EU: Apps skal give politiet adgang - ellers vil vi kræve bagdøre med lov

EU-Kommissionen vil i juni annoncere op til fire bud på, hvordan apps som WhatsApp kan give politi og efterretningstjenester adgang til krypteret brugerindhold.

Det skal være muligt for politiet at få adgang til data fra beskedtjenester som WhatsApp, fastslår EU's kommissær på retsområdet, Věra Jourová.

Derfor vil kommissionen til juni annoncere 'tre til fire muligheder' for, hvordan det kan lade sig gøre. Mulighederne vil tælle både bindende lovgivning og frivillige aftaler, skriver Euractiv.

Læs også: Britisk pres på kryptotjenester efter angreb: »Der bør ikke være noget sted, terrorister kan skjule sig«

Forslaget skal gøre lovens håndhævere i stand til at forlange information fra tjenesterne og få et 'hurtigt og pålideligt svar'.

Gerningsmanden bag angrebet i London, der i sidste uge kostede tre mennesker livet, havde anvendt WhatsApp til at kommunikere med. Den oplysning fik mandag Storbritanniens indenrigsminister, Amber Rudd, til at kræve, at tjenester som WhatsApp ikke "leverer et hemmeligt sted, hvor terrorrister kan kommunikere med hinanden".

Læs også: Borgerrettighedsgrupper advarer mod kryptoindgreb: Brugere vil flygte til usikre tjenester

Det er da også indenrigsministre fra hele EU, der lige nu ligger pres på kommissionen for at handle. Både Tyskland og Frankrig har bedt kommissionen om at slå ned på krypteret kommunikation.

»På nuværende tidspunkt er anklagere, dommere og politi og myndigheder afhængige af at tjenesteudbydere frivilligt levere adgangen og bevismaterialet. Sådan kan vi ikke faciliterere og sikre europæernes sikkerhed, ved at være afhængig af en frivillig handling,« siger Věra Jourová.

Læs også: Tidligere efterretningschef talte varmt for briternes nye spionlov under besøg i Oslo

Tysklands indenrigsminister Thomas de Maizière har over for landets parlament givet udtryk for, at internetbaseret kommunikation - som fx Skype - skal ligge under for den samme kontrol som den telebaserede. En pointe der også har optrådt i den danske debat omkring sessionslogning, som sidste år blev foreslået af daværende justitsminister Søren Pind, og som ifølge den nuværende minister Søren Pape Poulsen stadig er på bordet.

Thomas de Maizière understreger, at han ikke ønsker indbyggede bagdøre, der generelt svækker sikkerheden ved kommunikationsteknologien.

Læs også: Sessionslogning af danskernes internetbrug på vej tilbage i udvidet form

EU's koordinatior for anti-terror, Gilles de Kerchove, kalder det for tidligt at sige, om en bagdør i WhatsApp er løsningen.

»Og spørgsmålet er, om de kan åbne en bagdør for Europol alene, eller ville det på samme tid skabe en sårbarhed og åbne en bagdør for den Russiske mafia,« spørger han retorisk.

Læs også: Amber Rudd er en uvidende idiot

Netværksekspert og Version2-blogger Henrik Kramshøj har her på sitet kaldt Amber Rudd for en 'uvidende idiot' for at foreslå bagdøre som modsvar på terrorisme.

'Kryptering er vigtigt, sindsygt vigtigt. Uden kryptering mister vi ting som digitaliseringen, erhvervslivet, netbankerne, faktisk hele det økonomiske system,' skriver han i sin kritik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (46)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Chris Juneau

Det er utroligt.. Det er som om EU slet ikke har fulgt med i da USA prøvede at få bagdøre i kryptering. Det kan ikke lade sig gøre uden at ødelægge det for alle. Vi må have enten nogle meget inkompetente politiker i EU eller også nogle politiker der virkelig gerne vil smadre vores privatliv for at føle de har lidt mere styr på EU. Under alle omstændigheder er det ikke OK

Det er ikke muligt at give EU en dør uden også at åbne den for alle de andre.

Bagdøre ødelægger kryptering og er på ingen måder svaret. Terroristerne og de kriminelle skal da nok blive ved med at bruge kryptering uden bagdøre, om ikke andet laver de jo bare deres egne. Det er alle os legitime brugere de vil spionere på

Michael Hansen

Og når de så har sat bagdøre ind overalt, og de så stadig kan side og se krypterede beskeder, hvad så? hvad forhindrer folk i at paste en krypteret besked ind i diverse chat programmer, eller bruge 3'e parts programmer der krypterer on the fly inden det rammer messenger tjenesten.

Vil næsten gå så langt som at sige hvis de indfører det her, så har terroristerne jo vundet over "vesten" langt mere end terroristerne har opnået med de få angreb der har været, som selv set i forhold til trafikdræbte jo er forsvindende lille.

De er så lykkedes med at lave få skabt en total overvågning og masse profilering af rundt regnet små 833 mio. folk i EU/USA.

Christian Nobel

Seriøst, det er simpelthen slet og ret ubegavet.

En terrorist er da fløjtende ligeglad med hvad der sker posthumt, så hvad vil det kunne ændre?

Det svarer lidt til at stille en lysregulering op uden for en bank, og dermed tror at bankrøveren selvfølgelig vil holde for rødt!

Og hvis terrorister endelig føler et behov for at kommunikere krypteret, så laver de da bare deres egen (mon ikke Isis Ltd allerede har lavet det) kryptering, app og det hele.

