Så fik EU også nok: Kræver masterkeys til end-to-end krypto

Terror-angrebet i Wien har givet EU det sidste skub til nu også at kræve et stop for ubrydelig end-to-end kryptering i masse-tilgængelig software og services.

Det er et østrisk medie der har fået fingre i et internet EU dokument.

Blodtrykket er hastigt på vej op blandt IT-liberale og kryptografer, som dog alle som en overser en meget væsentlig detaljer: EU er i sin gode ret.

Der er mange teknologier der ikke er i frit omløb, fordi de vurderes at være til fare for samfundet og det er samfundets ret og pligt at regulere den slags.

Som altid er det en afvejning, skydevåben i kyndige ansvarlige entusiasters hænder er der ingen problemer med, skydevåben i ophidsede menneskers hænder er der mange problemer med og derfor er kategoriske regler aldrig nogen god løsning.

Den helt fundamentale egenskab ved en retsstat, er at domstole kan skille skæg fra snot.

Det er ikke et princip EU giver køb på og derfor vil end-2-end kryptering som domstole ikke kan brække åben blive stoppet, på den ene eller den anden måde.

Der er mange måder det kan gøres på, men fælles for dem alle er at IT-liberalisterne ikke vil høre tale om en eneste af dem: De påberåber sig retten til ubrydelig kryptering af alt hvad det passer dem.

Eftersom ingen af IT-liberalisterne har nogen indflydelse der bare minder om hvad domstole, offentlige anklagere og politimyndigheder har, bliver det ikke verdens mest interessante slagsmål at se på.

Den fornuftige reaktion på EU-dokumentet, ville være et kompromis-forslag som begge parter kan leve med.

Der er mange måder at strikke et sådant kompromis sammen efter "frihed under ansvar" princippet.

Jeg tror roligt vi kan antage at serviceudbydere bliver pålagt at kunne dekryptere kommunikation når der kommer en dommerkendelse, det er ikke til forhandling.

Men det behøver ikke betyde et blanko forbud imod e2e kryptering.

Man kunne f.eks kræve N-a bits af nøglerne til ubrydelig kryptering skal lægges i escrow hos en godkendt 3-part (typisk: advokater), således at en dommerkendelse plus en anseelig brute-force indsats kan bryde krypteringen.

Det ville være fuldt ud til at leve med for virksomheders anvendelse af intern kryptering og for den sags skyld privatpersoners ligeså. (Upside: Det reducerer også konsekvenserne af nøgletab betragteligt)

At entusiater og forskere kan få en "krypteringstilladelse" efter ansøgning og under ansvar er også lige til højrebenet, det er ikke dem der er problemet. Ansvaret bliver at de også skal kunne svare på en dommerkendelse eller ifalde en passende straf.

Der skal også være en "or else...", så vi ikke får endnu en Tvindsag hvor svindlere går fri ved at bruge ubrydelig kryptering. Dette er dybt problematisk på alle mulige måder, men hullet skal være lukket for at stoppe folk som Amdi, Riskær, Bagger osv.

Men det er altså ikke rocket-science og jeg er glad for at se at EU's dokument ikke er ligeså tykpandet som det vi har set fra "Five Eyes", Kina og Rusland.

Men hvis vi skal have en god løsning, skal vi ind på banen og sige noget fornuftigt.

At stå på de billige rækker og skrige at EU "prøver at forbyde matematik" er lige så effektivt som det var at forhindre våbenregulering ved at råbe at de "prøver at forbyde kemi & fysik".

phk

Kommentarer (165)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Magnus Jørgensen

Man kan jo nemt gøre en ting ulovlig, men det tror jeg personligt ikke vil hjælpe. Det er jo netop den faktor der skal vurderes når man vil gøre noget ulovligt. Hvordan vil du undgå at folk fx lægger krypteret data i første bit pr pixel i alphalaget på et png billede? Du vil ikke kunne se det og entropien vil ikke være særligt andeledes end andre billeder. Der er så utroligt mange måder at skjule krypteret data .

  • 22
  • 1
#3 Henrik Knopper

Hvordan vil du undgå at folk fx lægger krypteret data i første bit pr pixel.....

Er det ikke lige præcis her PHK's "or else" klausul kommer ind? Du kan ikke forbyde matematik (!) men du kan gøre det klart for alle at hvis nogen bruger matematik til at skjule noget for en dommerkendelse er der omvendt bevisbyrde.

  • 7
  • 11
#4 Magnus Jørgensen

På den anden side - Når "de" så finder det, har "de" med lovgivning og dommerkendelser bagved, nu fat i en tråd som "de" måske kan trevle hele "gulvtæppet" op med.

Med lovgivningen kan de gå efter den enkelte udbyder, men hvis en person fletter hemmelige beskeder ind i andet data, så skal de gå efter det enkelte individ. Hvordan er det anderledes end det allerede er, hvor efterretnings tjenesterne skal gå efter den enkelte terrorist? Hvis det skal være effektivt bliver vores verden meget autoritær. Jeg er ikke sikker på at jeg vil leve i en autoritær verden. Så vil jeg hellere have terror problemet løst i dets ophav. Et andet problem er også at jo hårdere regeringerne strammer grebet om deres befolkning, des større er chancen for terror.

  • 9
  • 0
#6 Martin Kofoed

Troede egentlig, kampen mod krypto døde lidt med Phil Zimmermanns bogeksport tilbage i 90'erne ... Generelt kan man vel stadig bruge det gode, gamle slogan "when you outlaw strong crypto, only outlaws will have strong crypto".

Der er tusindvis af måder at organisere sikker kommunikation på, hvis du har skumle hensigter, som gerne må koste dig selv livet (ja, hvor dét faktisk vil være et mål i sig selv...). Den slags dæmmer vi ikke op for ved at forbyde stærk krypto for masserne. No quick fix.

  • 31
  • 1
#7 Poul-Henning Kamp Blogger

Hvordan vil du undgå at folk fx lægger krypteret data i første bit pr pixel i alphalaget på et png billede?

Det er en helt ubrugelig og unuanceret indvending.

Lige som vi heller ikke kan undgå vi folk i at køre for stærkt eller i at blande en lille smule svovl, saltpeter og kulstof til nytår, kan vi heller ikke undgå at folk bruger kryptering.

Der bør heller ikke være, og som EU meget klart understreger, er det ikke målet.

Målet er at få det maksimale ud af teknologien, indenfor rammerne af det vi forstår ved en retsstat.

Tænk på benzin et øjeblik.

Almindelig benzin har ca. samme energidensitet som dynamit[1], men alligevel er det lykkedes os at indrette os således at selv min gamle mor ubekymret kunne fræse rundt på landevejen med en gigajoule af stadset under indkøbstasken.

I takt med at mængden, og dermed riskolen, stiger strammes skruen: Tankvogne, tankstationer og raffinaderier er underalgt stadig mere belastende lovkrav.

Krypterings "skadevirkninger" skalerer også:

Hvis du gemmer nogle bits i et billede har det absolut ingen betydning for EU's retsstatsprincipper.

At al kommunikation igennem f.eks Apple ikke kan dekrypteres ville have enorm betydning for EU's retsstatsprincipper.

Derfor er dit spørgsmål ubrugeligt.

Hvis vi skal have en god løsning, kræver det at der bliver kigget nuanceret på problemerne og lavet nogle fornuftige kompromisløsninger.

Det er præcis det EU inviterer til:

Since there is no single way of achieving the set goals, governments, industry, research an academia need to work together to strategically create this balance.

Så kom ordentligt ind på banen, det er nu det gælder!

[1] og Lithiumbatterier!

  • 22
  • 24
#9 Ditlev Petersen

At man kan sigte en flok terrorister for at have forbrudt sig mod krypteringsbekendtgørelsen. De 4 er døde, og den femte ligger på intensiv.

PS. I mellemtiden har en eller anden gymnasieknægt hacket escrow-systemet og er nu i gang med at smide sit zombienetværk eller sit grafikkort efter resten af nøglerne.

PPS. Nogen andre har nappet samme escrowdata, og kører dem nu på en supercomputer, der egentlig var beregnet til at simulere atomsprængninger.

Escrowserveren kan selvfølgelig lægges offline, hvilket vil være rimeligt upraktisk. Eller man kan aflevere forkerte data til den server, og så undskylde sig med en idiotisk fejl, hvis det skulle blive aktuelt.

Advokaterne bliver så fede, at de kommer til at belaste sygehusene uforholdsmæssigt meget.

  • 39
  • 5
#10 Sune Marcher

Jeg er enig i at det her er noget der skal løses politisk, og man ikke bare kan stille sig op og råbe "Du KaN IKkE FoRByDE MaTEmATiK!". Der slutter vores grad af enighed til gengæld.

Som Martin Kofoed allerede har postet: "when you outlaw strong crypto, only outlaws will have strong crypto". Et forsøg på bagdøre kommer ikke til at skade de kriminelle, de flytter til alternative kommunikationskanaler som de altid gør, og så er der det sædvanlige katten-efter-musen hvor myndighederne i ny og næ får optrevlet en lille smule, og står og er pavestolte mens forbryderne allerede er rykket videre til næste platform.

Altimens vi almindelige, lovlydige borgere og virksomheder får sliced et par skiver mere af vores privatlivssalami.

Folk der er klogere end både dig og mig har i årtier afvist hvad der har været af forskellige kreative forslag til bagdøre, og jeg er enig. Og spar os for THINK OF THE CHILDREN eller VI STOPPER TERRORISTERNE argumenter, for de holder ikke – indførslen af bagdøre kommer ikke til at hjælpe opklaringsarbejdet, da (alt andet end de hjernedøde) forbrydere rykker til andre kanaler... det kommer allerhøjst til at give højere straffe hvis de bliver fanget og ikke vil udlevere dekrypteringsnøgler.

Med mindre naturligvis du vil advokere for at vi indfører hardcore DPI på alt traffik, og sender politi ud til folk der tages i at kryptere... men dét samfund har jeg ikke lyst til at leve i.

  • 49
  • 5
#11 Steen Krøyer

Er det ikke lige præcis her PHK's "or else" klausul kommer ind? Du kan ikke forbyde matematik (!) men du kan gøre det klart for alle at hvis nogen bruger matematik til at skjule noget for en dommerkendelse er der omvendt bevisbyrde.

Og hvordan skal jeg bevise at den støj der er i et billede som jeg har sendt til en som jeg ikke vidste var en grimmer terrorist, rent faktisk bare er støj fra billedsensoren og ikke en form for steganografi? Det kan jeg jo ikke!

Jeg siger ikke at der er merit i at diskutere et forbud mod kryptering (bortset fra at lige netop dem vil ramme er totalt ligeglade). Men omvendt bevisbyrde bør være et no-no i ethvert retssamfund.

  • 30
  • 4
#12 Claus Bruun

Hvad betyder det for to bad guys, som begge downloader, bygger og udveksler nøgler til gpg og dermed opretter deres egen secure channel ?

  • Skal gpg source code forbydes.
  • Skal parterne registrere sig et eller andet sted og aflevere hele eller dele af private key ?
  • Må borgerne kun benytte gpg nøgler udstedt af det offentlige
  • ...

Og hvordan sikrer vi at bad guys ikke bare gør det aligevel. En crypto dom når man er død er vel ligemeget.

Jeg har ikke noget problem med at myndighederne efter en dommerkendelse kan bryde cryptohemmeligheden og EFTERFØLGENDE overvåge - ligesom med gammeldags kommunikation. Det, jeg ikke bryder om, er at myndighederne får mulighed for løbende proaktivt overvåge alt og alle og retrospektivt bryde brevhemmeligheden. Det er jo ikke nogen hemmelighed at efterretning også bruges til at hjælpe lokale interresser fx. i form af industrispionage, COP xx forhandlinger etc.

  • 24
  • 2
#13 Thomas Toft

Endnu engang tak for at sobert og velgennemtænkt indlæg PHK. Dem er der godt nok ikke mange af inden for dette emne. Personligt var jeg 100% imod den slags forslag, men jeg kan godt se at dine overvejelser er værd at tage med. Også tak for det.

Når det så er sagt, så vil jeg stille og roligt forlade siden for diskussionen bliver helt sikkert ikke stueren.

  • 21
  • 2
#14 Poul-Henning Kamp Blogger

I mellemtiden har en eller anden gymnasieknægt hacket escrow-systemet og er nu i gang med at smide sit zombienetværk eller sit grafikkort efter resten af nøglerne.

Hvem taler om noget "escrow-system" ?

Den mest fornuftige måde at lave key-escrow på er den måde man altid har gjort det: Deponer nøglerne hos en advokat, med en instruks om til hvem og under hvilke omstændigheder de må udleveres. Aflever advokatens navn hos myndighederne. Done.

  • 7
  • 11
#17 Thomas Nielsen

Men er vi ikke tilbage til, at en person der har til hensigt at gøre noget kriminelt, har tænkt sig at kryptere sine data uanset om det er lovligt eller ej. Så alt man vil få ud af det, er at kunne tilgå en masse lovlydige borgers data.

  • 17
  • 0
#19 Jacob Christian Munch-Andersen

Hvad er det for et problem der skal løses med bagdøre?

Vi har enkelte gange hørt om sager hvor politiet gerne vil have adgang til en mobiltelefon eller lignende, men det forekommer umiddelbart at være en forsvindende lille del af kriminaliteten hvor det vil gøre en forskel.

Folk har kommunikeret privat i al den tid der har været mennesker, uden at samfundet er styrtet i grus, hvad er grunden til at det skulle ændre sig nu?

  • 27
  • 2
#20 Jacob Christian Munch-Andersen
  • 14
  • 0
#21 Poul-Henning Kamp Blogger

Gode spørgsmål.

Groft sagt er der to slags kriminelle:

De inkompetente, der tror at hvis bare de laver by gmail konto, kan de ustraffet sende dick-picks og dødstrusler til kvinder de ikke bryder sig om.

Juridisk og retsplejemæssigt udgør de udelukkende et problem i kraft af deres volumen: Hvis den slags skal stoppes, kan politiet ikke bruge et kvart årsværk på hver enkelt sag.

De kompetente kriminelle rejser helt andre problemer.

Start med at forestille dig Riskær eller Bagger med uhindret og ustraffet anvendelse af ubrydelig kryptering: Det ville være et gratis "I anledning af dronningens fødselsdag..." kort for dem.

Vi kan som samfund ikke tillade at økonomisk kriminalitet ikke kan bringes til doms, bare fordi den skyldige "har glemt passwordet".

Det EU efterlyser er en effektivisering af den første klasse, uden at det koster mere privatliv end absolut nødvendigt og probate midler til den anden klasse.

Mht. til privat kommunikation historisk set, blev jeg selv overrasket da det efter nogen research gik op for mig, at det som sådan aldrig har været en beskyttet menneskeret, faktisk nærmest det modsatte.

At vi overhoveet har kunne kommunikere privat, har faktisk mest beroet på at det var umuligt, uoverkommeligt eller uøkonomisk at forhindre os I det.

Nu hvor de tre U'er er fjernet med teknologi og de er eftertrykkeligt fjernet, skal vi til at forsvare den ret vi føler at have vundet hævd på, samtidig med at vi forsvarer det retssystem der skal beskytte os imod de kræfter, politiske og kommercielle, der ønsker at udnytte at de tre U'er er borte.

Det er ikke en situation der lægger op til sort/hvide løsninger.

  • 19
  • 12
#23 Claus Bruun

Det havde jeg faktisk, men jeg ser ikke noget i EU's fromme intentioner, som forhindre NSA at udnytte en bagdør, som EU bygger ind. De har nemt kræfterne til at bruteforce en evt. halv nøgle.

Jeg læser heller ikke noget om retten til at bryde kryptering gælder bagudrettet eller kun fra dommerkendelsen og frem.

Og igen, de kriminelle, som (forhåbentlig) er dem der er i kikkerten, kan jo stadig lave deres egen protokol.

  • 14
  • 1
#25 Jesper Lund

Den mest fornuftige måde at lave key-escrow på er den måde man altid har gjort det: Deponer nøglerne hos en advokat, med en instruks om til hvem og under hvilke omstændigheder de må udleveres. Aflever advokatens navn hos myndighederne. Done.

