. Från konservativa GERB.

Stéphane Séjourné, Frankrike, kommissionär för industri, små och medelstora företag och den inre marknaden. Vice kommissionsordförande med ansvar för välstånd och industriell strategi. Från president Macrons Renaissance.

Nu följer utfrågningar i Europaparlamentet. Speciellt Brunner bör grillas om Chat Control 2 och Virkkunen om DSA och yttrandefrihet online.

Parlamentet kan inte peta enstaka föreslagna kommissionärer, men vägra att godkänna kommissionen som sådan om det finner någon av dem oacceptabel.

Denna process brukar användas av parlamentet och dess ledamöter för att markera sin makt. Det händer att någon av de föreslagna kommissionärerna måste ersättas.

Vi har skrivit det förut: Europaparlamentet bör kräva att den nya kommissionen drar tillbaka förslaget om Chat Control 2, för att godkänna den.

• Så kan Europaparlamentet sänka Chat Control 2 »
• Sex svenska ledamöter med makt över Chat Control 2 i det nyvalda Europaparlmentet »

Mer om Chat Control 2:
Chat Control 2: Kräv svar i riksdagen denna vecka!
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Sverige och Danmark har redan de verktyg för övervakning som krävs

av

Sverige och Danmark kräver tillgång till kryperade meddelandetjänster för att bekämpa gängen. Men de har redan de verktyg som krävs.

De danska och svenska justitieministrarna och rikspolischeferna har träffats för att diskutera problemet med svenska gängkriminella som begår allvarliga brott i Danmark.

Ett krav är att man vill komma åt krypterade meddelande-appar. Men om man tittar närmare så har myndigheterna redan de verktyg som behövs – utan att underminera kryptering för vanligt hederligt folk. Låt oss bena ut detta…

Rikspolischef Petra Lundh säger att den initiala värvningen av minderåriga gärningsmän sker helt öppet på sociala media som till exempel TikTok och SnapChat. Och så länge det sker öppet går det att spana och stoppa verksamheten samt lagföra de ansvariga. Stämpling till mord är olagligt.

Sedan, säger man, flyttar värvningen över till krypterade meddelande-appar. Därför vill man komma åt krypterad kommunikation. Detta är inget nytt krav. Den svenska regeringen och EU är redan djupt engagerade i det så kallade Going Dark-projektet.

Saken är dock att man redan har de verktyg som krävs för att komma åt denna krypterade information – utan att för den sakens skull etablera bakdörrar till alla krypterade meddelandetjänster eller potentiellt bereda sig tillgång till alla människors meddelanden.

Verktyget heter hemlig dataavläsning. Om man har en misstänkt (värvningsförsöken ovan plus the usual suspects) får polisen redan idag installera spionprogram på de misstänktas telefoner och datorer.

Med hemlig dataavläsning kan man se allt som sker och finns på enheterna. Man kan till exempel läsa meddelanden innan de krypteras och sänds – alternativt efter att de tagits emot och av-krypterats.

(Hemlig dataavläsning är visserligen inte oproblematisk. Den bygger på att säkerhetshål i systemprogramvara och IT-infrastruktur lämnas öppna för att man skall kunna installera spionprogrammen. Och då är de även öppna för kriminella, främmande makt med flera. Så verktyget är inte perfekt, men det är vad man redan har och använder.)

Finns en misstanke kan man alltså redan komma åt innehållet i alla meddelandetjänster, även totalsträckskrypterade (end-to-end encryption, E2EE) sådana.

Sedan oktober förra året krävs för övrigt inte ens en konkret brottsmisstanke för att polisen skall få övervaka folk med hemliga tvångsmedel. Utrymmet för övervakning av gängkriminella som ägnar sig åt stämpling till mord m.m. bör därför redan vara betydande.

Någonstans här dyker en misstanke upp om att det kanske inte handlar om behov av nya övervakningsverktyg – utan att det mer är en fråga om kompetens och effektivitet. Vilket är områden där svensk polis på goda grunder kritiserats under lång tid.

Hemlig dataavläsning är problematisk nog. Att skapa bakdörrar till alla krypterade meddelande-tjänster kommer att göra alla medborgare, företag, organisationer, myndigheter med mera mindre säkra online.

Det samma gäller hemlig dataavläsning på alla telefoner och datorer – det vill säga det som EU:s ministerråd och den svenska regeringen vill ha inom ramen för Chat Control 2, client-side-scanning.

Skapar man sårbarheter i våra elektroniska kommunikationer kommer de även att kunna utnyttjas av aktörer med ont uppsåt. Inte ens amerikanska CIA och NSA lyckas hålla sina spionverktyg hemliga.

