ChatControl

#ChatControl 2.0 – ett slag mot end-to-end-krypterad e-post?

9 juli 2021 av Henrik Alexandersson 1 kommentar

I veckan antog Europaparlamentet EU:s nya regelverk som låter operatörerna av-kryptera och gå igenom sina användares elektroniska meddelanden och e-post, i namn av att bekämpa sexuella övergrepp mot barn. I höst kommer nästa steg, där detta är tänkt att bli obligatoriskt.

MEP Patrick Breyer (PP, DE) skriver:

»But this is not the end of the story: For autumn 2021, European Commission announced that it will propose a follow-up legislation that will make the use of chatcontrol mandatory for all e-mail and messenger providers. This legislation might then also affect securely end-to-end encrypted communications. However, a public consultation by the Commission on this project showed that the majority of respondents, both citizens and stakeholders, were opposed to an obligation to use chat control. Over 80% of respondents opposed its application to end-to-end encrypted communications. As a result, the Commission postponed the draft law announced for July to September 2021.«

Hur man tänkt sig komma åt end-to-end-krypterade meddelanden är en gåta. Vi får se vad kommissionen föreslår efter EU:s sommarlov, som börjar nu eft parlamentets juli-session.

• MEP Patrick Breyer (PP, DE): Messaging and ChatControl »

Relaterat:

• #ChatControl – kommentarer dagen efter »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden (med länksamling) »

Chatcontrol - graf över omröstningen i Europaparlamentet

#ChatControl – kommentarer dagen efter

7 juli 2021 av Henrik Alexandersson 2 kommentarer

I går röstade Europaparlamentet – som vi rapporterat – för att elektroniska meddelanden och e-post skall avkrypteras och analyseras i jakt på övergrepp mot barn. Här kommer en del reaktioner och information.

Till att börja med röstade de tre svenska miljöpartisterna mot sin grupplinje – och gav alltså sitt stöd till förslaget. Det börjar bli ett mönster att MP:s ledamöter överger partiets tidigare linje för medborgarnas rätt till privatliv.

Europaparlamentets vice talman Marcel Kolaja (PP, CZ) är kritisk:

»According to Kolaja, it is necessary to protect children, but mass surveillance through private messages scanning is not the proper solution, saying it could affect many citizens. The adopted derogation is “a big blow to our digital privacy,” Kolaja said.«

EDRi kommenterar:

»Diego Naranjo, head of policy at European Digital Rights (EDRi), told EURACTIV the proposal was “rushed”, and failed to strike a balance between the right to privacy and the need to protect children online because “the discussion was instead shifted from rational to emotional arguments.”«

Ur samma artikel:

»Alexander Hanff, a former victim of child abuse (…) openly criticised the provision, arguing it will deprive victims of channels for confidential counselling. “It will not prevent children from being abused, it will simply drive the abuse further underground, make it more and more difficult to discover it. It will ultimately lead to more children being abused,” Hanff said.«

MEP Patrick Breyer (PP, DE) kommenterar:

»The adoption of the first ever EU regulation on mass surveillance is a sad day for all those who rely on free and confidential communications and advice, including abuse victims and press sources. The regulation deals a death blow to the confidentiality of digital correspondence. It is a general breach of the dam to permit indiscriminate surveillance of private spaces by corporations – by this totalitarian logic, our post, our smartphones or our bedrooms could also be generally monitored. Unleashing such denunciation machines on us is ineffective, illegal and irresponsible.

Indiscriminate searches will not protect children and even endanger them by exposing their private photos to unknown persons, and by criminalising children themselves. Already overburdened investigators are kept busy with having to sort out thousands of criminally irrelevant messages. The victims of such a terrible crime as child sexual abuse deserve measures that prevent abuse in the first place. The right approach would be, for example, to intensify undercover investigations into child porn rings and reduce of the years-long processing backlogs in searches and evaluations of seized data.«

MEP Sophie in ‘t Veld (LIB, NL) säger:

»Whenever we asked critical questions about the legislative proposals, immediately the suggestion was created that I wasn’t sufficiently committed to fighting child sexual abuse.«

Detta är som vi tidigare noterat en tillfälliga regler. Nu gäller det att vara uppmärksam vad gäller nästa steg, som blir en mer permanent lagstiftning – som kan komma att bli mer omfattande och omfatta fler syften.

