Femte juli

Nätet till folket!

statstrojan

Chat Control: Ministerrådet vill bryta eller förbjuda E2E-kryptering

av

Tre av fyra EU-länder anser att end-to-end-kryptering måste brytas eller förbjudas för att kontrollera innehållet i medborgarnas elektroniska meddelanden. Antingen med teknik som ännu inte existerar eller med spionprogram på varje telefon, dator och platta.

EU:s medlemsstater i ministerrådet har fått frågan om sin inställning till totalsträckskryptering (end-to-end-encryption, E2EE) i samband med behandlingen av massövervakningsförslaget Chat Control (CSAR).

Av de 20 som svarat uttrycker 15 att de gärna vill se skanning av innehållet även i totalsträckskrypterade meddelanden. Längst går Spanien, Ungern och Cypern – som i princip kräver det. Hur det är tänkt att gå till är dock oklart.

Tyskland, Finland och Estland har samtidigt starka invändningar – och säger nej till att bryta E2EE. Även Italien uttrycker oro.

Det är Wired som kommit över ett dokument från ministerrådets generalsekretariat. (Sverige som just nu är ordförandeland har inte framfört någon åsikt.)

»Of the 20 EU countries represented in the document leaked to WIRED, the majority said they are in favor of some form of scanning of encrypted messages, with Spain’s position emerging as the most extreme. “Ideally, in our view, it would be desirable to legislatively prevent EU-based service providers from implementing end-to-end encryption,” Spanish representatives said in the document.« (…)

»“It is shocking to me to see Spain state outright that there should be legislation prohibiting EU-based service providers from implementing end-to-end encryption,” says Riana Pfefferkorn, a research scholar at Stanford University’s Internet Observatory in California who reviewed the document at WIRED’s request. “This document has many of the hallmarks of the eternal debate over encryption.”«

Kroatien anser att E2E-krypterade meddelanden inte får vara ett skäl för att låta bli att rapportera in kommunikationer som rör sexuella övergrepp mot barn. Slovenien säger att spårningsorder även måste gälla totalsträckskrypterade ”nätverk”. Rumänien säger att kryptering inte får bli en ”fristad” för illvilliga aktörer.

Frågan ”Hur?” blir dock fortfarande hängande i luften.

Danmark och Irland vill både skanna E2E-krypterade meddelanden och försvara sådan kryptering mot att försvagas. (!) Därför hoppas de att teknik som kommer att göra sådant möjligt på något magiskt sätt kommer att uppstå innan förordningen träder ikraft nästa sommar. Vilket känns en smula optimistiskt.

»“They want to keep the security of encryption whilst being able to circumvent it,” says Ella Jakubowska, a senior policy advisor at European Digital Rights (EDRI). Jakubowska says she is “unsurprised but nevertheless shocked” to see that European countries have a “really shallow understanding” of encryption. “They want privacy but they also want to indiscriminately scan encrypted communications,” Jakubowska says.«

Nederländerna vill se client-side-scanning med spionprogram på alla telefoner, datorer, plattor med mera. Sådana ”statstrojaner” kan läsa av allt användarna gör redan innan meddelanden krypteras respektive efter att de av-krypterats. (Plus möjligen komma åt allt annat på enheten.)

Polen vill att kryptering skall kunna upphävas genom domstolsbeslut… Vilket lämnar oss med fler frågor än svar.

Finland ställer å andra sidan frågan hur kommissionen tänkt lösa denna fråga rent tekniskt. Tyskland säger att kryptering inte får störas, kringgås eller modifieras. Vilket tyder på viss insikt om de tekniska realiteterna.

Men majoriteten av länderna i ministerrådet tycks inte riktigt förstå vad de sysslar med. De föreslår sådant som är tekniskt omöjligt och saker som inte existerar.

Alternativt vill de ha spionprogram på alla medborgares alla digitala enheter.

Eller förbjuda totalsträckskrypterade meddelande-appar, vilket EU-kommissionär Ylva Johansson redan öppnat för i sitt förslag.

Detta är häpnadsväckande okunnigt och oroväckande.

(Notera att detta är respektive regerings ställningstagande. Parlamenten i länder som till exempel Österrike, Irland och Frankrike säger nej till Chat Control eller uttrycker tveksamhet.)