I sammanhanget är det värt att notera att tunga EU-institutioner går emot att man bereder sig tillgång till alla människors elektroniska kommunikationer.

EU-domstolen har fattat ett i sammanhanget viktigt beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Europakonventionen om de mänskliga rättigheterna och EU:s människorättsstadga föreskriver att »Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Där kan man även läsa att »Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Vilket gäller oavsett om mottagaren är tusenden eller bara en person.

Sammanfattningsvis är dagens dansk-svenska utspel om övervakning av elektroniska kommunikationer rätt mycket ett slag i luften.

Antingen är det fråga om sådant som redan är på gång i EU (Going Dark). Eller så är det sådant som saknar rättslig grund och som avfärdats av några av EU:s tyngsta institutioner – och som står i strid med de grundläggande mänskliga rättigheterna.

Snarare handlar det om att man ser ett tillfälle att flytta fram övervakningsstatens positioner. Och att man behöver säga något i media som låter handlingskraftigt.

Däremot är det välkommet med mer polisiärt samarbete mellan Sverige och Danmark för att bekämpa gränsöverskridande brottslighet. Svensk polis kanske till och med kan lära sig något på kuppen.

EU-valet och internets framtid

av

Här är fyra frågor som borde vara aktuella i EU-valet: Chat Control 2, rätten till krypterad kommunikation, EU:s nya hat-förbud och ett nytt datalagringsdirektiv.

• Chat Control 2

EU-kommissionär Ylva Johanssons förslag om att låta AI granska innehållet i medborgarnas elektroniska meddelanden och konversationer – Chat Control 2 – står still.

Ministerrådet kan inte komma överens om någon gemensam kompromiss och Europaparlamentet har sagt nej till alla centrala delar i CC2.

Parlamentets beslut fattades i en unik bred enighet över partigrupperna, med hänvisning till att CC2 strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

På köpet hoppas parlamentet ha gjort sig av med en besvärlig fråga i EU-valrörelsen.

Inte desto mindre måste ett slutligt beslut om CC2 fattas under våren 2026, under nästa EU-mandatperiod. Och kommissionen och ministerrådet biter sig fortfarande fast vid det ursprungliga förslaget.

Socialdemokraterna tycks i huvudsak vara för CC2, även om de tillsammans med sin partigrupp i parlamentet står bakom parlamentets nej (tills vidare). Regeringspartierna är för CC2 i modifierad form, men står även de bakom Europaparlamentets nej.

Man kan ana en viss kognitiv dissonans. Det är uppenbart att man försöker vinna tid och ducka frågan om CC2 till efter EU-valrörelsen.

• »Going dark«

På initiativ av det tidigare svenska EU-ordförandeskapet har EU-kommissionen satt upp en ljusskygg »high level group« för att försöka bereda sig tillgång till totalsträckskrypterad (end-to-end-krypterad, E2EE) kommunikation.

(Från början var det en »high level expert group«, men ordet »expert« togs bort då expertgrupper enligt reglerna har större krav på öppenhet och transparens.)

Detta är en fråga där hela vår IT-säkerhet sätts på spel genom krav på bakdörrar till krypterad kommunikation. Här är både politiken och ordningsmakten pådrivande.

Denna ambition kolliderar dels med Europadomstolens beslut om att kryptering är en del av rätten till privat kommunikation, som är en grundläggande mänsklig rättighet. Dels mot EU-domstolens principiella beslut om att man får övervaka personer som misstänks för brott – men inte alla andra, hela tiden.

I sammanhanget kan noteras att det redan finns verktyg som hemlig dataavläsning för att övervaka personer som misstänks för brott. Vilket då sker med spionprogram på den misstänktes telefon och/eller dator.

Var Going Dark-projektet kommer att landa är oklart. Men det är uppenbart att Europaparlamentet har en viktig kontrolluppgift, så att projektet inte går bortom vad som kan accepteras i en demokratisk rättsstat och inom ramen för de mänskliga rättigheterna.

Europaparlamentet är rent av den enda institution som kan bedriva sådan tillsyn. Så det gäller att välja ledamöter som förstår och intresserar sig för frågan.

• EU:s nya hat-förbud

Under mandatperioden kommer EU att utöka katalogen över »EU-brott« med hat och hot. Andra exempel på EU-brott är terrorism och vapensmuggling.

För att göra detta måste EU:s institutioner komma fram till en definition av brottet och ett minimistraff. I en resolution som nyligen antogs ger Europaparlamentet kommissionen fria tyglar att definiera nästan vad som helst som hat. Detta kan bli helt tokigt.

M+KD+L+C+S+MP+V röstade för resolutionen. De bör avkrävas svar på vilka yttranden de vill förbjuda. Före valet.