Länkar:
• EP vice-president slams ePrivacy derogation »
• New EU law allows screening of online messages to detect child abuse »
• EU Parliament lets companies look for child abuse on their platforms, with reservations »
• MEP Patrick Breyer »
• #ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation »

#ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation

6 juli 2021 av Henrik Alexandersson 1 kommentar

Idag har Europaparlamentet beslutat att dina meddelanden och din e-post skall avkrypteras och dess innehåll granskas.

Syftet är att bekämpa barnporr och sexuella övergrepp mot barn. Med tanke på ämnets känsliga natur har det lett till att berättigad kritik och omsorg om medborgarnas rätt till privatliv helt hamnat i skugga.

Läs vår tidigare beskrivning av frågan, dess bakgrund och process här. »

Dagens beslut gäller en tillfällig reglering, som i ett senare steg är tänkt att ersättas med ett mer permanent regelverk. Och här gäller det att se upp.

När frågan återkommer finns det många som vill utöka denna massövervakning av våra elektroniska kommunikationer till att även gälla andra syften. Det finns även de som vill se detta som ett allmänt verktyg i massövervakningens tjänst.

Så vi fortätter att bevaka frågan – för att uppmärksamma eventuell ändamålsglidning.

Länkar:
• MEP Patrick Breyer (PP, DE) »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden »
• Se gårdagens debatt i Europaparlamentet här (18:25-19:05) »

Graf: Så röstade utskottet LIBE om Chatcontrol

#Chatcontrol klar för slutlig votering

27 maj 2021 av Henrik Alexandersson Lämna en kommentar

I Europaparlamentet har Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor – LIBE – nu röstat ja till avkryptering och skanning av innehållet i dina meddelanden och din epost i jakt på barnporr och olämpliga kontakter med barn.

Läs vår tidigare post om detta – och varför det är problematiskt. Med länksamling. »

Med detta kan frågan gå vidare till votering i plenum, kanske redan så snart som 7-10 juni. Där kommer #Chatcontrol att godkännas, med applåder och en förkrossande majoritet.

Röstsiffrorna i LIBE (ovan) ger en fingervisning. I sammanhanget kan man notera att Alice Bah Kuhnke (MP) röstade emot den gröna grupplinjen i utskottet.

Nästa steg blir att hålla ögonen på denna övervakning – så att den inte missbrukas, så att oskyldiga inte drabbas och så att den inte råkar ut för ändamålsglidning.

Läs mer hos MEP Patrick Breyer (PP, DE) och se även ovan nämnda bloggpost.

Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden

11 maj 2021 av Henrik Alexandersson 6 kommentarer

Förra året trädde the European Electronic Communications Code (EECC) i kraft. Dess syfte var att garantera internetanvändares rätt till privatliv, vilket den också gjorde. I kombination med eHandels-direktivets förbud mot allmän, svepande övervakning gav den användarna det skydd som vi rimligen har rätt att kräva – om man tillämpar Europakonventionen om de mänskliga rättigheterna och vad denna har att säga om rätten till privatliv på våra liv online.

Vad man inte tänkte på var att Google, Yahoo, Facebook med flera redan av-krypterar och skannar innehållet i e-post och meddelanden. Detta i jakt på barnporr och för att förhindra sexuella övergrepp på barn. Flaggade meddelanden granskas av den amerikanska privata organisationen National Center for Missing & Exploited Children (NCMEC) och lämnas i förkommande fall vidare till polisen.

Detta skulle inte längre vara möjligt med det starka skydd för användarnas privatliv som EECC stadgar.

Från NCMEC:s sida startades därför en kampanj – uppbackad av kändisar från film- och nöjesvärlden – där man på ett högljutt sätt som i princip omöjliggjorde saklig diskussion krävde en återgång till den tidigare ordningen, där e-post och meddelanden avkrypteras och översänds till NCMEC.

Det är detta som nu är uppe i EU. Man gör ett undantag från EECC och eHandels-direktivet för att av-kryptering och granskning av meddelanden skall kunna fortsätta.

Beslutet är tvådelat. Dels handlar det om att man inför ett undantag i gällande lagstiftning, för att övervakningen skall kunna fortsätta. Dels handlar det om ett beslut om att göra denna övervakning möjlig även på sikt.