Også kendt som key-escrow, et af forslagene fra 1990'erne som blev droppet igen fordi det ikke vil virke, og fordi det ville skabe en endeløs række af nye sikkerhedsproblemer (hvad nu hvis kriminelle hackere eller lovløse efterretningstjenester som FENSA hacker advokaten og får adgang til nøglerne?), og ultimativt fordi det ville trække tæppet væk under den digitale økonomi, som kræver sikkerhed. Og uden end-to-end kryptering, matematik som vi kan stole på, er der ingen sikkerhed. Hvis den digitale økonomi var en bekymring for regeringer ultimo 1990'erne, er det nok også et issue i dag.

Rådsdokumentet 12143/20 indgår i en nærmest endeløs række af resolutioner og planer, hvor EU-regeringerne ønsker at gøre noget som er teknisk umuligt, nemlig at få adgang til krypteret kommunikation, uden bagdøre (det står der faktisk!) og uden at svække stærk kryptering (stærk kryptering skal tværtimod styrkes!). Dette blogindlæg fra EFF giver en god beskrivelse af planerne.

Hvis man læser dokumenterne (fx afsnit 5 i det aktuelle dokument) er det meget tydeligt, at EU-regeringerne ikke har bare antydningen af idé om hvordan dette projekt skal udføres i praksis. Derfor skal der indledes et samarbejde med tjenesteudbydere af sikre kommunikationstjenester, som på en eller anden måde skal overtales til at undergrave sikkerheden i deres systemer og underminere deres egen forretningsmodel.

Hvad der kommer ud af dette er meget uklart, men den potentielle skadevirkning er meget stor, hvis EU med lovgivning baseret på misinformation fra EU-regeringerne (Rådet) begynder at kræve noget som er teknisk umuligt.

Jesper Lund

IT-Politisk Forening (medlem af EDRi der følger dette meget nøje og med stor bekymring)

  • 35
  • 1
#30 Michael Hansen

Når det nu kommer i forbindelse med terror i Wien, hvad er det så lige "or else" / omvendt bevisbyrde etc reelt har af effekt?

Terroristerne skal nok bruge ubrydelig crypto selv hvis det bliver ulovligt, hvad får de lige ud af at forbyde det? Hvad hjælper det med omvendt bevisbyrde mod en der allerede er villig til at dø for deres sag/hvis ikke allerede er død når der skal ses på data'en. Løbet er jo kørt når først teknologien er derude allerede nu.

Det eneste jeg ser er de vil snuse i privates data, sådan et samfund ønsker jeg egentlig heller ikke at leve i, så bliver vi bare kina version 2.

Terror er forfædeligt, men set i sammenhold med så mange andre ting, hvor mange er døde pga terror vs hvor mange er døde af f.eks corona epidemien.

Så synes vi skal vælge at diskutere hvad de reelt vil have, det har jo intet med terror at gøre, men at de ønsker at snage i privates data, det er der vi burde diskutere det her, ikke bare ved at trække et terror kort frem.

  • 23
  • 1
#31 Poul-Henning Kamp Blogger

Dagplejemødre og skolelærere er almindelige mennesker med gode intentioner. Regeringer er noget helt andet..

Har du nogen dokumentation for at politikere får fjernet deres gode intentioner kirugisk fjernet når inden de bliver udnævnt til minister ? :-)

Jeg er helt enig med dig i, at regeringer skal holdes i så absolut kort snor som muligt og det er præcis derfor tiden er kommet til at droppe den der "alt eller intet" du så raskt og ivrigt altid fører til torvs.

  • 10
  • 16
#33 Ditlev Petersen

Hvem taler om noget "escrow-system" ?

Det troede jeg, at du gjorde.

Man kunne f.eks kræve N-a bits af nøglerne til ubrydelig kryptering skal lægges i escrow hos en godkendt 3-part (typisk: advokater), således at en dommerkendelse plus en anseelig brute-force indsats kan bryde krypteringen.

Men du forestiller dig et offlinesystem baseret på løse papirlapper i et pengeskab? Det kan man jo nemt glemme at opdatere, faktisk uden at have nogen som helst intention om at ville snyde de rare fætre i Kastellet (og i Jekatarinenburg eller hvor de nu sidder).

  • 8
  • 0
#38 Poul-Henning Kamp Blogger

End-to-end kryptering begrænser regeringers mulighed for at kontrollere befolkningen.

Ahh, men skal vi ikke lige kigge grundigt på det argument ?

End-to-End kryptering mellem FaceBooks, Googles og Apples platforme og deres "mothership" betyder at de er 100% sikret imod at nogen, det være sig slutbrugere, konkurrenter, forskere eller myndigheder, kan se præcis hvor meget de spionerer på os alle sammen.

Er det en acceptabel trade-off ?

  • 8
  • 13
#39 Michael Hansen

Du glemte: "... med dommerkendelser."

Har ikke videre tiltro til vores domstole, de giver dem jo ud som slik på de mindst spinkle grundlag uden at "challange" dem specielt, tror bare ikke på det fungere som vi har det idag, vores retsvæsen er mere baseret på følelser og hensigter, ikke på fakta, havde vi et retssystem som i USA(som alm. privat person) ville jeg have mere tro på det kunne fungere, men ikke som tingene virker her i DK i praksis. (ikke at det fungere perfekt i USA heller).

  • 9
  • 2
#40 Kim Schulz

Du glemte: "... med dommerkendelser."

Du glemte: Hovsa, FE kom til at kigge med i en masse danskere rådata uden dommerkendelse og kan slippe afsted med det. Du glemte: Hovsa, Politiet har haft fri adgang til et hav af ulovligt logget teledata uden dommerkendelse - de skulle bare bede om det.

Du glemte...

Din Escrow løsning er kun brugbart hvis man har 100% tillid til systemet. Det har vi historisk haft i Danmark og det har de senere år vist sig at være en fejl. Hvordan ser det mon ud i andre lande hvor de i forvejen ikke har tillid til systemet?

Der er i dag 2 miliarder brugere af whatsApp. Hvor mange af dem tænker du der er terrorister/forbrydere som benytter det som kommunikationsvej? Skal vi gætte på 0.0001 promille? Så nu vil de gerne åbne en kattelem til alle brugernes kommunikation for at gøre det muligt (med dommerkendelse som du siger) at få adgang til kommunikationen af disse 0.0001promille? I min verden giver det ingen mening overhovedet.

  • 30
  • 2
#43 Michael Hansen

Jamen så stopper festen naturligvis der: Hvis du ikke mener et retssamfund er noget for dig er det en fair holdning at have.

Det er taget ud af kontekst, jeg snakkede specifikt om dommerkendelser, dem har vi set historisk er blevet givet på meget spinkle grundlag, uden de reelt er blevet udfordret specielt af domstolene, og pga den måde vores retsvæsen fungere på, er løbet bare kørt for det meste, om de er blevet givet på forkert grundlag eller ej, det havde været anderledes hvis det var i f.eks USA.

  • 18
  • 1
#44 Thomas Nielsen

Man får også dommerkendelser i Rusland, Kina og Iran. Hvorfor føler du at Danmark er så speciel? Du har kun dine rettigheder, fordi nogle har stået op for dem før dig.

FISA i USA har også vidst hvor fuldstændig ligegyldigt argumentet er om, at man skal bruge en dommerkendelse. De bliver sjældent afvist. Selv i Danmark.

  • 15
  • 0
#45 Ivan Skytte Jørgensen

Mht. til privat kommunikation historisk set, blev jeg selv overrasket da det efter nogen research gik op for mig, at det som sådan aldrig har været en beskyttet menneskeret, faktisk nærmest det modsatte.

Før brevskrivning blev alment tilgængeligt, så når folk ønskede at have privat kommunikation, så gik de blot uden for hørevidde. Snushaner måtte gemme sig i buskene, hvis de ville vide hvad der blev snakket om. Med den samfundsudvikling siden dengang, er det sværere at blot gå udenfor hørevidde. Jeg kan ikke råbe til min bror på Lolland.

Men parterne i kommunikation har traditionelt ikke været hemmeligt. Folk kunne se hvem der besøgte hvem, afsender og modtager på brevets konvolut,, A- og B-numre i telefonsamtaler, osv. Det er først med avanceret telekommunikation at man delvist kan skjule parterne.

Måske er det, som vi skal sigte efter, at parterne ikke er hemmelige, men indholdet er? Ja, man kan udlede en del af metadata, men sjældent nok til at fælde dom. Myndigheder vil med (eller uden) dommerkendelse kunne se at jeg har skrevet til Eksotiske Frø Aps, men ikke at jeg har forespurgt på prisen på stakitfrø.

  • 9
  • 0
#46 Morten Jensen

Start med at forestille dig Riskær eller Bagger med uhindret og ustraffet anvendelse af ubrydelig kryptering: Det ville være et gratis "I anledning af dronningens fødselsdag..." kort for dem.

Har de ikke allerede uhindret og ustraffet adgang til den slags i dag? Har de ikke haft adgang til den slags kryptering i årtier?

Måske misforstår jeg dig, men jeg synes ikke verden er gået under pga. Riskær-typer endnu, selvom kryptering ikke er forbudt.

Jeg er i øvrigt enig med Steen Krøyer -- det er HELT i skoven at begynde at kræve omvendt bevisbyrde i tilfælde af, at man tror man kan "genkende kryptering" i tilfældige data.

  • 21
  • 1
#50 Peder Simonsen

Vi har brug for Digitale Menneskerettigheder som beskytter alle mennesker på jorden. Med andre ord skal alle mennesker digitalt have ret til et privatliv og kun udsættes for overvågning såfremt der er en bevistlig begrundet mistanke. Idag masse overvåger man jo hele kloden og hvad værre er det forhindre ikke terror/bander/narko osv. Man fanger nogle få, men generelt så kommer man jo først når ulykke er sket. ( og vi bruger gigantiske summer som overhovedet ikke står mål med tabet af menneske liv og økonomi vs hvad det koster at spionere imod folk eller hvad det bidrager med ).

Ærligt talt er det komplet vandvittigt hvad der foregår idag. eks bare alm virksomheder så som google, facebook, analyse virkosomheder os har på ca 3-6 mdr på alverdens websider over 318.650 gange forsøgt at aflæse mine cookies, tracking, reklamer og alt muligt ragelse som indsamler information på enhver webside jeg har besøgt. Bare alene på den her side har ublock blokeret 11, ghostery 5, adblock 9, privacy badger 2 og mit "fingerprint" har jeg forfalsket og jeg bruger falsk ip bare for at have "lidt" privatliv. Det er jo komplet sindsygt at ingen beskytter menneskeheden og sikre retten til et digitalt privatliv.

ganske vidst er efterretning og politi noget andet en private virksomheder, men alligevel NEJ tak til mere overvågning fordi nogle få ud af eks EU's gæt 500 millioner borgere ikke kan opføre sig ordentligt. Det er ikke rimeligt at masse overvåget et helt folk fra vugge-grav og registere folks gøren og laden millioner af gange hvert år via metadata osv. bare for at holde øje med eks 40.000 personer hvor måske max 20 hvert år kunne finde på terror ud af 500.000.000 mennesker. Det er en regulær forbrydelse imod menneskeheden at masse overvåget så mange for at finde så få. Det bedste ville faktisk være at lave informations kampagner og lade alm mennesker indberette radikaliserede fanatisk religiøse personer frem for digital overvågning. De er jo folks omgangskreds som kender folk bedst.

Og ærligt talt så var det bedre at forbyde Islam og sende samtlige religiøse ud af europa det vil afhjælpe problemet. Idag er terrorister jo ikke tilrejsende personer men folk som også er født i vores land. Det er da tankevækkende. Islam er en trussel imod menneskeheden og uforenlig med den vestlige verden.

  • 4
  • 9
#51 Jesper Lund

Det har jeg heller ikke set nogen kræve, så er det ikke en lidt elendig stråmand ?

Hvad vil du gøre i forhold til personer, som ikke deponerer nøgler hos en advokat (det er lidt meget at forlange at alle borgere skal have og betale for en advokat), eller kører egne servere med ikke-kompromitteret kryptering? (evt. ikke-kompromitteret kryptering som inderste lag på den officielle komprimitterede kryptering, som staten allernådigst tillader borgerne at bruge).

  • 14
  • 0
#52 Sune Marcher

End-to-End kryptering mellem FaceBooks, Googles og Apples platforme og deres "mothership" betyder at de er 100% sikret imod at nogen, det være sig slutbrugere, konkurrenter, forskere eller myndigheder, kan se præcis hvor meget de spionerer på os alle sammen.

Det er et dårligt argument.

Uden e2e-kryptering kan du se hvad der bliver smidt til fra din enhed og til deres datacentre, og derefter forsvinder din mulighed for at følge med. Med e2e kan du ikke direkte se trafikken on the wire, men du kan reverse engineere deres skidt – hvilket giver adgang til både at se den rå data, samt mere indblik i hvad deres applikationer laver.

At det bliver besværliggjort af deres walled-garden model er et argument for lovgivning mht. åbenhed dér, ikke at forbyde e2e... sidstnævnte er omtrent så fjollet som https://xkcd.com/463/ .

  • 6
  • 0
#56 Morten Jensen

Det har jeg heller ikke set nogen kræve, så er det ikke en lidt elendig stråmand ?

Jeg tænker, at det var som svar på Henriks Knoppers indlæg 9. november 2020 - 11:57 :

Du kan ikke forbyde matematik (!) men du kan gøre det klart for alle at hvis nogen bruger matematik til at skjule noget for en dommerkendelse er der omvendt bevisbyrde.

... så nej jeg synes ikke det er en elendig stråmand! Jeg synes faktisk slet ikke det er en stråmand.

Har du glemt Tvindsagen ?

Jeg har nok ihvertfald ikke forstået hvad dén sag har med kryptering at gøre. Hjælp gerne - det ser ud som om vi er flere der ikke forstår hvad du henviser til desangående.

  • 10
  • 0
#58 Christian Nobel

Hvad vil du gøre i forhold til personer, som ikke deponerer nøgler hos en advokat (det er lidt meget at forlange at alle borgere skal have og betale for en advokat)...

Det værste er, at man endnu engang tager udganspunkt i terror - men terroristerne er da ligeglade.

Fuldstændig som hvis man tror, at bare man laver en lysregulering foran en bank, som altid lyser rødt, så vil man ikke får nogen bankrøverier, for bankrøvere kunne jo aldrig finde på at køre over for rødt.

Suk.

  • 16
  • 0
#59 Frithiof Andreas Jensen

Så alt man vil få ud af det, er at kunne tilgå en masse lovlydige borgers data.

Kriminelle, og de her så meget omtalte terrorister, har brug for de lovlydige borgeres hjælp for at kunne operere og financiere deres aktiviteter. Der er et interface til resten af verden.

Måske rockere og andet 100% kriminelt vil bruge solid kryptering fordi det ikke lægger så meget til "regningen", men deres revisorer, deres Lux-bank-rådgivere, deres velgørende NGO, deres VVS-forretning (af skattehensyn) aps, ..., alle de der der sidder med "et lille ben i begge lejre" vil nok næppe gå "100% ulovligt" bare for en enkelt kundegruppe. Især ikke "digitalt" fordi digitale data faktisk er pokkers svære at komme af med, der er altid en kopi mere.

Hvis de kriminelle som respons opererer på egen hånd i en hermetisk lukket kreds bliver de ineffektive og synlige, f.ex., hvis kun få lovlydige storbanker vasker penge skal man jo til fysisk at slæbe sække med ihændehaverpapirer hen til et sted hvor man kan konvertere dem til penge og gå en masse på casino. Det begrænser jo omsætningen.

  • 0
  • 3
#60 René Nielsen

at kræve et stop for ubrydelig end-to-end kryptering? Slet ikke!

Logikken i EU-dokumentet svarer jo til at bankrøverens flugtbil vil standse i lyskrydset lige udenfor banken – fordi lyskrydset automatisk skifter til rødt når alarmen lyder.

Terrorister operer enten som ”ensomme ulv” eller som (terror-) gruppe. I det første tilfælde er det jo begrænset hvad den ”ensomme ulv” har behov for at kommuniker, så ham ser vi bort fra - da han jo ikke "snakker med nogen".

Hvis vi ser på hvad terrorgrupper allerede i dag, bruger af kommunikation, så er der ofte høj kvalitet i implementeringen af kryptografiske værktøjer og måske har man ligefrem udviklet sine egne kryptografiapplikationer baseret på opensource, brugte mobiltelefoner som kun bruger de wifi net som telefonen via dets indbyggede applikationer kan hacke.