• Wired: Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Sveriges statstrojan

Datainspektionen säger nej till statstrojanen

av

Nu har Datainspektionen sagt sitt om den utredning om ”hemlig dataavläsning” som presenterades i november 2017.

Datainspektionen är bland annat kritisk till att den så kallade statstrojanen ska få användas för mindre brott, och menar att utredningen ”väsentligt underskattat integritetsriskerna”.

Så här vackert inleder myndigheten sitt yttrande, som publicerades i dag:

Användningen av det föreslagna tvångsmedlet hemlig dataavläsning kan komma att innebära ett i den personliga integriteten synnerligen ingripande intrång. För att införa ett sådant tvångsmedel i ett demokratiskt samhälle måste det föreligga mycket starka skäl.

Mellan raderna säger alltså Datainspektionen att utredningens förslag är odemokratiskt. Och kritiken fortsätter i den andan:

Eftersom varje tvångsmedel och övervakning av enskilda personer innefattar ett integritetsintrång måste nödvändigheten av dessa metoder alltid vägas mot integritetsskyddsintresset. Vid dessa bedömningar måste hänsyn tas till kraven i regeringsformen, Europakonventionen och EU:s rättighetsstadga. Enskildas rätt till skydd för sitt privat- och familjeliv och sitt hem och sin korrespondens är en grundläggande rättighet i ett demokratiskt samhälle. Varje inskränkning i denna rätt måste bygga på ett angeläget samhälleligt behov av inskränkning och den måste stå i rimlig proportion till det syfte som ska tillgodoses genom ingreppet. Vidare måste undantagen vara utformade med sådan precision att inskränkningen av rättigheten är förutsägbar i rimlig utsträckning.

Datainspektionen går så långt som att använda ordet ”totalövervakning”:

Det skulle, vid ett införande i enlighet med utredningens förslag, kunna vara möjligt för den brottsbekämpande myndigheten som använder metoden att närmast fullständigt kunna kartlägga och övervaka den person som utsätts för åtgärden. En sådan totalövervakning av en person innebär naturligtvis synnerligen stora risker för den personliga integriteten för den som utsätts för åtgärden, och ibland även för andra.

Mot den bakgrunden anser myndigheten inte att en statstrojan är ett proportionerligt tvångsmedel:

Nödvändigheten av den föreslagna utformningen och användningen av tvångsmedlet måste anses väsentligt understiga integritetsskyddsintresset. Mot denna bakgrund avstyrker Datainspektionen förslaget.

Det sammantagna intrycket är att Datainspektionen står upp för det demokratiska samhället och sätter ner foten när regeringen avser bryta mot Sveriges grundlag, Europakonventionen och EU:s rättighetsstadga – ja, mot själva idén om den västerländska demokratin så som den var tänkt att fungera.

Även Säkerhets- och integritetsskyddsnämnden säger nej

Även den statliga myndigheten Säkerhets- och integritetsskyddsnämnden underkänner utredningens förslag. Deras yttrande är längre och mer byråkratiskt formulerat. Ett utdrag:

Den föreslagna tillämpningen av hemlig dataavläsning vid hemlig kameraövervakning och hemlig rumsavlyssning kommer däremot att innebära en väsentlig utökning av myndigheternas möjlighet att i hemlighet kartlägga enskildas liv. Dessa tvångsmedel tillhör de mest integritetskränkande och bör som utgångspunkt användas restriktivt. I denna del har utredningen enligt nämnden dels inte förmått påvisa ett tydligt behov av det nya tvångsmedlet, dels inte analyserat de tekniska problemen och gränsen mellan domstolens och den verkställande myndighetens roller tillräckligt. Enligt förslaget ska hemlig dataavläsning kunna verkställas t.ex. i en mobiltelefon genom att kamera- och mikrofonfunktionerna aktiveras. För att säkerställa verkställighet enbart på den plats som anges i tillståndet är det nödvändigt att den brottsbekämpande myndigheten känner till exakt var telefonen finns under hela verkställighetstiden. Likaså får verkställigheten inte komma i konflikt med bestämmelserna om avlyssningsförbud. Utredningen har inte redovisat någon närmare analys av hur detta ska gå till.