Det första beslutet gör det tillåtet för företag som tillhandahåller e-post och meddelandetjänster att av-kryptera och granska användarnas kommunikationer. Det andra beslutet gör det obligatoriskt.

Det första beslutet (undantaget) väntas i Europaparlamentets plenum i juni eller augusti. (Trilogförhandlingarna avslutades i slutet av förra månaden.) Och efter sommaren väntas EU-kommissionen lägga fram förslag till steg två, som alltså är tänkt att göra av-kryptering och granskning obligatorisk.

Vad är då problemet?

Till att böja med öppnar av-kryptering och innehållsgranskning för att denna verksamhet även kan komma att bedrivas i andra syften. I händerna på en auktoritär, korrumperad eller inkompetent regim är detta ett kraftfullt och farligt verktyg.

Vidare har studier i Schweiz visat att nio av tio flaggningar av den typ NCMEC vill ha är felaktiga. Detta kommer att få våldsamma konsekvenser för helt oskyldiga människor.

Den piratpartistiske ledamoten av Europaparlamentet, Patrick Breyer (DE) kommenterar:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Fler avvikande röster, ur en tidigare bloggpost:

»Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.«

Men nu är det hela i princip redan packat och klart. Nu gäller det att vara uppmärksam på om de nya reglerna missbrukas eller drabbas av ändamålsglidning.

Länkar:
• PP: Trilogkompromiss nådd om massövervakning av privat kommunikation »
• MEP Patrick Breyer (PP, DE): EU-deal on ChatControl – Indiscriminate analysis of all private communications contents becomes law »
• MEP Patrick Breyer (PP, DE): Dokument- och resurs-bank chatControl »
• MEP Patrick Breyer (PP, DE): Poll – 72% of citizens oppose EU plans to search all private messages for allegedly illegal material and report to the police »
• Babak Karimi: ”Jag misshandlades av maskerad polis i mitt eget sovrum” »

Våra tidigare poster om ChatControl, med länkar och resurser:
• EU: Nu skall alla dina elektroniska meddelanden granskas »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• EU: En soppa av motstridiga förslag och beslut om övervakning »
• EU hotar rätten till privat korrespondens online »
• Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras »

17 områden där EU vill bygga ut övervakning, kontroll och censur

7 maj 2021 av Henrik Alexandersson Lämna en kommentar

Massor av internet-och IT-relaterad lagstiftning har redan klubbats eller är på väg genom EU-apparaten. Det är så mycket att det blir svårt att få en överblick. Låt oss därför ge en ögonblicksbild av vad som är att vänta under den innevarande europeiska mandatperioden (2019-24).

Artificiell Intelligens: EU uppmanar visserligen till försiktighet vad gäller användning av AI för övervakning – men öppnar samtidigt för en lång rad undantag där AI ändå kan användas för övervakning från myndigheternas sida.

ChatControl: Meddelanden och e-post skall av-krypteras för att kontrollera om det förekommer sexuellt utnyttjande av minderåriga. Detta kan lätt utökas till andra syften.

Code of Conduct on countering illegal hate speech online: EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet.

Corona-pass: EU vill se en gemensam app för att möjliggöra en återgång till normalt liv för vaccinerade, testade och personer med antikroppar. Detta öppnar även nya möjligheter för övervakning.

Datalagring: Ett nytt datalagringsdirektiv är på väg. Tanken är att lagra data om alla medborgares alla tele- och datakommunikationer för att kunna kontrollera vem som har kontakt med vem, var folk befunnit sig och när de har varit uppkopplade. Frankrike vill ändra EU:s fördrag och stadgan om de mänskliga rättigheterna för att EU-domstolen inte skall kunna stoppa direktivet.

eBevis: Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare samt kommunikationsdata och lagrad information från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst.

EU-ID: Ett elektroniskt EU-ID finns på EU-kommissionens önskelista. Vilket i princip kommer att göra det omöjligt att vara anonym på nätet.

European Democracy Action Plan: Syftet är bland annat att bekämpa hat och desinformation online. Vilket alltid brukar landa i kontroversiella frågor om var gränsen går och vem som skall bestämma vad som är rätt och sant.

Europol: Den europeiska polismyndigheten arbetar intensivt för att knäcka krypterade kommunikationer. Man har flaggat för att man vill ha direkt tillgång till information hos privata aktörer (som till exempel internetoperatörer). Europol håller även på att utöka sitt mandat till att bekämpa desinformation.