Tag denne 5 år gamle artikel fra terrorgruppen isis https://www.helpnetsecurity.com/2015/11/20/isis-operation-security-guide...

Tager vi terroranslaget i Paris hvor over 100 blev slået ihjel, så boede terrorgruppen sammen og havde derfor ikke behov for fjernkommunikation.

Så det kræver jo ikke det store intellekt at indse at dem som EU-forslaget har til hensigt at ramme, ændrer deres adfærd, således at de falder ”under radaren”

Jeg er ikke i tvivl om at krypteringsforbuddet nok skal komme, men det er stupiditet i ”Søren Pind-klassen”, for forslaget bygger på den grundlæggende forudsætning på at terrorister både er dumme og samarbejder om at opklarer deres kriminalitet ved at bruge de værktøjer som alle ved bliver aflyttet/overvåget.

Hvis EU vil gøre noget i terror mv. så viser forrige uges terroranslag at EU burde havde ekspresudvist de såkaldte asylansøgere på stedet, for så havde disse terroranslag ikke sket. I stedet lod man disse personer rejse ind i EU hvorefter de kunne angribe på, må og få.

  • 21
  • 0
#61 Christian Bierlich

Argumentet om at ulovligørelse af kryptering vil gøre at kun kriminelle har adgang til kryptering, er cirka lige så fjollet som når amerikanske våbenentusiaster siger det samme om mangel på våbenkontrol. Selvfølgelig er det (definitionsmæssigt) sandt, men ulovliggørelse handler jo om at øge tærsklen for anvendelse. Ift. terrorisme vil det betyde at du ikke længere vil kunne forlade dig på off-the-shelf løsninger, og det fjerner i det mindste de allermest mindrebemidlede fra listen over mulige rekrutteringsemner.

Så er der de mere seriøse kriminelle. Grunden til at Tvind-sagen (http://letmegooglethat.com/?q=tvind+kryptering) er god, er fordi der ikke var nogen mulighed for at straffe bagmændene for ikke at ville udlevere nøgler, så derfor måtte man forlade sig på det bevismateriale man kunne indsamle ved at gætte passwords. Ingen ved den dag i dag hvor meget de slap afsted med der aldrig så dagens lys.

  • 5
  • 2
#64 Rune Hansen

Der er vel en grund til at e2e kryptering, og hvisken over køkkenbordet er udbredt. Og det er ikke fordi man frygter, at politiet vil gå til en dommer og få en dommerkendelse til at sætte mikrofoner op i ens hjem.

Det er fordi magthavere til enhver tid har misbrugt denne tillid. Om vi taler om østtyskland i 70'erne, tyskland for 75 år siden (holokaust), udenlandske efterretningstjenester som NSA, menneskerettighedsforkæmpere uden for Kina.

Hele fundamantet omkring fortrolighed eroderer jo, hvis big brother er med over alt og i de mindste detaljer. Bare fordi der lige har været en kort periode (på et par årtier) i nogle af de vestlige lande med middelmådig tillid til politikerne, er der vel ingen grund til at forbyde fri kommunikation, tvært om.

Forhåbenligt forbyder de ikke open source løsninger man, selv kan sætte op.

  • 24
  • 0
#65 Thomas Kjeldsen

Den østrigske artikel henviser til et lækket arbejdsdokument hvor der øverst på side 1 står:

This document has not been adopted or endorsed by the European Commission and is intended as a basis for discussion. It may not be shared further without permission of the European Commission services.

Arbejdsdokumentets anbefalinger indeholder intet om masterkeys, så vidt jeg kan se.

På debatfora udenfor EU debatteres emnet fx under overskriften "EU Draft Council Declaration Against Encryption". Det er igen en fortolkning som jeg ikke kan finde håndfast belæg for.

  • 6
  • 1
#66 Magnus Jørgensen

Det er en helt ubrugelig og unuanceret indvending.

Du bringer nogle gode pointer. Jeg er heller ikke helt afvisende over for forslaget. Med dommerkendelse kan ordensmagten tilsidesætte alle mulige andre rettigheder, så hvorfor ikke også muligheden for ubrydelig kryptering igennem din favorit tjeneste? Der hvor jeg vil pointere at det er anderledes er, at det af tekniske årsager skal gøres for alle på en gang. Ejendomsrettens ukrænkelighed er sikret indtil at en dommerkendelse er udstedt. Den rammer derfor kun specifikke individer.

  • 5
  • 0
#67 Sune Marcher

Argumentet om at ulovligørelse af kryptering vil gøre at kun kriminelle har adgang til kryptering, er cirka lige så fjollet som når amerikanske våbenentusiaster siger det samme om mangel på våbenkontrol. Selvfølgelig er det (definitionsmæssigt) sandt, men ulovliggørelse handler jo om at øge tærsklen for anvendelse. Ift. terrorisme vil det betyde at du ikke længere vil kunne forlade dig på off-the-shelf løsninger, og det fjerner i det mindste de allermest mindrebemidlede fra listen over mulige rekrutteringsemner.

Der er stadig en kæmpestor forskel på at begrænse adgangen til fysiske objekter; nogle vil måske mene at løbet er kørt i USA med hensyn til våben, men det er noget der til en vis grad kan gøres noget ved.

Løbet er dog kørt med hensyn til kryptering – der er ikke nogle controlled goods du kan gøre det svært for folk at få hænderne i... så bad guys skal nok blive ved med at anvende det.

Tiltag mod stærk kryptering kommer ikke til at ramme nogle af dem vi virkeligt er bange for, til gengæld er der stor risiko for at det bliver gjort forkert, og kommer til at have uoverskuelige konsekvenser.

Det er mens vi har tillid til vore restsstat, vi skal sørge for vi ikke får lavet værktøjer (og databaser m.m.) vi ikke har lyst til at se en diktaturstat have adgang til.

Jeg er ikke imod målrettet lawful intercept med en dommerkendelse. Det kan fint gøres ved at pwne enkeltpersoners kommunikationsudstyr. Det er pisse dyrt og kræver solidt arbejde – og vil derfor kun blive anvendt i sager der er alvorlige nok til at den slags indgreb bør finde sted.

  • 19
  • 0
#69 Jesper Lund

Det er implicit: Det EU ønsker, kræver at f.eks Signal's end-to-end kryptering ændres så den relevante nøgle bliver tilgængelig for en dommerkendelse.

Det kommer ikke til at ske, er jeg ret sikker på at Moxie vil sige.

EU-regeringerne ønsker noget som er teknisk umuligt: adgang til krypteret kommunikation uden at indføre bagdøre eller svække sikkerheden i kryptering.

Formentlig er det snarere GCHQ's ghost proposal end en klassisk key escrow model, som de har i tankerne (blot et gæt efter at have læst alle rådsdokumenter, ikke bare det seneste). Det er stadig en bagdør, blot med et andet navn.

  • 9
  • 0
#71 Thomas Kjeldsen

Det er implicit: Det EU ønsker, kræver at f.eks Signal's end-to-end kryptering ændres så den relevante nøgle bliver tilgængelig for en dommerkendelse.

Som jeg læser det tekniske arbejdsdokument anbefales det at der investeres i forskning i forskellige løsningsmuligheder. Synes det er noget af en skarpvinkling at fremstille det som om at EU kræver adgang til masterkeys.

  • 5
  • 0
#72 Dan Storm

Jeg synes det er ærgerligt at indlede indlægget med stigmatisering af en gruppe mennesker som måske ikke lige mener det samme som forfatteren selv gør:

Blodtrykket er hastigt på vej op blandt IT-liberale og kryptografer, som dog alle som en overser en meget væsentlig detaljer: EU er i sin gode ret.

Der er mange måder det kan gøres på, men fælles for dem alle er at IT-liberalisterne ikke vil høre tale om en eneste af dem: De påberåber sig retten til ubrydelig kryptering af alt hvad det passer dem.

PHK er i brede kredse kendt for god og værdifuld indsigt og indspark i it-debatten, men her må jeg nok vende ryggen til.

Eftersom ingen af IT-liberalisterne har nogen indflydelse der bare minder om hvad domstole, offentlige anklagere og politimyndigheder har, bliver det ikke verdens mest interessante slagsmål at se på.

At stå på de billige rækker og skrige at EU "prøver at forbyde matematik" er lige så effektivt som det var at forhindre våbenregulering ved at råbe at de "prøver at forbyde kemi & fysik".

Jeg synes det er en super ærgerlig tilgang til emnet og unødigt nedsættende. Jeg har hverken merit eller pondus til at min holdning kan overskygge PHK's, men jeg har ikke læst noget jeg har været så uenig i siden Trine Bramsens gæsteblog på Version2.

Jeg håber i den grad ikke at dette blog indlæg bliver inddraget i en politisk diskurs, hvis det interne dokument skal vendes blandt danske politikere.

  • 40
  • 1
#74 Hr Hansen

Har du nogen dokumentation for at politikere får fjernet deres gode intentioner kirugisk fjernet når inden de bliver udnævnt til minister ? :-)

Der er utallige dokumentationer igennem tiden på at regering har brudt med de lovgivninger de har og derved brugt dem mod befolkningen.

Det mest nærlæggende er vel at nævne 2. verdenskrig og hitler... Eller man kan også bare nævne Rusland, Kina, USA,...

Men ja ja selvfølgelige EU er anerledes...

  • 5
  • 1
#76 Hr Hansen

Men hvad skulle det hjælpe at de får en masterkey, eller kan bruge brute force, til at bryde en kryptering, hvis de alligevel først kan bryde den når forbrydelsen er sket (altså med dommerkendelse?) så vidt jeg ved får man ikke en dommerkendelse uden forbrydelse eller klare indicer for det.

Hvilket vil sige dette på ingen måde vil stoppe terrorism, eller nogen af de andre ting de snakker om. Ellers vil det blive lige så med telekommunikation og med internettet etc uden kryptering, hvor bestemte ord automatisk bryder krypteringerne etc... Hvilket på ingen måde kan være menneskeretligt.

Jeg forstår slet ikke disse mennesker som går ind for at fjerne vores privat liv, for no matter what, så vil EU og Danmark jo bryde dette... Dette ses feks med vores telemast data, og vores gps data etc som regering ulovligt tager selv om loven siger de ikke må... Og sjovt nok gør EU intet ved det. Fordi EU også bruger dette data 100 %.

At give EU flere rettigheder over vores data, når de allerede misbruger det data de får ind fra os... Nej tak... Samtidigt kan du ikke stoppe forbrydelser med dette... Eller jo det kan du hvis du optager alt og overvåger samtaler etc... Men dette vil blive misbrugt, som med vores teledata, vores IP data osv osv osv... Så nej tak.

  • 5
  • 0
#78 Dan Storm

Tjae, men hvis du havde læst debatten ovenfor, ville du se at det er utrolig spot on :-(

Og lige der mistede jeg nok den sidste rest af respekt og anerkendelse af det format du gennem tiden har repræsenteret.

Jeg er en fremmed på nettet, hvis mening og tilstedeværelse ingen indflydelse har på din, men jeg synes det var vigtigt at du fik at vide at den agtelse du ellers havde i mine øjne, nu er borte.

  • 22
  • 1
#79 Hr Hansen

Og det skal nok hjælpe med at moderere EU's forventelige indgreb...

Hvorfor mener du det forventeligt? Kunne vi borger ikke for en gang skyld dog prøve at stå sammen mod EU og deres indgreb i privatlivet?

Hvis det var sådan at borgerne ikke bare tænkte det var forventeligt det skete, og faktisk argumenteret i mod indgrebene, så kunne det være man kunne ændre EU, men desværre står der altid folk på den ene side som mener de bare skal lave alle de indgreb de vil.

NSA overvåger et af nøglepunkterne i EU/Danmark, dette kom frem af Trine bramsen for nogle mdr siden.

Tror du selv på Europol osv ikke også ser med på det data? Selvfølgelige gør de dette.

Lige så samler Danmark mast og teledata ind, og den eneste grund til EU ikke får dette slettet i form af dagbøder til det sker mod Danmark, er fordi Europol bruger det.

At give de selv samme folk adgang til vores krypteringer, vil da aldrig stoppe dem? Har du nogen beviser for EU nogen sinde har stoppet disse indgreb mod borgerne? Hvorfor tror du EU var helt stille omkring at NSA overvåger EU igennem et af knudepunkterne i Danmark? Hvorfor tror du EU ikke giver Danmark dagsbøder til de sletter mast data osv på vores telefoner?

  • 7
  • 1
#80 Poul-Henning Kamp Blogger

Jeg skal være den sidste til at kritisere nogen der tager deres holdninger op til kritisk eftersyn når lejlighed byder sig, en meget stor del af verdens problemer skyldes folk der netop ikke gør det.

Men at jeg er faldet i din agtelse forandrer ikke på nogen måde min holdning om, at den største aktuelle trussel imod elektronisk privatliv, nu og i fremtiden, er IT-folk der ikke anser civilsamfundet og retsstater som bevaringsværdige.

  • 9
  • 10
#81 Hr Hansen

Men at jeg er faldet i din agtelse forandrer ikke på nogen måde min holdning om, at den største aktuelle trussel imod elektronisk privatliv, nu og i fremtiden, er IT-folk der ikke anser civilsamfundet og retsstater som bevaringsværdige.

EU er ikke en retsstat... EU er et indre markedet. At give nogle non elected commisærer og non elected presidenter mere adgang til vores privat liv handler ikke om at gå i mod retsstater... Problemet er retsstaterne går i mod deres egen principper gang på gang...

  • 9
  • 7
#82 Poul-Henning Kamp Blogger

Hvorfor mener du det forventeligt? Kunne vi borger ikke for en gang skyld dog prøve at stå sammen mod EU og deres indgreb i privatlivet?

Hvornår har du sidst prøvet at have en samtale med almindelige mennesker om den her emnekreds ?

Der er en himmelvid afgrund imellem opfattelsen af de her ting imellem os selvfede IT-nørder og resten af befolkningen og det er bestemt ikke resten af befolkningens fejl.

  • 6
  • 3
#84 Hr Hansen

Det er rigtigt at EU oprindeligt var et handelssamarbejde, men siden Mastrict og Edinburg traktaterne blev ratificeret, har EU været en retsstat og som sådan sikret os flere menneskerettigheder og bedre retsbeskyttelse, end vores egen grundlov og stat nogensinde har.

EU er ikke en retstat, det simpelthen direkte forkert.

Hvis EU var en retsstat, så betød det at man kunne gå i retten med sine ting ved EU, dette kan man ikke. Med mindre du har dine klage muligheder udtømte i retsstaten.

EU er et handels samarbejder, som har en domstol og selvfølgelige har de retstatsprincippet, men dette gør dem på ingen måde til en retsstat.

Hvilken kriminel domstol har EU? Kan EU sende dig i fængsel? Nej. EU kan lave direktiver som retsstaterne så kan gøre til retslige dokumenter/Lovgivniner.

  • 6
  • 7
#86 Ditlev Petersen

Jeg forstår stadig ikke, hvad man officielt vil løse? I de fleste civiliserede lande er våben og sprængstoffer ret regulerede. Meget fornuftigt, da man virkelig kan slå ihjel og lemlæste med den slags. Bekymringen har bredt sig så meget, at brintoverilte, svovlsyre og salpetersyre er regulereret (hvis det er stærke sager). Det generer mig (lidt), da jeg så skal ætse med jenrklorid eller saltsyre. Jeg har opgivet at beklage mig. Men det har ikke i større omfang hindret terrorister, bander eller svenskere i at sprænge ting i luften. Våben er heller ingen sjældenhed, de er bare meget dyre.

Men man kan meget vanskeligt rive benene af nogen med PGP. Pædofile kan nok få nytte af kryptering, men hvis de skal udveksle noget skidt, er de nødt til at stikke snuden frem. Det har åbenbart også ramt våben- og narko web shops. Jeg er sikker på, at terrorister kan kommunkere glimrende, også med en hullet kryptering. I forvejen kan myndighederne tit kun reagere, når blodet skal tørres op. At man så kunne få en dommerkendelse til at hente koderne i en eller andens pengeskab, hjælper meget lidt. Man kan kun udnytte svagheder i kryptering, hvis man masseovervåger trafikken, både trafikanalyse og detaljeret indholdssniffing. Delvise nøgler i et penegskab er en farce. Den regel ville blive afskaffet inden for to år. Af hensyn til borgernes sikkerhed/tryghed og den der ikke skriver ondt, har intet at frygte.