Nämnden ser dessutom ”särskilda svårigheter när det gäller tillämpningen av proportionalitetsprincipen vid hemlig dataavläsning”, vilket även är Datainspektionens huvudargument.

Nu återstår att se om regeringen tar till sig kritiken. Nästa steg i lagstiftningskedjan är en lagrådsremiss som innehåller samtliga remissyttranden och som Lagrådet ska ta ställning till. Lagen föreslås träda i kraft den 1 januari 2019.

Bild: Remix av ett foto av Richard Fisher (CC BY 2.0).

Längre straff för upphovsrättsbrott ger polisen mer makt att avlyssna

av

Regeringens utredare Dag Mattsson presenterade förra veckan sitt betänkande Grovt upphovsrättsbrott och grovt varumärkesbrott.

Utredningen föreslår att upphovsrätts- och varumärkesbrott får en särskild straffskala, där brott som betecknas som ”grova” ska kunna ge mellan sex månader och sex års fängelse.

Migrations- och biträdande justitieminister Heléne Fritzon kommenterade i ett pressmeddelande:

I dag pågår det en organiserad piratverksamhet på nätet som får stora konsekvenser för hela samhället. Därför är det bra att straffskalorna för dessa brott har setts över då straffen ska stå i proportion till brottens allvar.

Den grövre straffskalan välkomnas av polisen. Paul Pintér, polisens nationella samordnare mot immaterialrättsliga brott, säger till Ny Teknik:

Det är efterlängtat för oss inom polisen. Det kommer att öppna upp andra utredningsmetoder som vi kan använda oss av under förundersökning.

Ett högre maxstraff ger alltså polisen ökade befogenheter att avlyssna, begära ut uppgifter från internetoperörer, med mera. Ännu en utredningsmetod som polisen nu får tillgång till skulle kunna vara den föreslagna statstrojanen, där polis ska ha rätt att installera avlyssningsutrustning på misstänktas datorer. Ordföranden för Dataskydd.net och före detta europaparlamentarikern för Piratpartiet Amelia Andersdotter kommenterar på Facebook:

I kombination med förslagen i utredningen om hemlig dataavläsning (SOU 2017:89) innebär strafförlängningen att åklagare och polis ska få hacka fildelare.

Utredningen föreslår också att domännamn ska kunna tas i beslag, på samma sätt som hårdvara tas i beslag under en utredning. Enligt utredaren kommer detta att ”få betydelse för det brottsförebyggande arbetet”:

Den pågående brottsligheten försvåras så att den inte kan fortsätta ända till dess att ett lagakraftvunnet beslut om att egendomen ska förverkas kan verkställas, något som kan dröja flera år. (s. 8)

Detta förslag – unikt för immaterialrättsbrott – ifrågasätts dock av Daniel Westman, en av utredningens egna experter, som menar att ett beslagtagande av domännamn ”skulle innebära en principiell nyhet i svensk rätt” och kunna få konstiga konsekvenser:

Med förslaget skulle detta nya verktyg emellertid bara bli tillgängligt i samband med brottsutredningar inom upphovsrätten och varumärkesrätten, inte i t.ex. utredningar som rör betydligt allvarligare brottsbalksbrott. (s. 119)

Lagändringarna ska träda i kraft den 1 juli 2019, enligt förslaget.

Henrik Alexandersson (HAX)

HAX: Hemlig dataavläsning – låt er inte luras!

av

Så har då utredningen om hemlig dataavläsning presenterats. Den föreslår att myndigheterna skall få installera spionprogram på folks datorer, plattor och telefoner. Med stor sannolikhet kommer regeringens proposition att ligga mycket nära utredarens förslag.

Det sägs att detta mycket integritetskränkande verktyg bara skall få användas för att bekämpa allvarlig brottslighet. Känns det igen? Det sa man om datalagringen också – som sedan kom att användas till exempel för att jaga fildelare och för att låta skattemyndigheterna snoka i folks privatliv.

Ger man staten sådana här verktyg – då är det inte en fråga om ifall utan när ändamålsglidningen kommer att ske.