Interconnected bank account registers: Den hårt kritiserade och misskötta överföringen av europeisk bankdata för analys hos amerikanska säkerhetsmyndigheter är tänkt att ersättas av ett centralt EU-register – för att lagra och analysera data om alla finansiella transaktioner inom det europeiska banksystemet.

Länkskatt: EU:s nya upphovsrättdirektiv kommer att leda till att det blir enklast för sociala media att sluta avtal med de stora mediehusen – på små, nya och alternativa medias bekostnad.

Patientjournaler: EU-kommissionen vill se ett heltäckande, centraliserat europeiskt system för medicinska journaler.

PNR: EU-kommissionen och ministerrådet vill utöka registreringen av våra resor (och om detaljer kring dessa). Detta gäller redan för flygresor, men man diskuterar att utöka registreringen till att även gälla hyrbilar, tågresor, båtresor och hotellövernattningar.

ROXANNE: Ett EU-finansierat projekt för röstigenkänning,

TERREG: Förordningen om terror-relaterat innehåll online innebär censur av åsikter online. Notera att det handlar om åsikter som inte nödvändigtvis är olagliga. Detta kan enkelt utvidgas till andra syften. TERREG kommer även att tvinga fram användning av uppladdningsfilter. Förordningen säger också att flaggat material skall plockas ner inom en timma (utan föregående rättslig prövning) och öppnar för att myndigheter i ett EU-land kan beordra nedtagning av innehåll på servrar i andra medlemsstater.

Trusted flaggers: EU:s nya Digital Services Act kommer att ge oss statligt godkända innehållsgranskare på nätet – vars anmälningar skall prioriteras av nätplattformarna.

Uppladdningsfilter: Allt som alla laddar upp kommer att inspekteras, analyseras och i förekommande fall censureras. Detta för att stoppa upphovsrättsskyddat material och terror-relaterad information. Dessa syften kan enkelt komma att utvidgas. Vissa EU-länder vill även se uppladdningsfilter som ett allmänt verktyg inom the Digital Services Act.

Detta är bara en del av allt som är på gång när det gäller internet, IT, övervakning och kontroll i EU. Nya förslag tillkommer hela tiden. Men vi tycker att det är viktigt att man inte bara gräver ner sig i enskilda förslag, utan även ser till den större bilden. Och sammantaget är det ingen tvekan om att EU är på väg att utvecklas till en kontroll- och övervakningsstat, som även begränsar det fria ordet online.

Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras

30 april 2021 av Henrik Alexandersson Lämna en kommentar

I går hölls den avslutande trialog-förhandlingen om Chatcontrol I EU – som öppnar för operatörerna att avkryptera och kontrollera innehållet i alla meddelanden och all e-post i jakt på barnporr och grooming riktad mot underåriga.

Vilket i praktiken leder till att alla dina elektroniska kommunikationer kan komma att granskas och i förekommande fall översändas till en privat organisation i USA, för vidare överföring till polisen.

Även den som är oskyldig har allt att frukta, då denna analys kommer att göras av maskiner som varken begriper kontext eller skillnaden mellan oskyldiga semesterbilder och barnporr. Erfarenheter visar att 86% av alla sådana flaggningar är felaktiga. Så skriv inget som kan missuppfattas eller vantolkas av maskinerna och dess algoritmer.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Gårdagens uppgörelse gör det tillåtet för operatörer att göra denna granskning, trots EU-lagstiftningens förbud mot allmän övervakning. Och nu förbereder EU-kommissionen ett lagförslag som gör sådan granskning obligatorisk.

Sedan är frågan när syftet med detta verktyg kommer att drabbas av ändamålsglidning, snarare än om så kommer att ske.