Brug af åbne koder eller utraditionelle kommunikationskanaler har andre nævnt, men det fortjener at gentages.

Kun de dummeste kan fanges ved den overvågning, det er muligt at sætte op. Og det sker stadig sent. For politi og "tjenester" har i forvejen så meget, at de ikke kan overskue materialet.

Så hvad er det, man vil løse? Hvad er det reelle problem, der skal løses? Dommerkendelse og retssikkerhed ... Ungarn, Polen, White House ... tingen er altså ikke spor sikre. Det hele kan skifte på et år. En dag er det strafbart at være veganer? Eller muslim? Eller venstreorienteret? Det har vi set mange gange før. Måske skal VI til at lære af egne og andres bommerter.

Sært nok har FE ikke haft voldsomt travlt med at få ram på sladrehanken. Men der er flere eksempler på, at whistleblowers bliver jaget, snarere end de problemer/forbrydelser, de har afsløret. Bliver der svindlet i miljøkontrollen, hæren eller politiet, ved vi godt, hvor man sætter ind. På at lukke kæften på sladrehanken. Og redde nogle chefer.

HTTP 500

  • 20
  • 0
#87 Sune Marcher

Men at jeg er faldet i din agtelse forandrer ikke på nogen måde min holdning om, at den største aktuelle trussel imod elektronisk privatliv, nu og i fremtiden, er IT-folk der ikke anser civilsamfundet og retsstater som bevaringsværdige.

Er det hvad du ser i kommentarsporet?

Jeg ser - primært - folk der (med god grund, IMHO) er bekymret for konsekvenserne af bagdøre/weakening, ikke synes det forslag du nævner er et acceptabelt tradeoff, eller tvivler på at vi kan få stoppet de folk der rent faktisk er værd at stoppe.

Du har brugt de klassiske THING OF THE CHILDREN og TERRORISTER, hvilket jeg ærligt talt synes er under dit niveau. Ingen af de to grupper vil blive påvirket - børnepillerne har desværre nogle utroligt effektive netværk, og et forbud mod stærk kryptering i mainstream værtøjer vil bare flytte flere af dem over på de virkeligt lukkede netværk.

Dit eksempel med dickpics har andre løsningsmuligheder, fx noget så simpelt som en "report this!" funktion der sender beskedindhold og metadata til review hos platformen – det burde være fint til mainstream platformene, og så må man acceptere at man skal være varsom hvis man færdes på SuperAnonymPlatform.

Jeg er ikke "IT-liberal", og ser gerne en del mere regulering end vi har nu på mange områder - men jeg har svært ved at acceptere omfattende indgriben i vores privatliv der sandsynligvis ikke kommer til at ramme dem vil gerne vil ramme, har en stor risiko for at blive implementeret på en måde der kan misbruges hvis fascisterne kommer til magten, eller bliver så klodset og besværligt bruge ("deponere krypteringsnøgler hos din advokat" 🙄) at det reelt afskaffer kryptering for hovedparten af folk.

  • 18
  • 1
#88 Jesper Lund

Der er en himmelvid afgrund imellem opfattelsen af de her ting imellem os selvfede IT-nørder og resten af befolkningen og det er bestemt ikke resten af befolkningens fejl.

Jeg finder din framing med IT-liberalister temmelig trættende. Samtidig undrer det mig, at du med dit store fagkundskab inden for IT og IT-sikkerhed bliver ved med at promovere noget, som de fleste andre fagfolk, inklusive ikke mindst eksperter i kryptografi, anser for at være teknisk umuligt at gøre bare nogenlunde forsvarligt.

End-to-end kryptering og perfect forward secrecy (skiftende nøgler, som udelukker escrow systemer) er en helt essentiel del af IT-sikkerhed i dag. Men når der bruges end-to-end kryptering, kan du ikke lave målrettet aflytning af kommunikation på samme måde som usikker telefoni. Bagdøre, der gør aflytning mulig for den lille gruppe der skal aflyttes, svækker IT-sikkerheden for alle i helt uacceptabel grad, inklusive den meget store gruppe (tæt på 100%) hvis kommunikation aldrig vil skulle aflyttes med en dommerkendelse. FENSA-typerne har muligvis andre ønsker om at aflytte en større kreds, men de bruger en "uhensigtsmæssig legalitetskultur" i stedet for dommerkendelser.

Trade-off og proportionalitet er simpelthen et helt andet sted, når vi har med end-to-end kryptering at gøre. Ulemperne ved at forbyde sikkerhed, hvis det hypotetisk set var muligt i praksis, er ganske enkelt for store.

Diskussionen har kørt siden starten af 1990'erne, og der er reelt ikke kommet nye argumenter på banen fra de regeringer, som gerne vil have bagdøre i kryptering. De bliver bare ved med deres "kan ikke forstå at politiet ikke kan aflytte med en kendelse.." argument.

Selv Michael Hayden, der i sin NSA-tid nød frugterne af masseovervågning af usikker (ikke-krypteret) kommunikation, er udtalt modstander af de forslag om bagdøre, som bliver ved med at poppe op i USA ligesom i EU.

  • 22
  • 0
#89 Hr Hansen

Du kan heller ikke gå direkte i Højesteret, bare fordi du føler dig for fin til byretten.

Det da underordnet... En retsstat er en som kan smide dig i fængsel for at bryde reglerne... EU har INGEN ret til at smide nogen i fængsel. Denne ret ligger hos retsstaten hvor kriminelle ryger for retten.

Der er altså hverken en udøvende magt i EU ej heller en dømmende magt. Der er EU domstolen som ikke tager sig af kriminelle forhold og derved er det altså ikke en retsstat. En retsstat kræver 3 deling af magten, hvilken vil sige, den udøvende, den lovgivning og den dømmende magt. Eu har kun den lovgivende. Også har de EU domstolen til at overholde vores "rettigheder" Men dette sker jo ikke... Se vores tele data? Har danmark fået dagbøder efter 5 år hvor det gjort ulovligt i EU? NEJ. Sker der noget ved dommen? NEJ. Altså ingen udøvende magt. Aka ikke en retsstat.

Endvidere skriver du at EU har sikret os rettigheder som vi ikke havde før EU? Kan du nævne bare en enkel af disse som vi ikke havde i 91 som vi fik i 93?

  • 5
  • 4
#90 Peer Bech Hansen

Og lige der mistede jeg nok den sidste rest af respekt og anerkendelse af det format du gennem tiden har repræsenteret.

Det her er et spændende emne, men som ofte før synes jeg både indlægget og den efterfølgende debat skæmmes af PHK’s arrogante, nedladende og småperfide facon. Sidst jeg oplevede det var i debatten om #MeToo i IT branchen. Den diskussion stak helt af, men jeg synes det har været et problem i årevis.

Når det er niveauet ønsker jeg i personlig ikke at deltage i debatten. Mon ikke tiden er inde for at ryste posen og finde nogle bloggere med en lidt anden attitude.

  • 20
  • 1
#91 Baldur Norddahl

Man kan ikke kriminalisere hele befolkningen, det er i strid med både grundlov og forfatning. Indgreb skal have proportionalitet. EU har ikke en tidsmaskine og forslaget er umuligt at gennemføre.

Tænk at nogle tror at SSH kan gøres ulovligt. Eller den nuværende version af TLS. Og dermed alle nuværende og tidligere kopier af Linux, BSD, mine juniper routere, mine ZTE switche, min gamle router fra Tiscali. Store dele af datamuseets samling ulovligt. Alt der har en gammel ssh eller en webbrowser med SSL eller TLS. For ikke at nævne GPG.

Eller er det kun brugen men ikke besiddelse der tænkes gjort ulovligt? Så vi skal bare gå tilbage til telnet over det offentlige internet? Dét skal nok være en god ide. PHK starter.

  • 9
  • 4
#92 Nicholas Ipsen

Enig med mange andre kommentatorer her. Som en der sørgede da du forlod ing.dk, er jeg chokeret over din attitude her. Er man uenig i, at staten frit skal kunne vide alt om alt man nogensinde har foretaget sig på nettet med en dommerkendelse, er man altså en ekstremist, der ikke ønsker at bevare den danske retsstat?

Ok. Farvel.

  • 15
  • 1
#93 Poul-Henning Kamp Blogger

Samtidig undrer det mig, at du med dit store fagkundskab inden for IT og IT-sikkerhed bliver ved med at promovere noget, som de fleste andre fagfolk, inklusive ikke mindst eksperter i kryptografi, anser for at være teknisk umuligt at gøre bare nogenlunde forsvarligt.

For det første: "teknisk umuligt"

Ja, det er formodentlig "teknisk umuligt" og det er der mange andre ting i vores samfund der også er. Man kan f.eks ikke lave en bil så den aldrig slår folk ihjel.

Den slags "teknisk umulige" problemer har resten af samfundet haft en løsning på i rundt regnet fire tusinde år, det kaldes "jura".

Problemet med at biler slår folk i hjel, er juridisk ikke "løst" i matematisk forstand, men skadevirkningerne er mitigeret til et samfundsmæssigt acceptabelt niveau, med et antal forskellige virkemidler: Krav om køreprøve, lovpligtigt sikkerhedsgodkendelse, lovpligtigt periodisk syn, lovpligtig ansvarsforsikring osv.

Problemerne omkring kryptografi vil med garanti heller ikke blive "løst" i matematisk forstand, men skadevirkningerne vil med garanti blive mitigeret med jura, netop fordi det ikke er muligt at løse dem med tekniske midler.

For det andet: "nogenlunde forsvarligt".

Nogenlunde forsvarligt for hvem ?

Vi lever i et demokrati, hvad der er "nogenlunde forsvarligt" på samfundsbasis er ikke noget selvbestaltede IT-nørder har hverken ret, eller kompetence til at fastlægge. Det er en politisk afvejning som foretages af folkevalgte repræsentanter, på samme måde som de løbende afvejer hvor mange menneskeliv vi kan acceptere at miste til færdselsuheld om året.

Hvordan den jura der skal mitigere skadevirkningerne af ubrydelig kryptering skal indrettes, er præcist hvad EU byder op til dans om i dette memo.

Dem der vil have indflydelse må søge den.

De får den ikke ved at sige "det er teknisk umuligt at gøre bare nogenlunde forsvarligt."

  • 8
  • 10
#96 Sune Marcher

Den slags "teknisk umulige" problemer har resten af samfundet haft en løsning på i rundt regnet fire tusinde år, det kaldes "jura".

Problemet med at biler slår folk i hjel, er juridisk ikke "løst" i matematisk forstand, men skadevirkningerne er mitigeret til et samfundsmæssigt acceptabelt niveau, med et antal forskellige virkemidler: Krav om køreprøve, lovpligtigt sikkerhedsgodkendelse, lovpligtigt periodisk syn, lovpligtig ansvarsforsikring osv.

Se, nu er vi ved igen at være i nærheden af noget vi kan diskutere fornuftigt. Noget hvor vi kan være uenige om hvad løsningsrummet er, men hvor der kan debatteres. Jeg er fuldstændigt enig i grundpræmisserne i det jeg har quoted.

Men vil du ikke være rar at holde lidt igen med udtryk som "selvbestaltede IT-nørder"? Jeg ved godt at der er mange af de dér trælse tech-bros der råber op om "Du KaN IKkE FoRByDE MaTEmATiK!", men hvis du bruger det som grundpræmis i din debat her, trækker du niveauet gevaldigt ned, og får folk på barrikaderner. Det giver gode clicks til Version2, men det er ikke så fordrende for en saglig debat.

Hvis det er det budskab du fik ud af at læse EU's dokument, (Læste du det faktisk ?), så er det ikke noget tab for kvaliteten af debatten at måtte undvære dig.

Du er nok nødt til at acceptere at det ikke er alle der har læst originalmaterialet, men forholder sig til A) titlen DU HAR VALGT, "Kræver masterkeys til end-to-end krypto" B) indholdet af dit indlæg, og de løsningsmuligheder du nævner.

  • 18
  • 0
#97 Hr Hansen

Hvis det er det budskab du fik ud af at læse EU's dokument, (Læste du det faktisk ?), så er det ikke noget tab for kvaliteten af debatten at måtte undvære dig.

Nu må du simpelthen stoppe!

Jeg forstår simpelthen godt at folk ikke gider debattere med dig. Simpelthen så utrolig lav debatstil. Du har jo ingen modsvar hele vejen ned igennem debatten. Du konstantere bare folk har en anden mening end dig, og ud fra dette mener du de ikke har læst dokumenterne!

Kunne det tænkes at man bare ikke helt ser ens på hvordan EU bruger vores data? Kunne det tænkes at du gang på gang ignorer teledata sagerne rundt om i EU, fordi disse med tydelighed viser at hverken EU eller retsstaterne kan overholde vores basale rettigheder, og vi derfor ikke skal give dem flere af vores data!

I guder det så lav punkt debat bare at sige "I har ikke læst dokumenterne"

  • 16
  • 4
#98 Hr Hansen

En retstat er en der beskytter dig mod at blive smidt i fængsel uden at have fået en retfærdig rettergang.

... Dit eget link modsiger dette.

"Karakteristisk for en retsstat er, at borgerne har frihedsrettigheder, fx ytringsfrihed og foreningsfrihed, at mindretals interesser beskyttes, at civil og militær retspleje er adskilt, og at domstolene er uafhængige af den udøvende magt. I en retsstat er der lighed for loven, korruption og nepotisme bekæmpes, og forvaltningen udøves efter legalitetsprincippet, dvs. at myndighedsafgørelser, der griber ind i borgernes frihed og rettigheder, har hjemmel i lov.

EU har ingen ret til at lave myndighedsafgørelser på vores kriminelsager. EU retten har ret til at gribe ind OVERFOR retsstaten... Altså lige som FN har.

  • 3
  • 4
#99 Poul-Henning Kamp Blogger

A) titlen DU HAR VALGT, "Kræver masterkeys til end-to-end krypto" B) indholdet af dit indlæg, og de løsningsmuligheder du nævner.

Re A):

Her antog jeg åbenbart at mine læsere vidste mere om hvordan kryptografi er strikket sammen end det er tilfældet.

Du kan gribe næsten en vilkårlig af Schneiers glimrende bøger og et eller andet sted deri læse, at man ikke med sikkerhed kan give en dommerkendelse effekt, hvis ikke en eller anden tredjepart har adgang til sessionsnøglen.

Eksistensen af denne tredjepart er for alle kryptografisk/praktiske formål lig med eksistensen af en eller anden form for "masterkey", idet alternativet ville være at opbevare alle de anvendte sessions-nøgler i klartekst.

Det betyder med andre ord, at EUs ønske om at dommerkendelser skal virke, udelukker et antal forretningsmodeller, og her er der absolut ingen grund til at være cirkumspekt: Signal's er direkte midt i sigtekornet.

Derfor overskriften: Signal vil blive tvunget til enten at lave en eller anden masterkey løsning, eller blive tvunget ud af EU's indre marked med magt.

Re B):

De løsningsmuligheder jeg nævner, ikke mindst decentraliseret escrow, er velkendte, velafprøvede og dokumenteret virkende metoder til at løse netop denne slags problemer: To parter der ikke stoler på hinanden over en dørtærskel.

Når man overdrager fast ejendom her i landet er det f.eks en escrow-transaktion: Den berigtigende advokat holder ejendommens skøde i escrow indtil de for overdragelsen aftalte betingelser er opfyldt.

Set fra et strengt IT-persons synspunkt er det en underlig rodet og "uren" måde at gøre tingene på, men udelukkende fordi vores verdensbillede er kraftigt farvet af at vores normale reference-ramme er så binær som den er.

Her skal man ikke glemme, at når nørderne får chancen for at vise hvad alle deres smarter kryptorgrafiske algoritmer kan, så viser det sig at de ikke har overvejet at der kunne komme en global situation hvor person-transport var udelukket og derfor blev de nødt til at bryde alle regler for at få fornyet nøglen på DNS rod-zonen.

Taget i betragtning at det kun er ti år siden en islandsk vulkan sidst lammede al flytrafik, er det ikke ligefrem noget der vækker tillid at dem der designede den åh-så-sikre producedure overså den detalje.