Den lilla debatt som alls förekommit i media har mest handlat om detaljer. Men – vad jag har kunnat se – har den inte alls berört den stora frågan: Att det är en dålig idé att skapa bakdörrar som undergräver allas vår it-säkerhet.

Vi har redan sett hur sådana verktyg har hamnat i orätta händer efter att ha läckts från amerikanska myndigheter. Även om Sverige skulle ta fram en helt egen ”statstrojan” är det – återigen – inte en fråga om om utan när den läcker och hamnar i händerna på till exempel kriminella och främmande makt.

Dessutom bygger sådana här verktyg så gott som alltid på sårbarheter och säkerhetsluckor som är kända eller på väg att bli kända. Vilket innebär att andra mycket väl kan komma att utnyttja den bakdörr till våra datorer som politikerna nu vill öppna.

Svenska staten håller med andra ord på att bli ett hot mot svensk it-säkerhet.

Slutligen kan man konstatera att en proposition från regeringen i denna fråga kommer att bli ännu ett svek från (regeringspartiet) Miljöpartiet i integritetsfrågorna. Dess svek är nu totalt.

Låt oss se till att få upp en debatt om hemlig dataavläsning på banan så snart som möjligt – medan det fortfarande är möjligt att påverka med sakliga argument och innan positionerna blir alltför låsta.

Och vill regeringen och övervakningspartierna ha en integritetsdebatt lagom till valåret 2018 – då ska de också få en.

Battle stations!

/HAX

Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 19 november 2017. Bilden togs under en tågresa till Prag 2016. Foto: TE.

Sverige får sin första statstrojan

av

I dag presenterade regeringens särskilda utredare Petra Lundh delbetänkandet Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet.

Utredaren föreslår att Sverige inför en tidsbegränsad lag som tillåter ”hemlig dataavläsning”.

Regeringen förklarar vad som menas:

Med hemlig dataavläsning kan man med hjälp av tekniska hjälpmedel, till exempel programvara, i hemlighet läsa meddelanden som skickas till eller från exempelvis mobiltelefoner. Det är redan i dag tillåtet att samla in sådan information men inte alltid möjligt på grund av bland annat kryptering.

I klartext innebär detta att regeringen vill komma runt Whatsapps och andra meddelandeappars end-to-end-kryptering. Eftersom det inte är något alternativ att knäcka krypteringen återstår bara för staten att läsa meddelandena på de berördas telefoner innan de krypterats och efter att de avkrypterats.

Tyskarna har gett tekniken namnet ”statstrojan” – tyska underrättelsetjänsten BND satsade under förra året 150 miljoner euro på att försöka komma runt krypteringen i meddelandeappar, något vi berättade om i 5 juli-poddens avsnitt 31.

Och belgarna gav nyligen Big Brother-priset 2017 till ”den europeiska trenden state hacking”.

Säga vad man vill om Sveriges justitie- och inrikesminister Morgan Johansson, men han är i alla fall väldigt trendig.

Statstrojanen får Big Brother-priset 2017

av

Belgiska Big Brother Award (BBA) går i år till den ”europeiska trend” som man kallar ”state hacking”, det vill säga att staten tar sig in i våra telefoner och andra enheter på ett sätt som skulle vara direkt olagligt om en simpel hackare gjorde samma sak.

Liksom många andra länder har Belgien lagar som ger staten rätt att installera skadlig kod – statstrojaner – på medborgarnas prylar:

This malware, created and used by government agencies, is installed on a suspect’s mobile device, tablet, or computer, in order to get full access to chat messages, photos, video recordings, or other private data.

Statstrojanen var juryns val. Allmänhetens pris gick till ANPR-kameror, som fotar bilars nummerplåtar, och numera en hel del mer saker, i trafiken.

Intressant nog hittas även ”smart cities” bland de nominerade till belgiska BBA. Smarta städer brukar hyllas för att vara miljövänliga genom att ligga i teknisk framkant, men belgiska BBA uppmärksammar att data ofta samlas in på ett okritiskt sätt:

Ever more data are being collected by an increasing number of cities and municipalities, without any authorisation and well-defined purposes.

Det finns många Big Brother Awards, som alla syftar till att ge ett föga smickrande pris till de myndigheter, institutioner, med mera som gjort mest för att hota den personliga integriteten under det gångna året.