Lagstiftningsprocessen kommer att äga rum under den kommande EU-mandatperioden.

• Datalagring

2014 upphävde EU-domstolen EU:s datalagringsdirektiv, för att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Datalagring innebär lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar och mobilpositioner.

Det var i samband med detta beslut som EU-domstolen etablerade principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Många medlemsstater (däribland Sverige) har med olika krumbukter och trots EU-domstolens protester fortsatt sin datalagring ändå. Nyligen föreslog en svensk utredning att den skall utökas. (Vårt remissyttrande.)

Både EU-kommissionen och ministerrådet är inne på att det behövs ett nytt datalagringsdirektiv som rundar domstolens principbeslut. Även detta är en process som kommer att hanteras under den kommande mandatperioden.

Glöm inte fråga dina EU-kandidater vad de tycker i frågorna ovan.

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Tyskland vill göra rätten till totalsträckskryptering obligatorisk

av

Samtidigt som EU vill urholka rätten till säker krypterad elektronisk kommunikation vill den tyska regeringen göra den obligatorisk.

Det tyska departementet för transport och digitala frågor har nu tagit första steget mot att göra rätten till totalsträckskryptering / end-to-end-kryptering (E2EE) obligatorisk. Detta är en fråga som regleras i den tyska regeringens koalitionsfördrag, men som dragit ut på tiden.

Vad är det då som skall bli obligatoriskt? Det tycks inte handla om något generellt absolut krav på kryptering av allt. Däremot måste alla meddelande- och molntjänster erbjuda möjligheten till E2EE. Detta skall gälla överallt där det är tekniskt möjligt.

Vilket är ett stort steg i rätt riktning, även om man kan tycka att E2EE borde vara standard för alla elektroniska kommunikationer.

En intressant aspekt är att en av EU:s tyngsta aktörer nu är på väg att göra rätten till totalsträckskrypterad kommunikation till lag. Vilket går på tvärs mot vad andra länder i EU:s ministerråd vill. Till exempel vill Spanien helt förbjuda E2EE.

Samtidigt har EU en »högnivågrupp« som arbetar med frågan om hur man skall kunna kringgå kryptering och bereda sig tillgång till all elektronisk kommunikation.

Detta skall bli intressant att följa.

• Recht auf Verschlüsselung geplant »

Relaterat: Going dark – EU:s krig mot krypterad kommunikation »

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

#ChatControl: Vet politikerna vad de sysslar med?

av

ChatControl / meddelandekontroll kan inte stoppa brottslig verksamhet. Däremot kommer EU-förslaget att ge de sociala mediejättarna tillgång till mer känslig persondata om sina användare.

Man får ofta ett intryck av att politiker inte vet vad de sysslar med, när de stiftar lagar som gäller internet.

EU-kommissionens förslag om att all e-post, alla elektroniska meddelanden m.m. skall av-krypteras, öppnas och att dess innehåll skall granskas – »ChatControl« – väcker frågor.

Medan tjänster som Google, WhatsApp, Messenger, Telegram, Signal m.fl. kanske kan tvingas granska innehållet i våra elektroniska kommunikationer – så går det inte att komma åt den som använder riktig end2end-krypterad (EE2E) e-post (GPG). Även privata, egenhostade mail- och chatservrar lär hamna utanför meddelandekontrollen.

För den som vill distribuera olagligt material eller ägna sig åt olagliga aktiviteter online är det med andra ord lätt att gå runt det nya förslaget. Going dark.

Däremot kommer alla vanliga, hederliga människor att få innehållet i sina elektroniska kommunikationer granskade – av maskiner. Vilket är en kränkning av rätten till privat korrespondens, vilken i sin tur är en mänsklig rättighet.

Samtidigt kommer själva granskningen av innehållet i våra elektroniska kommunikationer att ske hos respektive tjänsteoperatör.

Företag som Google, Facebook, Apple, Microsoft kritiseras redan (inte minst av politiker) för att de vet för mycket om sina användare. Men med ChatControl är tanken att just dessa företag skall tvingas läsa alla våra privata meddelanden och analysera dess innehåll.

Big Data – som redan vet allt för mycket om oss – kommer alltså att påtvingas uppgiften att läsa och analysera det mesta vi skriver till varandra online. Detta kommer att ske med hjälp av maskiner och deras algoritmer.

Hur politiker kan tycka att sociala media vet för mycket om sina användare – och samtidigt tvinga dem att granska innehållet i alla våra meddelanden är märkligt.

Detta känns inte helt genomtänkt.

Läs mer:
• EU upphäver rätten till privat korrespondens (innehåller även de viktigaste länkarna) »

EU vs. Telegram

av

Det kan bli stökigt både juridiskt och politiskt när Frankrike och EU nu ger sig på meddelande-appen Telegram.