  • 10
  • 7
#100 Sune Marcher

Tak for et lidt mere nuanceret svar – det får du en thumbs-up for, selvom jeg ikke er helt enig i indholdet, og synes at "når nørderne får chancen" er unødvendigt. Jeg forstår godt trigger-tendensen til at bruge udtrykket, og jeg er forbandet træt af de ignorér-samfundet-der-er-tekniske-løsninger-til-alt-typer... men jeg ville ønske at du ville holde en smule igen, når dét du bliver mødt med er mere nuanceret.

"Her antog jeg åbenbart" er igen lige spidst nok. Som jeg forstår dig, mener du at vi er nødt til at kompromittere sikkerheden i vores kryptosystemer for at imødekomme EUs ønsker. Et kryptosystem er ikke stærkere end det svageste led, og det er bredt anerkendt at key management er akilleshæl - så hvis du plæderer for at kompromittere key management, har vi reelt set ikke stærk kryptering.

Din holdning (som jeg forstår den) er valid, men jeg er uenig i at det er den rette løsning - som tidligere nævnt, mener jeg faktisk ikke at den løser det reelle problem overhovedet, og at der er andre løsningsmuligheder, der gør. Det er en ting der kan diskuteres rationelt, og der er derudover en mulighed for at jeg har misforstået dig.

De løsningsmuligheder jeg nævner, ikke mindst decentraliseret escrow, er velkendte, velafprøvede og dokumenteret virkende metoder til at løse netop denne slags problemer: To parter der ikke stoler på hinanden over en dørtærskel.

Det virker virkeligt godt for nogle meget veldefinerede og i forvejen bureaukrati-tunge scenarier, og der er intet urent i dit eksempel med overdragelse af fast ejendom.

Men vi er nok uenige om nogle af de grundlæggende principper. Vores verden er et andet sted end før den omsiggribende digitalisering, og vi er nødt til at tage stilling til hvad det betyder, vi kan ikke videreføre den analoge status quo.

Jeg mener fx:

  1. Det skal være lige så besværligt at overvåge digitalt som det var i de analoge tider, selvom det potentielt set kunne være panopticon-level nu.
  2. Vi bør som udgangspunkt have mulighed for at være anonyme.
  3. Vi skal holde platformsejere ansvarlige, i stedet for at forkrøble grund-teknologi. At "holde ansvarlige" er en pissesvær opgave, både i omfang og international lovgivning.
  4. Hvis en foreslået løsning kan misbruges af et diktatur, er vi nødt til at forkaste den, for vi ved ikke hvor vores samfund, lokalt som internationalt, er om bare 10 år.

Det er super svært at finde nogle gode løsninger med de kriterier jeg har.

Personligt har jeg det nogenlunde med status quo - bl.a. at vores efterretningstjenester laver Massivt Nasty Stuff og fodrer politiet med parallelkonstruktioner - det får du dem ikke til at stoppe med anyway, og det er bedre end at vi introducerer (flere) bevidste sikkerhedshuller.

  • 11
  • 0
#101 Rasmus C

Du har heller ikke læst EU's dokument ?

EU er faktisk ret "hooked" på privatliv og menneskerettigheder...

Er det ikke lige gyldigt om man har læst det. Det handler om at den danske regering og flere andre i EU er ret ligeglade med hvad EU siger. Tag telelogningen som eksempel. Det er dømt ulovligt flere gange i EU og det tages der ikke hensyn til. Hvordan tror du regeringen vil opfatte det her nye forslag? Jeg tror de vil tage det som et tag selv bord og hente alle nøglerne fra advokaterne med påskud om nationens sikkerhed. De vil endda give alle nøglerne videre til NSA og de andre allierede.

Hvordan vil du have at man skal have tillid til systemet når systemet åbenlyst bryder loven hver dag?

  • 14
  • 0
#102 Poul-Henning Kamp Blogger

Jeg mener fx:

1Det skal være lige så besværligt at overvåge digitalt som det var i de analoge tider, selvom det potentielt set kunne være panopticon-level nu.    
2Vi bør som udgangspunkt have mulighed for at være anonyme.    
3Vi skal holde platformsejere ansvarlige, i stedet for at forkrøble grund-teknologi. At "holde ansvarlige" er en pissesvær opgave, både i omfang og international lovgivning.    
4Hvis en foreslået løsning kan misbruges af et diktatur, er vi nødt til at forkaste den, for vi ved ikke hvor vores samfund, lokalt som internationalt, er om bare 10 år.  

Ad 1: Hvad taler vi om her ? Staternes overvågning eller FaceBook/Google/Apple/Amazon's overvågning ? Jeg har personligt langt større bekymringer om det sidste, for det er helt udenfor demokratisk kontrol og for alle praktiske formål totalt ansvarsfrit.

Ad 2: Her bliver du nødt til at være mere specifik. Hvor vil du være anonym, hvem vil du være anonym overfor og hvilken pris er du villig til at betale for det ?

Er du f.eks OK med at hvis du er anonym til en fodboldkamp og kommer til skade, så kan sundhedssystemet ikke slå dine stamoplysninger op ?

Ad 3: Jeg kunne ikke være mere enig. Bemærk dog, at hvis du spørger en af forfatterne til EU'memoet, så vil de sige at det er præcis hvad de prøver at gøre med det.

Ad 4: Ok, så vi skal heller ikke bygge motorveje, for dem kan diktaturet bruge til at flytte tropper og hospitaler er right out, for de kan bruges til tortur ?

Jeg synes det ville være en meget bedre ide at slå kreds om vores samfund og forsvare det imod dem der mener at demokrati ikke er vejen frem.

  • 7
  • 8
#105 Torben Mogensen Blogger

i 99% af tilfældende vil PHK's "or else" klausul være tilstrækkelig: Ligesom du med en dommerkendelse i hånden kan bede om adgang til en persons hjem, kan du også med en dommerkendelse kræve krypteringsnøgler udleveret.

Godt nok kan politet bryde en dør op, hvis en person nægter dem adgang til sit hjem, og der er ikke meget, de kan gøre, hvis krypteringsnøglen ikke udleveres, men en tilstrækkelig virksom "or else" klausul (f.eks. "vi holder dig i isolation, indtil du frigiver nøglen") vil nok lokke nøglen ud af typer i stil med Amdi Petersen og Stein Bagger. Det vil godt nok ikke hjælpe mod fanatiske terrorister, der hellere dør, men de vil nok heller ikke være afskrækket af en lov, der forbyder ubrydelig kryptering. Her må efterretningstjenesterne så nøjes med metadata, men det kan de også komme ret langt med.

  • 10
  • 1
#106 Maciej Szeliga

...hvordan det lige skal implementeres ikke på papir men i praksis?

Vi vil altid kunne pålægge at industrien leverer en løsning med bagdøre og vi kan pålægge nyudviklede ting til at implementere en bagdørsmekanisme men de ting der er ude i omløb vil bare blive meget kostbare på det sorte marked og folk som kan udvikle den slags vil blive meget eftertragtede af kriminelle og terrorister.

Alle kan tage AES eksempel, kompilere den - derefter skal de bare distribuere den til "vennerne" og så er der en krypteret måde at kommunikere uden bagdør.

Vi kan naturligvis godt blokere for alt vi ikke kan læse løbende men så kommer vi netop ud i kinesiske tilstande... men det er måske også det vi vil ?

...og terroristerne? ja, de skifter bare fra Internettet til andre kanaler - og det har virket før for dem så det bliver ikke det helt store problem.

...og meget apropos: har terroristen ikke en AK47 elle noget ANFO så bruger han en kniv eller en lastbil så sammenligningen med våben er faktisk rigtig god: problemet er ikke teknikken, problemet er menneskerne.

  • 7
  • 0
#107 Christian Nobel

(f.eks. "vi holder dig i isolation, indtil du frigiver nøglen")

Så hvis du nu får en mild hjerneblødning under isolationen, således at du vitterlig ikke kan huske hvor du har lagt nøglen (til beviset!), så kan du tildeles en livstidsdom uden rettergang.

Eller det tilfælde at du faktisk ikke har nøglen - skal der så bruges vold til at tvinge en nøgle, som du ikke har, ud af dig?

Ikke lige et system jeg ville være stolt af.

  • 18
  • 2
#108 Rasmus C

Nej det er ikke ligegyldigt om man har læst de dokument vi diskuterer.

Der er da ingen grund til at vi skal bruge tid på at snakke om hvad vi skal lege, når vi alligevel slet ikke gider lege sammen...

Dit postulat er, at EU har ret og at vi skal lege med og finde en måde at regulere kryptering på. Jeg mener ikke at kryptering skal reguleres, da jeg mener at vores nuværende lovgivning er tilstrækkelig, samt at jeg ikke har tillid til, at vores regering vil afholde sig fra at misbruge hvad end der kommer ud af det.

Når tilliden er genskabt kan vi begynde at snakke om dette igen, men ikke før, og først da er dokumenterne relevante.

  • 8
  • 1
#109 Klavs Klavsen

Med en masternøgle PER person der får lov at anvende facebook messenger, WhatsAPP etc. - og et KRAV om at denne udstedes via dette lands ID service (NemID i danmark) (for borgere indenfor EU) - så ville man kunne lade den private nøgle blive oprettet hvor vi i forvejen har vores private nøgle (hos NemID) - og DE vil med dommerkendelse, kunne dekryptere den enkelte persons privatnøgle hos f.ex. WhatsApp..

Det skal så bare være at krav at WhatsApp, Facebook mv. implementerer et system til at indhente en krypteringsnøgle hos det enkelte lands udbyder- hvor denne person identificerer sig overfor denne.

Det hænger selvfølgelig på at vi stoler på NemID - men der har vi allerede sat vores lid - for ellers kan enhver jo tage vores penge og ejendom og hvad vi ellers kun ejer fordi de offentlige eller bankerne tror på det.. Så giver det mening?

  • 3
  • 0
#110 Baldur Norddahl

i 99% af tilfældende vil PHK's "or else" klausul være tilstrækkelig: Ligesom du med en dommerkendelse i hånden kan bede om adgang til en persons hjem, kan du også med en dommerkendelse kræve krypteringsnøgler udleveret.

Hvorfor bliver i ved med at se bort fra egenskaberne ved vores eksisterende end to end kryptering? Jeg kan da ikke dekryptere mine ssh sessions efterfølgende. Det er der ingen der kan. AES er symmetrisk kryptering, der er ingen bagdøre og ingen, hellere ikke EU, kan trylle væk alle produkter der eksisterer i folks hjem, og som er bygget med AES. Hvis du har en VPN boks til din arbejdsplads, så kan ingen bryde den kryptering. Hverken du, din arbejdsplads eller andre. Og pludselig skal besiddelse af gamle VPN bokse være ulovligt? - Sammen med alt gammelt software der indeholder en ssh klient? Forslaget er absurd og jeg har endnu til gode at bloggeren forholder sig til den problemstilling.

Selv i Kina kan de ikke dekryptere ssh. Styret lever med at det er et hul i deres mur. Kina kan hellere ikke dekryptere TLS 1.3 og har forbudt brugen på indenlandske sites, men de kan ikke gøre noget ved udenlandske sites - så de har blokkeret det. Men det vil være alt for indgribende i EU og har ingen politisk gang på jorden.

Der er noget konspirationsteori over bloggen. Første gang politiet bad mig om at bistå med en aflytning gjorde jeg præcis det. Jeg afleverede en harddisk med PCAP filer, som de kunne hive ind i Wireshark, så de kunne analysere den mistænktes trafik. De havde dommerkendelse med mere. MEN - hurtigt udbrød der panik hos politiet. Det havde ikke den ringeste anelse hvad de skulle gøre ved de data jeg afleverede. Det havde de aldrig set før. De forventede at aflytning = netflow data. Til dem der ikke er inde i hvad netflow er, så er det en teknologi til at sample og opsummere pakker og rapportere tilbage som statistik på flows. Det endte med at jeg konverterede det til noget netflow lignende for dem og dermed smed 99% af data væk.

Så i Danmark kommer du ikke til at blive anklaget for ikke at kunne bryde din end to end kryptering. Politiet har det slet ikke på radaren.

  • 13
  • 0
#111 Karsten Bang

Hvorfor bliver terrorister altid brugt som eksempel i disse diskutioner? Hvis vi kigger i kroner og ører, er økonomisk kriminalitet så ikke en lang større trussel for vores samfund?

Jeg synes tit konklusionen bliver "det virker ikke mod terrorister, derfor er det ligegyldigt". Hvis vi kan finde en løsning, der virker mod nogle af de store spillere indenfor økonomisk kriminalitet, så synes jeg da, vi er kommet rigtig langt.

  • 7
  • 2
#112 René Nielsen

Provokerende udtalelse? Tja, men vel ikke mere provokerende end PHK’s budskab om at der er brug for bagdøre i kryptering.

Terror er i realiteten ikke noget samfundsmæssigt problem, fordi der er så få årlige dødsfald (og andre skader på samfundet).

Hvor er sympatien med de 10.000+ som hvert år dør af rygning? Hvor er sympatien med de 10.000+ som hvert år dør af følgeskader fra forurening fra især luftforeningen? Hvor er sympatien med de som hvert år dør i trafikken?

Det er problemer som betyder noget for samfundet.

Jeg ville personligt blive ked af det hvis jeg eller min familie blev udsat for terror, et voldeligt overfald eller lignende.

OK – lige nu er alt byliv lukket, men chancen for at min ældste datter bliver udsat ”drug rape”, voldtægt eller bare at en af mine sønner bliver gennempryglet på vej hjem fra byen og lignende er kolossalt meget højere end chancen for terror. Og er man i tvivl så har Danmark Statistik nogle statistiker over kriminalitet.

Så hvorfor er det at myndighederne har brug for ”flere værktøjer” i form af dekryptering til et problem som ikke eksisterer?

Jeg kan ikke se en saglig (demokratisk) grund til at indføre bagdøre i kryptering.

  • 12
  • 1
#114 Gert Madsen

Det første, som man bør diskutere, er påstanden om at man ikke kan følge med i terrorister kommunikation, uden adgang til en masternøgle.

Med en dommerkendelse kan man sætte mikrofoner op i beboelser. Man kan også få sladder lagt ind i mobiltelefoner, etc. som andre er inde på ovenfor.

Det er ikke nemt, og det koster penge/resourcer. Men det er heller ikke umuligt.

Her er det vigtigt at påpege at et centralt problem mht. overvågning, ikke som sådan er, at det er nyt, men at det er blevet nemt og billigt, og at resultatet er nemt tilgængeligt for rigtig mange mennesker.

Så har vi et lokalt dansk problem, som det var på tide at få løst. Dommerkendelser er for usikre. Der er ingen, som har til opgave at varetage den anklagedes sag.

Det ligger implicit i Domstolenes standard ansvarsfraskrivelse: "Vi tager kun stilling til det, som fremlæggelse af parterne i retten"

Egentlig bunder det i, at politiet skal finde og fremlægge forhold, som taler for den anklagede (og i dette tilfælde imod deres ønske om overvågning).

Men skandalerne om telelogning, masteplaceringer og DNA-prøver viser med al tydelighed, at det er meget svært for politiet at administrere.

Man burde have en enhed af forsvarsadvokater, som skulle deltage på den anklagedes vegne. Gerne under en uafghængig enhed, som feks. Forbrugerådet, eller ombudsmanden.

  • 10
  • 0
#115 Dana Skovsende

Spørgsmålet er om du overhovedet kan have tillid til staten/EU.... Og det mener jeg ikke at man kan have mere, der har været en perlerække af sagen nu, sidst FE skandalen! Eneste mulighed du har for at staten ikke misbruger dine data er at sørge for at staten ikke har dine data. Så det bliver en "nej tak" herfra

  • 9
  • 0
#116 Poul-Henning Kamp Blogger

Så har vi et lokalt dansk problem, som det var på tide at få løst. Dommerkendelser er for usikre. Der er ingen, som har til opgave at varetage den anklagedes sag.

Som mange andre også har påpeget i tidens løb, trænger Grundloven til en hovedreparation. Den blev skrevet for at løse problemet med behandlingskrævende monarker, men den gjorde ikke en ende på enevælden, den flyttede bare monarken ud af den.

Indtil vi har en sand tredeling af magten, med en højesteret der betragter såvel regering som lovgivere med den fornødne skepsis, er EU's menneskerettigheder det der beskytter os mest.