Läs mer hos Patrick Breyer »

Moderat krav på mer övervakning är i princip redan verklighet

7 april 2021 av Henrik Alexandersson Lämna en kommentar

Efter Encrochat vill Moderaterna ha större möjligheter till avlyssning och övervakning. »Nu behöver svensk lagstiftning ta ett ordentligt kliv framåt för att ge vår egen polis samma möjligheter som den franska.« skriver partiets rättspolitiske talesman Johan Forsell. Han menar vidare att det är ett problem att det i Sverige inte är lagligt att »avlyssna en hel meddelandetjänst«. Han vill vidare sänka ribban för användning av hemlig dataavläsning. Och så till hans huvudnummer:

»En verkligt mönsterbrytande åtgärd mot gängbrottsligheten skulle vara att göra det möjligt att använda hemliga tvångsmedel mot aktiva gängmedlemmar även utan konkret brottsmisstanke.«

Konkret vill han sänka ribban för hemlig dataavläsning. Jag vill minnas att vi varnade för ändamålsglidning redan när den lagen infördes.

Advokat Thomas Olsson har skrivit en replik. Låt oss lyfta fram och reflektera över några delar.

»För det andra verkar Johan Forssell inte riktigt förstå innebörden av att hemliga tvångsmedel riktas mot en ”meddelandetjänst”. En sådan åtgärd innebär att alla som använder ”meddelandetjänsten” blir föremål för övervakning, och det alldeles oavsett om de är ”gängkriminella” eller inte.«

Frågan är hur det alls är tänkt. Encrochat finns inte längre. Så det måste handla om vanliga meddelandetjänster. Och där är Forsell inte först på bollen. EU vill redan avkryptera och skanna alla meddelanden och så mycket av e-posttrafiken som möjligt. Fast i namn av kampen mot övergrepp mot barn. Men det kan ju lätt utökas.

Är det något sådant Johan Forsell vill göra om han blir inrikesminister? Eller hade han tänkt sig att FRA skall hacka WhatsApp, G-mail och Telegram? Förslaget lämnar massor av frågetecken.

»För det fjärde är det intressant att Johan Forssell konstaterar att det som fransmännen gjort är olagligt i Sverige. Anledningen till att det är olagligt är att Frankrike saknat tillstånd från en svensk domstol att utföra åtgärden på svenskt territorium. Och, precis som Johan Forssell konstaterar, skulle Frankrike aldrig kunnat få ett sådant tillstånd, eftersom åtgärden inte är tillåten enligt svensk lag.«

Detta pekar på ett större problem. Det är inte ovanligt att länder som inte har rätt att övervaka sina egna medborgare (utan brottsmisstanke) låter andra länder göra det. Vilket är att kringgå lagen.

(För övrigt har FRA tillgång till ”spionernas Google” – databasen XKeyscore. Då den enligt Snowden-läckan innehåller det mesta av smått och gott som USA, UK, Australien, Nya Zeeland och Kanada samlat in i sin globala massövervakning – då innehåller den med säkerhet även information om svenskar och svenska förhållanden.)

Låt mig slutligen kommentera Johan Forsells krav på hemliga tvångsmedel även utan konkret brottsmisstanke.

Någonstans måste det gå en gräns mellan vilka staten får övervaka och vilka den inte får övervaka. Idag går den i stort sett vid att det måste finnas en misstanke om brott. Det är en princip som bland annat väglett EU-domstolen när den upphävde EU:s datalagringsdirektiv. Skall det förekomma övervakning, då måste det finnas något lags misstanke. Vanligt hederligt folk skall inte övervakas. Rätten till privatliv är en grundläggande mänsklig rättighet.

I detta fall handlar det om individer i (och kring?) kriminella nätverk. Man kan tycka att om ett gäng är att betrakta som kriminellt, då bör det rimligen också finnas något slags misstankar om kriminalitet. Frågan är hur konkreta dessa misstankar behöver vara. Om ett brott är förestående är svaret rätt enkelt. Men om det inte finns misstanke om att någon tänker göra något kriminellt? Var har Forsell i så fall tänkt dra gränsen?

Det känns tryggare om vi inriktar övervakningen och polisens resurser mot människor som faktiskt är misstänkta för brottslig verksamhet – och lämnar alla andra ifred.

Moderaternas utspel känns lite krystat, som att de säger något bara för att de måste. Och hemlig dataavläsning får faktiskt redan användas i brottsmisstänktas fysiska och sociala närmiljö, även om det kan drabba oskyldiga. Så det känns lite som om man sparkar in en öppen dörr. Vi är redan där. Tyvärr.

• Johan Forsell, M: Ge svensk polis samma möjligheter som i Frankrike »
• Thomas Olsson: Moderaternas förslag slår mot allas integritet »