Frankrike kan ha försatt sig själva – och EU – i en knepig sits i och med att man arresterat meddelande-appen Telegrams grundare och chef, Pavel Durov. (Se vår förra bloggpost.)

Att stifta lagar som låter bra är en sak – men att tillämpa dem kan visa sig vara knepigare.

När det kommer till EU-lag (som i vart fall i teorin är överordnad fransk lag) går frågan om budbärarimmunitet (mere conduit) tillbaka till gamla eHandelsdirektivet (ECD) vars regler nu återfinns i EU:s Digital Services Act (DSA).

Den som tillhandahåller en kommunikationstjänst (t.ex. uppkoppling eller en »interpersonal communication service«) kan inte hållas ansvarig för sådant denne inte känner till. Därmed kan en sådan tjänst inte hållas ansvarig för vad användarna har för sig. Generell övervakning av innehåll är inte tillåten.

Dock förutsätter DSA att tjänsten tar bort olagligt innehåll om den upptäcker eller får kännedom om sådant. (Exakt vad som är olagligt avgörs av den politiska dagsformen. I sammanhanget kan det vara värt att notera att EU är på väg att göra »hat« till ett EU-brott i klass med terrorism och vapensmuggling.)

Den som initierar eller modifierar vad som sprids är dock ansvarig för sitt innehåll. Då är man en redaktionell tjänst snarare än en kommunikationstjänst.

Vad är det då som gäller i fallet Telegram?

DSA tvingar som sagt operatörer att ta bort olagligt innehåll som de får kännedom om. Vilket Telegram (om vi förstår fransoserna rätt) inte gjort. Således hålls operatören medansvarig för de brott som begåtts i/med dennes tjänst.

Det är lite som att hålla Trafikverket ansvarigt för all kriminell verksamhet som sker i anslutning till dess vägar. Eller Post Nord för att det sänds droger per post. (Å andra sidan är båda som regel skyldiga att agera om de får kännedom om något brottsligt som de kan medverka till att avstyra.)

Här måste först fastställas att Telegram varit eller gjorts medvetet om innehållet i fråga. Samt att det verkligen handlar om olagligt innehåll. Vilket i sig kan bli en utdragen process.

Nästa fråga är vad man egentligen menar med att Telegram / Durov är medskyldiga till de brott som kan ha begåtts eller planerats på plattformen. Att utkräva samma ansvar som av en verklig gärningsman känns orimligt.

Men det handlar inte bara om olagligt innehåll som sådant. Framförallt vill fransmännen och EU att Telegram samarbetar för riktad övervakning och massövervakning.

Detta är en del av EU:s krig mot krypterad kommunikation. Även om Telegram inte har totalsträckskryptering (E2EE) by default, så lär de aktörer myndigheterna vill åt ha slagit på den i appens inställningar.

Med Telegrams högst oklara bolagsstruktur, utspridda hårdvara och slutna serverprogramvara kan det bli knepigt att tvinga företaget till någonting alls. Därför tar man nu till storsläggan och fängslar dess centralfigur, Pavel Durov.

Vilket är en signal till andra meddelandetjänster och operatörer. (Till exempel den mindre men oberoende, säkrare och totalsträckskrypterade meddelande-appen Signal, som används av aktivister, oppositionella och journalister runt om i världen.)

En sak EU inte tycks tänka på är att om man tvingar en meddelande-app att skapa bakdörrar till krypterad kommunikation – då öppnar man inte bara upp användarnas meddelanden för europeiska myndigheter. Då kommer även Kina, Ryssland, Iran och andra skurkstater att kunna använda samma bakdörr för att förtrycka sina oppositionella.

Det är inte helt uppenbart hur fransmännen tänkt hantera detta. Att låsa in Durov någon längre tid för att han möjliggör säker privat kommunikation ser illa ut och kan bli politiskt jobbigt. (Europaparlamentet och Europadomstolen försvarar rätten till totalsträckskryptering, med hänvisning till de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

Att fallet är känsligt understryks av att president Macron är angelägen om att påpeka att detta inte är ett politiskt beslut och att han inte har något med saken att göra.

Sedan kompliceras allt av att det är oklart om Telegram drivs av en principiell inställning till fri och privat kommunikation – eller om tjänsten har olämpliga kopplingar till Ryssland och i så fall på vilket sätt. Blandar man in nationell säkerhet kan delar av fallet komma att hemligstämplas, vilket i så fall hindrar media och allmänhet från att kontrollera att processen går rätt till.

Detta är ett getingbo. Och vad som sker kan bli prejudicerande, då DSA inte tidigare prövats på allvar.