  • 4
  • 2
#117 René Nielsen

Man burde have en enhed af forsvarsadvokater, som skulle deltage på den anklagedes vegne. Gerne under en uafghængig enhed, som feks. Forbrugerådet, eller ombudsmanden.

Det findes der skam beskikkede advokater i sagerne om aflytning - Rpl § 784

Men jeg er enig i at det er alt for let for politiet at opnå tilladelse til aflytning. I realiteten funger domstolskontrollen jo ikke.

Som ansvarlig folketingspolitiker er man nødt til at forholde sig til at et land som Danmark har samme antal kendelser om aflytning som USA. Et land som befolkningsmæssigt er 50+ gange større, tungt bevæbnede militsgrupper og andet godtfolk.

Når man så efterfølgende måler på politiets resultater eller skal vi kalde det ”opnået kendelse” imod mistankegrundlaget jf. Rpl § 781 som gav lov til aflytningen, så taler vi vel om 1% fik mindst 6 års fængsel. Så 99 ud 100 gange tager politiet fejl.

Så jo, jeg er enig at området omkring politiets aflytning – er fuldstændig ude af demokratisk kontrol.

  • 18
  • 0
#118 Michael Hansen

men en tilstrækkelig virksom "or else" klausul (f.eks. "vi holder dig i isolation, indtil du frigiver nøglen") vil nok lokke nøglen ud af typer i stil med Amdi Petersen og Stein Bagger.

Det eneste man får ud af det, er at folk der ønsker at gøre andre fortræd af forskellige årsager, bare skal plante en krypteret USB stick og melde vedkommende, når politiet så står der og siger, vi skal have nøglen ellers må du side i isolation og rådne op til vi har den, til en der oprigtigt ikke aner hvad der er på USB stick'en eller hvad nøglen er, så er vedkommende jo totalt fucked, pga omvendt bevis byrde, sådan et samfund ønsker jeg personligt ikke.

Edit: Hov kan se andre har kommenteret det samme.

  • 13
  • 1
#120 Ditlev Petersen

hvis krypteringsnøglen ikke udleveres, men en tilstrækkelig virksom "or else" klausul (f.eks. "vi holder dig i isolation, indtil du frigiver nøglen") vil nok lokke nøglen ud af typer i stil med Amdi Petersen og Stein Bagger

For det første er den slags måske brugbart, men også langt inde i det spændende felt der hedder tortur. For det andet forekommer det mig lidt specielt, i hvert fald inden for dansk ret, at en sigtet eller anklaget skal tale sandhed og medvirke til at skaffe beviser mod sig selv. Det tror jeg faktisk ikke, man har pligt til at gøre. Hvis jeg bliver anklaget for at have myrdet min kone (jeg er ugift), så skal jeg straffes for mord, hvis anklageren kan bevise det. Jeg skal ikke yderligere straffes for at have benægtet mordet eller for at have smidt saven eller kniven i havnen. Der kan dog komme en supplerende anklage for usømmelig behandling af lig.

  • 2
  • 1
#122 Poul-Henning Kamp Blogger

For det andet forekommer det mig lidt specielt, i hvert fald inden for dansk ret, at en sigtet eller anklaget skal tale sandhed og medvirke til at skaffe beviser mod sig selv.

Som jeg skrev ovenfor, er denne problemstilling giftig på alle leder og kanter og der er ingen indlysende perfekte eller bare gode løsninger.

Netop denne problemstilling er også en af de primære årsager til at jeg ser escrow som det mindst elendige udgangspunkt for et kompromis.

Den uskyldige der har glemt sit password, kommer ikke til at rådne op, hans advokat eller service-provider kan skaffe adgang og den skyldige kan heller ikke nægte at give adgang hvis dommeren forlanger det.

Det siger sig selv at tærsklen for at nøglen udleveres fra escrow skal være mindst den samme som for en ransagning eller husundersøgelse.

Det er forresten et af "modpartens" bedre argumenter her: Alle landes lover gør det muligt at ransage mistænkts boliger hvis anklagen er slem nok. At folk pludselig kan gemme ting så de aldrig kan ransages opfattes som et enormt skred i magtbalancen, ikke mindst i forhold til organiseret økonomisk kriminalitet, herunder skattesvindel.

Og ja, det er ikke tilfældigt at børneporno er "poster-boy" her, for den "branche" har for længst set lyset i stærk kryptering.

Der har allerede været en sag om en børnepornograf i USA der nægtede at udlevere passwords til sine USB-drev under henvisning til "self incrimination". Han tabte i deres højesteret, fordi politiet allerede vidste hvad indholdet var, så vidt jeg kunne forstå på filnavns- + beskrivelsesniveau og derfor var indholdet af drevene egentlig ikke nødvendige for hans dom, men de var nødvendige for at kunne identificere hans ofre. Mao: En noget rodet sag som derfor ikke rigtig lagde nogen linie.

Retspraksis i civilizerede lande, indtil videre, ser kun ud til at være en generelle om at du ikke kan varetægtsfængsles (væsentligt) længere end den straf du i givet fald kunne ifalde.

I Danmark var emnet oppe i forbindelsen man ham svenskeren der valsede igennem den åbne svingdør i diverse mainframes, men det var ikke et kernepunkt og der blev mig bekendt ikke sat præcedens.

Hvis man laver en obligatorisk escrow ordning og derefter render ind i en mistænkt som ikke har lagt sine nøgler i escrow og anklagen er slem nok (økonomisk svindel, menneskesmugling, børneporno, mord osv.), ser jeg det ikke som et stort problem hvis han bliver varetægtsfængslet op til straframmen for ikke at ville give adgang, hvad enten han siger han ikke kan, eller ikke vil: Forbrydelse skal per definition være en dårlig forretning.

  • 5
  • 6
#123 Nicolai Petersen

Hej

Hvis der eventuelt kunne være muligt for en eller flere af de involverede i denne diskussion at komme ned nogle oplysende ord om følgende spørgsmål

  1. Hvis forbryder X i Namibia kontakter Dansker Y via en krypteret forbindelse, og begge er "tvunget" til at have halvdelen af hver deres nøgle liggende i escrow i hvert deres landes escrows. Hvordan får dansk politi så mulighed for at decryptere?
  2. Hvis vi taler TLS1.3 kryptering hvor en dansker Y benytter en webservice i forbryder Y's land. Hvordan nytter det dansk politi at de har halvdelen af en nøgle der ikke benyttes?
  3. Hvordan tilsikres det at den krypterede information dansker Y anklages for tilhører dansker Y?
  • 2
  • 0
#124 Poul-Henning Kamp Blogger

Jeg tror dine hypotetiske eksempler rammer ved siden af, du kunne erstatte "forbindelse" med "luftpost" og situationen ville ikke forandre sig, eller på anden vis udgøre en ny udfordring for retsplejen.

Det problem EU sigter direkte efter er:

Organiseret krimminel person "A" i EU bruger en app eller service "B" til kriminalitet.

Ved fremsendelse af lovlig dommerkendelse til "B" modtages svaret: "Kommunikationen er krypteret end-to-end, vi har med vilje designet vores service så vi ikke har nøglen og vi har også sørget for ikke at gemme nogen logfiler. Forresten er vores hovedkvarter i Elbonien, som ikke er medlem af EU og I kan i øvrigt rende os noget så grusomt."

Det er ikke en forretningsmodel der er svær at komme i tanke om, der har allerede været flere forsøg, f.eks Kim DotCom, SilkRoad og senest Signal.

Fælles for dem alle er at de, helt forståeligt og helt tilsigtet tiltrækker kriminelle bander fluer til en lort.

Uanset hvad der ellerr sker, kan civilizerede retssamfund ikke leve med at den slags parallelsamfund muliggør og letgør organiseret kriminalitet og derfor vil de blive stoppet på den ene eller den anden måde.

TLS1.3 designerne har kæmpet med næb og kløer for at absolut ingen information må lække ud, med det resultat at mere "handlekraftige" nationer allerede er begyndt at blokere for TLS1.3 traffik og/eller insistere på "Stats-certifikater" på alle computere, så de kan lave Man-in-The-Middle og på den måde få adgang.

Det har så fået IT-liberalisterne til at opfinde "cert-pinning" og andre tiltag som skal gøre MiM umulig.

Det burde være indlysende at dette er et trivielt våbenkapløb og det burde også være indlysende hvem der kommer til at vinde det: Dem der skriver lovene.

Derfor mit argument: Ved med korslagte arme at insistere på aldrig at gå på kompromis med "perfekt kryptografisk sikkerhed", ender IT-liberalisterne med at tvinge lovgiverne til at forbyde og spærre for "hård" kryptering også de steder der faktisk er brug for den: Sundhedsdata, Menneskerettighedsforkæmpere osv.

I modsætning til USA, Rusland og Kina anerkender EU i det mindste at deres borgere har en ret til privatliv, så jeg tvivler på at EU spærrer for TLS1.3, med mindre IT-liberalisterne ikke efterlader dem andre muligheder.

Men det er 100% klart, fra FN's menneskerettighedserklæring, EU's ditto, EU traktaten og Danmarks Grundlov, at retten til privatliv ikke er absolut: Givet gode nok grunde, efter fair og retfærdig dom, har øvrigheden ret til at se de af retten udpegede hemmeligheder.

  • 7
  • 8
#125 Nicolai Petersen

Men det er 100% klart, fra FN's menneskerettighedserklæring, EU's ditto, EU traktaten og Danmarks Grundlov, at retten til privatliv ikke er absolut: Givet gode nok grunde, efter fair og retfærdig dom, har øvrigheden ret til at se de af retten udpegede hemmeligheder.

Forhåbentligt forudsat at de kan bevise at den krypterede hemmelighed tilhører dig.

For hvis ikke det er en forudsætning, så kan uskyldige personer komme ubehjælpligt i klemme, en kunne jo komme til at glemme et USB drev hos en man ønskede "glemt" væk indtil denne hoster op med den nøgle som denne ikke er i besiddelse af.

  • 4
  • 0
#126 Martin Hansen

Den nedsættende tone PHK her lægger for dagen er desværre ikke ny. Jeg har igennem længere tid opfattet et gennemgående tema i mange af PHK's indlæg, nemlig et behov for at hæve sig over andre i branchen. Ikke på det rent IT-faglige, snarere tværtimod: Jeg (PHK) er meget mere mennesklig, "afrundet", ikke-nørdet, samfundsorienteret end alle andre nørder.

Du ser det i dette indlæg: PHK er den eneste IT-entustiast (idet "alle som en" - pånær PHK - fejler) som også forstår sig på jura, retsstaten, retssikkerhed etc. (samme findes iøvrigt i tidligere indlæg om emnet samt andre emner om jura).

Samme tendens ses i dette indlæg om #metoo (https://www.version2.dk/blog/saa-naaede-metoo-danmark-1091342 og især https://www.version2.dk/blog/it-branchens-mandehoerm-1090171) hvor PHK fremfører nogle utroligt generaliserende og i mine øjne verdensfjerne beskrivelser af forholdene på DIKU og DTU (sidstnævnte nævner han tidligere han ikke har viden fra). Han kaster sig op som nærmest eneste datalog der har et normalt forhold til det modsatte køn.

Man kan også aflæse samme i: https://ing.dk/blog/perspektivet-2129-235827?fbclid=IwAR3tKpheY5LQwvTRaW...

"...[jeg er] ... indiskutabelt i riskogruppen for at blive en Sur Gammel Mand. Det har jeg bestemt ingen planer om at blive, men 'Vis mig hvem du omgås og jeg skal sige dig hvem du er.' advarer et gammelt ord, som svier lidt, når man taler med folk ude i den virkelige verden om debatten på ing.dk."

Altså igen ser vi et tydeligt behov for at hæve sig over andre i branchen, på de ikke-tekniske kompetencer.

Det kan være det bare mig der ser spøgelser, og kan også være et resultat af den "sætten på spidsen" en debattør også må ty til, men jeg synes måske også det har en tendens til at kamme over og måske blive for sort/hvidt.

  • 20
  • 5
#127 René Nielsen

Det er forresten et af "modpartens" bedre argumenter her: Alle landes lover gør det muligt at ransage mistænkts boliger hvis anklagen er slem nok. At folk pludselig kan gemme ting så de aldrig kan ransages opfattes som et enormt skred i magtbalancen, ikke mindst i forhold til organiseret økonomisk kriminalitet, herunder skattesvindel.

Det her - er simpelthen forrykt!

Man kan ikke sammenligne en traditionel fysisk rangsagning med logisk at udleverer adgangskoder til f.eks. en mobiltelefon eller til en harddisk.

For det første er en traditionel rangsagning blot et øjebliksbillede hvor det slet ikke er sikkert at politiet finder det ”de leder efter” hos mistænkte, fordi det enten ikke er der eller blot at politiet ikke finder det de leder efter.

Og finder politiet noget, er det jo slet ikke sikkert at de forstår koden i den notebog den mistænkte bruger. Det at den mistænkte bruger en kode som politiet ikke forstår, er ikke noget nyt digitalt fænomen.

På en harddisk kan ”fortiden” genskabes og på en mobiletelefon kan man ”gå tilbage i tiden” og finde langt flere informationer som er langt mere præcise end det som en fysisk rangsagning nogensinde ville give adgang til.

Der er ingen grænser for hvor mange ”betjente” levende eller logiske du kan sætte til at analyser det beslaglagte. Og du kan gøre det igen og igen og du kan sende telefonen til producenten osv. osv. Alt sammen ting som ikke kan gøres ved den fysiske ransagning

Hvis du (PHK) havde et blot overfladisk kendskab til international jura ville du vide at det netop er et juridisk hot topic og havde været det i de sidste 20 år.

En logisk ransagning af IT-udstyr er præcist det modsatte i det du kalder et skred i magtbalancen. Der er tale om et Tsunamiskred i borgerrettigheder til ugunst for borgerne og til gavn for myndighederne.

Sæt dig ind i tingene og lade være med at bruge øgenavne om dem som rent faktisk ved noget om emnet.

  • 14
  • 1
#128 Poul-Henning Kamp Blogger

Altså igen ser vi et tydeligt behov for at hæve sig over andre i branchen, på de ikke-tekniske kompetencer.

Det du kalder "ikke-tekniske kompetencer" er bare en anden måde at sige at det er OK for IT-folk at sige "Once ze rockets are up, who cares where zey come down!"

Der tager du simpelthen fejl.

Vi har som IT-folk en helt særlig forpligtelse til at tænke på konsekvenserne af den teknologi vi ruller ud, for ingen andre end os kan stoppe racistisk ansigtsgenkendelse, diskriminerende "AI" og forskelsbehandlende sagsbehandlingssystemer.

Jeg revser IT-branchen fordi den trænger til det, og hvis det medfører at nogle flere IT-folk skruer op for de "ikke-tekniske kompetencer" så skærer jeg glad et hak i keyboardet.

  • 6
  • 12
#129 Poul-Henning Kamp Blogger

Man kan ikke sammenligne en traditionel fysisk rangsagning med logisk at udleverer adgangskoder til f.eks. en mobiltelefon eller til en harddisk.

  1. Hvem er "man" der ikke kan det ?

  2. Det har utallige jurister allerede gjort i, som du selv skriver i over 20 år, i mange forskellige lande.

  3. At jurister generelt er bedre end IT-folk til at gennemtænke alle de mange kringelkroge der er at tage hensyn til, kan du og andre overbevise dig selv om, ved at læse eller høre domsforhandlingen in "Riley v. California" ( https://en.wikipedia.org/wiki/Riley_v._California)

  4. En fysisk ransagningskendelse er ikke en blanko-check og det vil den heller ikke blive i det digitale domæne.

  • 4
  • 13
#130 Rune Hansen

PHK jeg synes generelt du har nogle gode pointer og du har ihvertfald sat gang i debatten her.

Jeg har dog også meget svært ved, at sluge denne "pille". Mest af alt fordi jeg ofte mistænker folk for at begynde det forkerte sted i "hvis ikke du har noget at skjule, har du ikke noget at frygte" debatten.

Det forudsætter jo at grundpræmissen altid er: Den siddende magthaver har altid ret - eller - De mennesker der har magten idag er okay, så de vil mig sikkert det bedste - eller - den stærkeste dreng i skolegården, skal man ikke sætte sig imod - eller - hvis ikke jeg stikker ud, er det ikke mig der bliver taget først. - Tankegangen

Du kan stille dig selv spørgsmålet (fra borger perspektiv), er ideen lige spiselig hvis den blev udstukket af: Erdogan, Xi Jinping, Putin, Polen, Ungarn, Salman, selv Trumph eller Bolsenaro osv? Det kan godt være at den nuværende EU president (hvad end han/hun hedder, jeg har i hvertfald ikke stem nogen ind) med opbakning fra Vestager virker retsstatslige pt., men det kan (og vil) ændrer sig med tiden.

Dernæst er der en slutning, som "almuen" ofte falder for. At staten/magthaverne (Jeg har stemt, så det må være mig!) skal beskyttes mod "farlige" borgere. Man har altid brugt en masse skræmende argumenter som infiltration af fremmede agenter, terror (på trods af statistikken viser det modsatte gennem de sidste 20 år.), vira, kommunister, forbryddere og kriminelle, indvandrer, narkomaner, hekse osv. Man SKAL som borger altid være yderst meget på tærerne, for at skille snot fra papir her.. Hvor meget påvirker dette "farlige" mig reelt i virkeligheden??? og hvormeget handler dette om øgede beføjelser til de siddende magthavere. Uanset om du befinder dig i US, Europa eller på Fillipinerne.

Al historie viser at kunsten er at få magten begrænset så meget som muligt (eks. ved tredeling, men også decentralisering som kommuner, amter, byråd, og anden selvstyrer, hvor man kan konfronterer borgmesteren når man møder ham på gaden) og beskytte borgeren mod overgreb fra de siddende magthavere (retsstat). Dette er en umuligt utopia, men det er det man som borger skal tilstræbe med alt sin magt. Umulig! hvad med Danmark?..Kender du nogen der har turde (uden at have haft ondt af dem på forhånd) at tage en sag op mod kommune, politi, stat. Teoretisk er der nok en mulighed for at få medhold (i en åbenlys klar sag) og en kompensation på 20.000kr. efter 10 års tovtrækkeri i retten, men reelt set er det kun civilsager hvor der kan forventes fair rettergang. Det er her vi er på skalaen.

Ved at forbyde e2e kryptering krydser man en meget væsentlig grænse. Du og jeg ville have en anden diskussion, hvis ikke der var læsere på (og sikkert over en flaske rødvin eller to). Dette samme sker i samfundet, hvis man vender sig til at der er nogen der muligvis lytter med. Fortrolighed og privatliv er fundamentet for al kritisk tænkning, som den "civilicerede" verden bygger på. (Hvornår ved du om en styrrelse eller myndighed har fået en dommerkendelse mod dig, af hvilken grund, og hvor lang tid?)

Og hvor går den juridiske grænse? Må man tale kryptisk? Bør man kunne tale med nogen på en mark, uden en telefon på sig?

Vi udgør en lille procentdel (geografisk) og 0,01 promille af menneskets historie, hvor mødet med myndigheder ikke er = fængsel, død, tæsk, voldtægt eller bestikkelse. Bare fordi vi har oplevet en hvis form for samdrægtighed med myndighederne over en genneration eller to, bør vi aldrig undervurderer magtens iboende natur.

  • 17
  • 0
#131 Poul-Henning Kamp Blogger

Du kan stille dig selv spørgsmålet (fra borger perspektiv), er ideen lige spiselig hvis den blev udstukket af: Erdogan, Xi Jinping, Putin, Polen, Ungarn, Salman, selv Trumph eller Bolsenaro osv?

Indlysende nej og derfor er det vores pligt og interesse som vælgere, at sørge for at den slags personer ikke kommer til magten her.

At bevare en demokratisk retsstat handler en lille smule om at have love der kan holde den slags utøj i ave, og næsten totalt om at vælgerne ikke lader dem komme i nærheden af rorpinden til at begynde med.

Lige her og nu, er EU stort set det eneste sted disse idealer overlever men også her gnaver utøjet i det fundament der hæmmer deres udfoldelser.

  • 11
  • 6
#132 Nicolaj Rosing

PHK, denne artikel er på alle måder højaktuel og kommentarsporet absolut interessant at følge med i - tak for det! Omvendt har din disciplin i forhold til dialogform efter min mening taget en uheldig drejning og i denne tråd er det stukket helt af. Din retorik er uklædelig og provokatorisk. Du nedgører debattører der ikke deler dine politiske holdninger, du taler decideret ned til folk, bruger kække øgenavne og generaliserer i en grad du ikke har belæg for. Personligt har jeg ikke behov for dette element i debatten. Dertil er den for vigtig. Jeg håber du indser at det er på tide at ændre kurs og som blogger medvirke til få genoprettet en ordenlig og respektfuld omgangstone på Version2. Ha en god dag.

  • 21
  • 2
#133 Martin Bøgelund

Jeg håber du indser at det er på tide at ændre kurs og som blogger medvirke til få genoprettet en ordenlig og respektfuld omgangstone på Version2.

Jeg er principielt ikke uenig i din forespørgsel.

Jeg synes bare den er ensidig.

Når jeg læser kommentarerne i debatsporet ser jeg eksempler på at:

  • folk ikke har sat sig lige så godt ind i problematikken som PHK ved at læse op på dokumenterne
  • folk kommer med automatikreaktioner på PHK's udsagn

Det synes jeg er respektløst.

PHK er en provokatør - det kræver en provokatør at ruske op i fastlåste holdninger, fordomme, flokmentalitet og gruppetænkning.

Det jeg godt kunne tænke mig var at du i samme indlæg som du bruger til at afkræve PHK respekt for debattørerne, også afkrævede debattørerne respekt for PHK's indsats og ildhu for at få os til at tænke ud af boksen, give slip på fastlåste opfattelser, og give det en chance når nogen kommer med en anskuelse man ikke selv deler. Den slags er der nemlig også alt for lidt af i vores samtid.

Nærmest alle der har flyttet menneskeheden til et bedre sted, er i deres samtid blevet opfattet som provokatører - ja, nogle ligefrem som samfundsskadelige.

Provokatører kan være en gave til menneskeheden, hvis der er substans og god vilje bag provokationen. Vi andre skal bare forstå at filtrere provokationerne, og anvende de brugbare af slagsen korrekt.

Hav en rigtig god dag!

  • 8
  • 9
#134 Peer Bech Hansen

PHK er en provokatør

Jeg opfatter på ingen måde PHK som en provokatør, i ordets bedste mening. Det kræver en hel anden tone, og et glimt i øjet mellem linjerne. Jeg synes bare han er ubehøvlet og det er ikke konstruktivt.

Jeg vil anbefale PHK at stoppe og og se indad. Hvis Linus Torvalds ikke var for fin til at gøre det, kan PHK sikkert også. (Tænker PHK ikke har noget imod sammenligningen )

  • 16
  • 3
#135 Nicolai Petersen
  • 3
  • 0
#137 Martin Bøgelund

Jeg synes bare han er ubehøvlet og det er ikke konstruktivt.

OK, personligt har jeg dog intet problem med at PHK er Kaptajn Haddock.

Det gør faktisk bare oplevelsen ved læsningen af debatsporet mere Tintin-agtig, hvilket - bedømt på antallet af indlæg - er med til at øge populariteten.

Og det konstruktive kan du finde ved at gå efter indholdet i det han skriver, og ikke efter formen (eller efter manden for den sags skyld).

  • 4
  • 3
#138 Nicolaj Rosing

Det jeg godt kunne tænke mig var at du i samme indlæg som du bruger til at afkræve PHK respekt for debattørerne, også afkrævede debattørerne respekt for PHK's indsats og ildhu for at få os til at tænke ud af boksen, give slip på fastlåste opfattelser, og give det en chance når nogen kommer med en anskuelse man ikke selv deler. Den slags er der nemlig også alt for lidt af i vores samtid.

Det tilkommer ikke mig at afkræve noget af nogen. Jeg opfordrer høfligt PHK i sin rolle som blogger på et brugerbetalt vidensmedie til at reflektere over, om denne rolle kan udfyldes uden den respektløse omgangstone. Det startede med denne bemærkning i tråden:

Her ville det satme hjælpe på diskussionens kvalitet hvis du havde taget dig tiden til at læse hvad EU faktisk skriver...

Kom igen når du har gjort dit hjemmearbejde.

Pointen er muligvis, som du selv er inde på, god nok, men formen er efter min mening uacceptabel. Hvad andre debattører skriver kunne jo tænkes at ændre sig hvis PHK anlagde en anden stil fra starten.

Desuden er det fint med provokatører, men dem er der nu så rigeligt af i forvejen. PHK har langt mere at byde på end det, bl.a. en enorm bred faglig viden jeg har stor respekt for. Tag endelig ikke fejl af det.

  • 3
  • 2
#140 René Nielsen

Det har utallige jurister allerede gjort i, som du selv skriver i over 20 år, i mange forskellige lande.

Du kan da ikke sammenligne en dom (”Riley v. California”) fra et land med Common Law med kontinentaleuropæisk ret i form at dit EU-dokument. Det er fint med lidt politiske argumenter for eller imod, men i Europa er ”Riley v. California” altså juridisk ammestuesnak.

Common Law bruges af Storbritannien og de fleste af deres gamle kolonier og bygger på at domstole der kan vedtage primær og sekundær lovgivning – altså at domstolene har en retsskabende funktion. Det er derfor at den amerikanske højesteret fylder så meget i det amerikanske valg.

I den største del af verdenen (herunder Danmark) gælder kontinentaleuropæisk ret og her er den centrale retskilde som oftest en nedskrevet grundlov. Og denne har højere betydning end de uskrevne retskilder, såsom de retssædvaner som din henvisning til ”Riley v. California” referer til.

Den dag i dag, er det stadig sådan, at du som automobilfører i Storbritannien, er ansvarlig for den del af køretøjet som er foran førersædet.

Hvorfor? Fordi i gamle dage med langsomme hestevogne som kørte i middelalderbyens tætpakkede veje med fodgængere og andet godtfolk som slæbte eller trak varer igennem byen, gav det mening med at kusken kun var ansvarlig for den del af hestevognen han kunne styrer.

I Europa inkl. hele det gamle Sovjetunionen og hele Sydamerika fra Mexico og ned, gælder der i trafikken regler og vigepligter som løbende tilpasses via lovgivning.

Det er derfor at dit synspunkt om den juridiske magtbalance ifm. rangsagning er misforstået. Det drejer sig om politiet har lov eller ikke. Ikke om det er et nyttigt redskab for politiet eller om det ”er sket i mange lande”.

At jurister generelt er bedre end IT-folk til at gennemtænke alle de mange kringelkroge der er at tage hensyn til, kan du og andre overbevise dig selv om, ved at læse eller høre domsforhandlingen in "Riley v. California" ( https://en.wikipedia.org/wiki/Riley_v._California)

Se ovenfor

En fysisk ransagningskendelse er ikke en blanko-check og det vil den heller ikke blive i det digitale domæne.

Øhhh Jo til blanko-check – for danske kendelser til rangsagning af IT-udstyr inkl. mobiletelefoner er alene begrænset til det fysiske udstyr og ikke til udstyrets logiske indhold.

Så alt kan udlæses. Den eneste begrænsning er hvad politiet forstår.

Prøv at sætte dig i de faktiske kendelser.

Er der ikke en eller anden som kan prikke mini-Trump på skulderen og forklarer, at der er forskel på fakta og politiske holdninger?

  • 10
  • 2
#141 Morten Jensen

Beklager, men jeg er simpelthen ikke enig.

Når folk kommer brasende ind i debatten med en uinformeret (som i: Har ikke læst oplægget og det dokument der diskuteres) automatreaktion, så er skrap lud til garvede huder helt på sin plads.

Du kalder helt konsekvent folk, der har mere ond i privatlivet end dig, for IT-liberalister. Synes du det ville være reelt og rimeligt at kalde folk der foreslår bagdøre i kryptering eller nøgler gemt i escrow, for IT-socialister? Jeg er helt indforstået med på hvorfor du synes at IT-liberalister er et godt udtryk - det har du brugt mange linier på at forklare.

Begge dele er lige karikeret og urimeligt, og det højner tilsyneladende ikke kvaliteten af debatten; for mig at se, tværtimod. Det er polariserende og formår kun at dele debatten i folk der er enige med dig eller uenige.

Du udviser en kæmpe stamme/fodbold-mentalitet hér, hvor man enten er med dig eller imod dig. Sådan en polarisering i debatten begræder du normalt, når det hander om politik.

Det er OK med mig at du er uenig i andres kritik af dig selv. I mine øjne får det dig bare til at fremstå hyklerisk og utroværdig, og det er ærgerligt.

Jeg er enig med de, der mener at du bør genoverveje din debatform.

  • 15
  • 1
#142 Martin Hansen

PHK, har ikke generelt imod der skydes med skarpt. Men allerede i dit oplæg fornemmer jeg denne "Ingen IT-folk - undtagen mig - forstår sig ikke på jura overhovedet"-mentalitet. Jeg kender godt den IT-liberalisttype du refererer til, og jeg er enig i den er utålelig og studentikos. Men der er altså også IT-folk som tænker længere, og det synes jeg også man ser i denne debat.

På samme måde som at "Skal man så også forbyde matematik?" ikke er et gyldigt argument i.f.t. debatten, mener jeg heller ikke at man affærdige alle indvendinger med "Jamen det er jo det samme med våben, benzin etc.". Der er mange unikke praktiske aspekter i.f.t. kontrol og håndhævelse ved kryptering som ikke findes for andre ting. Deruodver er de frihedsretttighed som krypteringen beskytter (privatlivet) generelt anset som mere vigtige og grundlæggende end f.eks. adgangen til sprængstoffer.

Jeg kan også følge mange af bekymringerne der udtrykkes i.f.t. en "or else"-klausul: Plantede beviser, glemte passwords (jeg har selv glemt passwords - desværre!).

Efter min mening er sådanne vidtgående indgreb ikke på sin plads.

Krypto og terror er ikke nye fænomener. Det egentligt nye som bringer dette op er den lette adgang til beskedstjenester via smartphones. Selv den mest amatøragtige dealer kan opnå e2e kryptering blot ved at installere Whatsapp. Realistisk tror jeg det er den eneste gruppe man kan gøre sig håb om at reigne ind, ved at forsøge at lægge begrænsninger på udbyderne af disse services. Der er jo store udbydere bag og de kan lovreguleres. Kunne meget vel være noget key-escrow hos en 3. part (formentlig ikke valgt af brugeren, men af tjenesten). Der er også fortilfælde herfor (Lotus Notes).

For folk der er bare lidt mere "profesionelle" (altså terrorister m.m.) er katten med hensyn til kryptering ude af sækken. De vil kunne lave egne services og infastruktur så ovenstående model rammer dem ikke i absolut forstand. Men det besværliggør stadig deres kryptering: Det tvinger de kriminelle over i mere specialiserede/hjemmestrikkede tjenester som ikke overholder loven, og hvor der er mulighed for implementeringsfejl (se hvor mange fejl der er i randomwares kryptering f.eks.). Hvis mange skal kommunikere kræver det også en vis centralisering mht. trust og kommunikation. Det gør tjenesterne nemmere for myndighederne at lægge ned både juridisk og via DDoS etc. (og da de jo er ulovlige og ikke bruges af mainstream-brugere er dette også realistisk). Det vil formentlig udløse et interessant cat-and-mouse game mellem myndigheder og de kriminelle. Men situationen er bedre end i dag, hvor der INTET game er for myndigderne.

Jeg mener umiddlebart ikke man får meget mere ud af at gå efter selve krypto-primitiverne i almindelighed, i håb om at stoppe rogue besked-tjenester. Det er næppe den slags tiltag der stopper de kriminelle i at lave hjemmestrikkede krypteringsløsninger (jf. ovenfor) og det vil blot skabe massive problemer for meget lidt benefit.

  • 4
  • 0
#143 Baldur Norddahl

Når folk kommer brasende ind i debatten med en uinformeret (som i: Har ikke læst oplægget og det dokument der diskuteres) automatreaktion, så er skrap lud til garvede huder helt på sin plads.

Nu har jeg gjort alt hvad jeg kan, læst dit blogindlæg minitiøst og EU dokumentet ligeledes. Er det så ok at jeg lige udpeger nogle store ting?

Citet:

"Jeg tror roligt vi kan antage at serviceudbydere bliver pålagt at kunne dekryptere kommunikation når der kommer en dommerkendelse, det er ikke til forhandling"

Ja, dette handler om serviceudbydere. Serviceudbydere betyder i denne sammenhænge Facebook, Google med flere.

"Men det behøver ikke betyde et blanko forbud imod e2e kryptering"

Der kommer ikke noget forbud. TLS1.3 er sikker, det er SSH også ligesom VPN og alt andet vi i dagligdagen kommer ud for.

"Man kunne f.eks kræve N-a bits af nøglerne til ubrydelig kryptering skal lægges i escrow hos en godkendt 3-part (typisk: advokater), således at en dommerkendelse plus en anseelig brute-force indsats kan bryde krypteringen"

Næh, Facebook skal bare kunne udlevere beskeder sendt via Messenger. Hvordan de vil klare dette må de selv om.

"At stå på de billige rækker og skrige at EU "prøver at forbyde matematik" er lige så effektivt som det var at forhindre våbenregulering ved at råbe at de "prøver at forbyde kemi & fysik""

Nej for EU har ikke med dette dokument tænkt at der skal gøres noget som helst med muligheden for at kryptere. Tværtimod bruges der væsentlig mere tekst på at understrege vigtigheden af kryptering.

PHK du overfortolker totalt situationen. Dette er ikke tidspunktet hvor du får din nerfing af offentlig tilgængelig kryptering. Der står at EU vil samarbejde med serviceudbyderne om at finde løsninger, hvilket er en anden måde at sige, at loven bliver meget enkel: udbydere af beskedtjenester skal sikre at beskederne kan udleveres ved dommerkendelse. Ikke noget med matematik, key escrow eller andet - EU er fuldstændig ligeglad med hvordan de gør.

For min egen regning, så tror du hopper med på den der, fordi du stadig tror der sker massiv aflytning af internettrafikken og at det i virkeligheden handler om at the five eyes skal kunne aflytte UDEN dommerkendelse. At myndighederne skal kunne dekryptere uden hjælp fra serviceudbyderen. Men sådan kører det ikke hos EU. Man har gode erfaringer med at eksempelvis teleselskaber hjælper med aflytning, logning etc, så hvorfor skulle man ikke gøre det samme med andre typer serviceudbydere?

  • 7
  • 0
#145 Poul-Henning Kamp Blogger

Næh, Facebook skal bare kunne udlevere beskeder sendt via Messenger. Hvordan de vil klare dette må de selv om.

FaceBook, Google og de andre store der den absolut nemmeste del af det her problemkomplex, for de er ivrige nok og sårbare nok i forhold til EUs marked til at de skal nok makke ret.

Det store spørgsmåler hvordan man håndterer alle de andre situationer.

Hvordan straffer vi f.eks insiderhandel, hvis vi domstolene ikke kan få adgang til den kommunikation der er foregået ? Vi kan ikke kræve at alle børsmæglere aldrig bruger kryptering, og derfor kunne det være et af de områder hvor escrow er en naturlig løsning.

Der er heller ingen tvivl om at EU sigte direkte efter skarpe konsekvenser for service-virksomheder der ikke makker ret.

Tværtimod bruges der væsentlig mere tekst på at understrege vigtigheden af kryptering.

Præcis, men det er "kryptering under ansvar" når du skal kunne svare på en dommerkendelse, og det udelukker f.eks den "hårde" variant af end-to-end kryptering og umuliggør forretningsmodellem hvor man med vilje ikke har logfiler. Og som jeg beskrev udførligt ovenfor, er den uundgålige konsekvens masterkeys og dermed den "bløde" variant af "end-to-end" kryptering.

Du har ret i at EU ikke skriver dette direkte, men det er helt unødvendigt når der per matematisk definion ingen alternativer bliver.

For min egen regning, så tror du hopper med på den der, fordi du stadig tror der sker massiv aflytning af internettrafikken og at det i virkeligheden handler om at the five eyes skal kunne aflytte UDEN dommerkendelse. At myndighederne skal kunne dekryptere uden hjælp fra serviceudbyderen. Men sådan kører det ikke hos EU.

Hvis du stadig ikke tror der sker massiv aflytning af internet trafikken, har jeg et gammelt ståltårn nede i Paris jeg kan sælge dig for langt under skrotprisen...

Og ja, EU's dokument forholder sig overhovedet ikke til hele "national security" aspektet, bla. fordi en masse EU lande ikke er med i "det gode selskab" i den forbindelse og det bliver helt klart slagsmålet, ikke mindst med overvågningsforhippede "sockpuppet" regeringer som den danske, der danser hvergang USA/NSA spiller op.

  • 4
  • 5
#147 Morten Jensen

Nej, IT-liberalister kalder jeg kun dem der er villige til at kaste vores retsstat på bålet i den hellige krypterings navn.

Det udsagn er jo ikke mere informativt end at sige: "IT-socialister er dém der er villige til at kaste vores privatliv på bålet i det hellige samfunds navn.". Det tilføjer ikke væsentlig information til debatten.

Dine pointer kan godt stå for sig selv uden "øgenavne".

  • 10
  • 1
#149 Baldur Norddahl

Det store spørgsmåler hvordan man håndterer alle de andre situationer.

Det gør man ikke for det er der ikke lagt op i det dokument du linker til.

Citater fra EU dokumentet linket fra blogposten:

"but more and more communication channels are also secured by end-to-end (E2E) encryption"

"the majority of instant messaging apps and other online platforms have also implemented end-to-end encryption"

"in cooperation with communication service providers"

"there should be no single prescribed technical solution to provide access to encrypted data"

"The principle of security through encryption and security despite encryption must be upheld in its entirety. The European Union continues to support strong encryption. Encryption is an anchor of confidence in digitalisation and in protection of fundamental rights and should be promoted and developed"

Det her handler ikke om alle de andre situationer. Det handler om messaging. Og de ved godt at de ikke får ram på TOR eller andre open source løsninger der kører udenom en central "service provider". De har ikke tænkt sig at gøre det kriminelt at være i besiddelse eller at bruge den type software. De har ikke tænkt sig at pille ved AES, TLS1.3, etc.

MEN de har tænkt sig at tage de lavest hængende frugter og bede de kommercielle udbydere om at sikre, at de kan levere beskeder når politiet spørger. Udbyderne må godt lave systemer der tilbyder end to end kryptering, men skal indbygge metoder, så udbyderen selv kan etablere aflytning og dermed bryde end to end krypteringen.

De har muligvis også tænkt sig at Apple skal tilbyde at dekryptere en iPhone. Hvor langt det går er jeg ikke sikker på. Måske kommer det til at påvirke alle kommercielle softwarepakker der kan kryptere din harddisk eller USB nøgle.

Fokus er politiets arbejde. Ikke five eyes. Og fokus er kommercielle udbyder af tjenester, ikke borgerne. Fokus er messaging ikke VPN, HTTPS eller alle andre mulige kommunikationsformer. Fokus er at udbydere selv skal finde løsningerne, ikke at EU skal specificere hvor mange bits der skal i key escrow. Fokus er at krypteringen fortsat skal være ubrydelig for tredjepart der aflytter.

Med det dokument i hånden er der ikke lagt op til at vi som borgere skal være begrænset i at omgå det hele, ved at bruge gammel software og hardware vi allerede har eller ved at bruge open source.

  • 6
  • 0
#152 Baldur Norddahl

Mao: Masterkey-løsninger, præcis som manden skrev i overskriften.

Og hvad med anden halvdel af dit blog indlæg? Der hvor du spekulerer i tekniske løsninger, selvom EU dokumentet eksplicit angiver at der ikke skal være nogen fast teknisk løsning. Hvor du spekulerer i at privatpersoner og forskere skal søge om tilladelse til kryptering, selvom det kun handler om at regulere kommercielle service providere? Hvor du snakker om IT-libralister og forbud imod matematik, selvom intet forbud imod stærk kryptering er under opsejlning?

  • 6
  • 0
#153 Thomas Kjeldsen

Hej phk,

[..] som jeg beskrev udførligt ovenfor, er den uundgålige konsekvens masterkeys og dermed den "bløde" variant af "end-to-end" kryptering.

Du har ret i at EU ikke skriver dette direkte, men det er helt unødvendigt når der per matematisk definion ingen alternativer bliver.

Jeg kan godt følge logikken, men man ville med samme rationale kunne påstå at javascript og andre fortolkere ønskes forbudt.

Givet de to dokumenter som det østrigske medie henviser til mener jeg stadig overskriften er en forhastet konklusion, og jeg synes det er ærgerligt da det kan sætte ild til en (i denne sammenhæng) uberettiget politiker/institutions-lede.

vh Thomas

  • 0
  • 0
#154 Poul-Henning Kamp Blogger

Der hvor du spekulerer i tekniske løsninger, selvom EU dokumentet eksplicit angiver at der ikke skal være nogen fast teknisk løsning.

At der ikke skal være "nogen fast teknisk løsning" betyder ikke at der ingen løsning skal være Baldur, og det er op til os der faktisk har noget forstand på de her dele at komme med forslag til løsningsmuligheder.

  • 4
  • 8
#155 Baldur Norddahl

At der ikke skal være "nogen fast teknisk løsning" betyder ikke at der ingen løsning skal være Baldur, og det er op til os der faktisk har noget forstand på de her dele at komme med forslag til løsningsmuligheder.

Jamen så tager du bare kontakt til Facebook og belærer dem med dine løsningsforslag. Lovteksten kommer ikke til at indeholde løsningsforslag, kun krav. Og det krav er meget enkelt.

  • 2
  • 1
#156 René Pagh

Først må vi lige slå fast at næsten alt vi har set omkring teknologi de seneste år har indeholdt glidebaner eller udvidelser som langt går ud over det formål der oprindeligt var.

Det gør sig glædende uanset om det er:

  • Børnepornofilteret
  • APNG
  • Virksomheder der profilerer og kender dig bedre end du selv gør.
  • "anonyme" trivselsundersøgelser
  • FE sagen
  • Telelogning

Find selv på flere...

Jeg kan selvfølgelig kun tale for mig selv, men med den trackrecord vi har set, er jeg ikke intersseret i at man som individ/virksomhed ikke har mulighed for at beskytte sit privatliv. Det gælder uanset om jeg vil forhindre virksomheder i at tracke min færden eller vil kommunikere sikkert med hvem jeg lyster. (om det er EU eller Danmark der "beskytter" gør for mig ikke den store forskel)

Vi skal ikke længere tilbage end nogle måneder hvor Twiter "vist nok" havde for mange med adgang til deres admin værktøjer og en masse konti og private meddelser blev "lækket".

På den anden side modtog Facebook ca. 260.000 henvendelser med krav om udlevering af data i 2019, tænk hvad det tal vil blive hvis de kunne udlevere beskeder også. Det er godt nok mange myndigheder og mennesker man skal stole på for at den mængde kan behandles.

Sidst men ikke mindst er jeg glad for at det ikke blev vedtaget i starten af 90erne i Honkong at nøgler skal ligge hos en advokat, når man tager de sidste dages overgreb på "regeringen" med i tankerne, for jeg er helt sikkert en af den der ville have været på gaden.

  • 15
  • 1
#157 Kim Madsen

... at forbyde digitale pengetransaktioner. Tilbage til hård valuta...

Skal du købe noget betaler du med kontanter.

Skal du stjæle noget, stjæler du kontanter... Det ville f.eks. have sikret at der ikke blev udbetalt 10 millarder skattekroner sådan bare lige. De ville alt andet veje omkring 3000 kg, så kræver en del logistik planlægning.

Skal du financiere terror, financieres den med kontanter.... så er det til at se hvem der bærer hvad, hvorhen og til hvem.

Det vil iøvrigt give beskæftigelse til en hel masse mennesker, hvad vi sagtens kunne bruge efter Corona og diverse økonomiske nedsmeltninger.

Desuden vil det begrænse de vanvittige statslån der foregår som et stort varmluft eksperiment, hvor digitale penge bare printes når der er behov for dem.... f.eks. se US ekstreme stats gæld som gen financieres med flere virtuelle US$ i en uendelighed.

  • 1
  • 6
#158 Jonas Finnemann Jensen

Jeg kommer ikke til at kunne bruge crypto med key escrow til en troværdig spiller. Ikke til min hjemme backup.

Og jeg kan ikke bevise hvornår den backup er taget, før eller efter lovgivningen trådte i kraft.

Og jeg kan ikke bevise at tilfældige data på min harddisk fra et tidligere wipe ikke er krypteret indhold..

Ja, helt ærligt har jeg krypterede blobs som jeg ikke kan huske password :)

Jeg kan godt se det er attraktivt at få de store virksomheder til at have key escrow. Men personligt tror jeg det bliver noget rod, lidt lige som cookie regulering..

  • 7
  • 1
#159 Benny Nissen

Vil her påpege et praktisk problem med forslaget. Jeg laver en Password Manager til SMV segmentet. Altså et system der sikre folks passwords til alle mulige andre systemer med stærk kryptering. Hvis forslaget bliver gennemførst vil ingen anvende et sådan system mere - jeg vil i hvertfald ikke. Det vil være det første sted myndighederne beder om adgang ved dommerkendelse og har herefter adgang til hele mit online liv ligesom det alvorligt vil kompromitere sikkerheden. Altså må vi fortsætte med at huske 2 til 3 dårlige passwords i hovedet eller nedskrive dem på usikre medier med alle de problemer det giver for at andre end myndighederne kan få adgang.

Hvorfor vil jeg ikke anvende et Password Manager system mere? Det er nok primært tanken om at man ikke kan have noget skjult og lever i en Orwellsk 1984 verden.......

Ligeledes er der en masse praktiske problemer. Master key kendes kun af brugeren og gemmes ikke. Anvendes kun på klienten. Hvorledes skal der rent praktisk gemmes en kopi hos en advokat? Kan kun lade sig gøre hvis man overfører Master key til central server eller direkte til advokaten som er en alvorlig svækkelse af sikkerheden, eller måske beder kunden om selv at gøre det ;-)

  • 7
  • 0
#160 Kjeld Flarup Christensen

En arbejdshest indenfor sikker kommunikation er SSH, og den er nok en af de sikreste stykker software der findes. Sidst der var en sårbarhed i den stod hele opensource verdenen nærmest på den anden ende.

Der er ingen bagdøre i det stykke software. Og godt det samme, for finder nogen et hul i SSH, så har de adgang til langt de fleste servere på nettet.

Nu er SSH nok bøvlet at bruge til at kommunikere som med f.eks. Messenger og Telegram. Men det vil være muligt. Og kompromitteres de lette måder, så vil de seriøse søge mod SSH.

Det vil være lidt af et mareridt, hvis den grundlæggende administrator sikkerhed på nettet bliver kompromitteret af det her.

Så ja, et kompromis kunne være, at vi ofrer de små fisk, men lader de professionelle fisk svømme, af hensyn til den generelle sikkerhed.

  • 5
  • 0
#161 Gert Madsen

Hvordan straffer vi f.eks insiderhandel, hvis vi domstolene ikke kan få adgang til den kommunikation der er foregået ?

Hvordan straffede man i forne tider insiderhandel, hvis misdæderne var smarte nok til at smide de inkriminerende dokumenter i pejsen?

Det er ikke for at forklejne problemstillingen, men der er en tendens til at se disse problemer, som totalt nyopståede. Det er de ikke, og situationen, at der ikke findes adgang til tilstrækkelige beviser til en domfældelse, er heller ikke ny.

Når man ser på det i en IT-mæssig sammenhæng, så skal man huske at IT er enormt effektivt til at opsamle og sprede information. At sikre privatliv er det derimod ikke ret godt til.

Så handler det mere om den erkendelse, som har trangere og trangere kår i disse år?: Hvis vi skal sikre de uskyldige, mod statsligt overgreb og justitsmord, så betyder det at nogle forbrydere går fri.

  • 7
  • 0
#163 Kjeld Flarup Christensen

Det har meget sjældent været et problem fordi svindlerne havde selv brug for dokumenterne for at kunne drive svindlen videre.

Det må du meget gerne uddybe. Insiderhandel er som regel baseret på en her og nu viden, som er hvermands eje om kort tid.

Faktisk tvivler jeg på at der er ret meget at hente, ved at kunne bryde ind i krypteret trafik for at afsløre insiderhandel.

Der er måske noget andet med karteller.

  • 1
  • 0
Log ind eller Opret konto for at kommentere