Det er så tindrende dumt og naivt at man får helt ondt i tænderne.

Jørn Wildt

Jeg kommer til at tænke på amerikanernes og vores forhold til våben: i USA har man sin ret til at bære våben (jeg kender ikke detaljerne), og der er stort pres for at beholde denne frihed til at kunne forsvare sig selv. Her hjemme ser vi på USA og (mange) tænker "sådan nogle klaphatte, kan de ikke selv se hvor store ulykker de våben afstedkommer - hvordan kan det være at de ikke ulovliggører det ligesom her hjemme!".

Vi har lidt samme problemstilling med kryptering: vi mener at kryptering er en frihedsret - retten til at kunne "forsvare" sin kommunikation. Andre ser på kryptering og dets forsvarere og siger "sådan nogle klaphatte, kan de ikke se hvilke ulykker det faciliterer".

Og, ja, selvfølgelig er der mange forskelle på våben og kryptering (kryptering er fx uendeligt meget nemmere at udbrede) - men her hjemme er der ikke nogen der finder det mærkeligt at våbenhandel er stærkt reguleret, og handel med kalium-baseret gødning også er det.

Måske skal vi vende os til at end-to-end krypterede enheder og apps også bliver stærkt regulerede - ikke nødvendigvis med bagdøre, men måske ved ganske enkelt at ulovliggøre det? Det vil ikke forhindre teoristen i at anvende kryptering - ligesom våbenrestriktionerne heller ikke gør det - men det gør det i almindelighed sværere for den "gennemsnitlige" teorist at komme i gang med sit fortagende?

Henrik Biering Blogger

Seriøst, det er simpelthen slet og ret ubegavet.

En terrorist er da fløjtende ligeglad med hvad der sker posthumt, så hvad vil det kunne ændre?

Det svarer lidt til at stille en lysregulering op uden for en bank, og dermed tror at bankrøveren selvfølgelig vil holde for rødt!

Det er kun fordi du anvender almindelig sund logik. Hvis man som politikere m.fl. anvender Erasmus Montanus logik, vil det derimod fremstå som et potentielt meget effektivt forebyggende skridt.

Hvis det f.eks. viser sig at terrorister ofte siger "Farvel kære bror" på WhatsApp før de udfører deres handlinger, er det jo ligetil automatisk at udløse et droneangreb næste gang en mand siger noget lignende på WhatsApp. For ergo er manden jo terrorist :)

Thomas Watts

Med mindre du samtidig tvinger mobiltelefonproducenter og OS udviklerne til at fjerne enhver mulighed for at hente apps uden for deres respektive Stores, og fjerner muligheden for at Root'e (og så vil jeg gerne sælge nogen Femern-forbindelsen også), så regulerer man jo for faen kun standardapps - altså dem man fra politisk hånd kender, hvor man kan ringe til leverandøren og kræve en bagdør.

Enhver med ond vilje kan så bare lave en app/tjeneste, der ikke lægges i en app store, og så er det slut med den regulering.

Mao. rammer det KUN almindelige borgere eller de, der er for dumme til at hente ikke-regulerede apps.

host ...meget á la telelogningen... host

Peter Lundtofte

Det er så tindrende dumt og naivt at man får helt ondt i tænderne.

Men det er den implicitte fordom i din logik også. Hvis vi følger din logik, kan vi jo fjerne al lovgivning, for de kriminelle er ligeglad med loven og gør tingene alligevel. At terrorister og kriminelle er ligeglade, skal da ikke medføre at vi ikke forsøger at bekæmpe, herunder lave en lovgivning der kan bruges til at straffe, såfremt man får muligheden.

I øvrigt, så tror jeg du stærkt overvurderer ISIS evner til at fremstille deres egen krypterings-app. Og selvom de kunne, så er der garanteret større chancer for at finde huller, fejl og sårbarheder i noget som ISIS selv har lavet, fremfor noget som er produceret af top-firmaer.

Peter Christiansen

I øvrigt, så tror jeg du stærkt overvurderer ISIS evner til at fremstille deres egen krypterings-app. Og selvom de kunne, så er der garanteret større chancer for at finde huller, fejl og sårbarheder i noget som ISIS selv har lavet, fremfor noget som er produceret af top-firmaer.

Det kan de sagtens, de skal ikke genopfinde de kryptografiske algoritmer,
de skal bare binde dem sammen i en app så det giver mening.

Thomas Watts

Nej den køber jeg ikke Peter - ikke på dette felt.

Grundliggende lovgivning udfordres ikke af at holde på, at kryptering ikke må kompromitteres generelt - det er en stråmand at påstå andet. "Hvis du ikke vil have denne ene ting, vil du jo ikke have noget som helst" er ikke sagligt.

Her er der tale om, at kompromitteringen går ind i selve kernen af den personlige frihed, samt ejerskabet af egne data. Sikker kommunikation som koncept er en grundpille, der ikke må rokkes ved. Vores kommunikation i dag efter internettets opblomstring indeholder jo AL viden om dig som person, dine private sager, din færden, dit netværk, adgang til alle dine tjenester, herunder financielle transaktioner, din ejendom osv....

Der er jo ikke blot tale om, at det er WhatsApp o.a. der skal åbne deres tjeneste - det er krypteringsalgoritmer, der skal brydes eller udvandes, og det påvirker ALT.

Hvis nogen kan finde på en måde, hvorpå myndighederne kan komme til kommunikationen specifikt til lovlig, styret efterforskning, uden at dette kræver en generel adgang, er jeg lydhør, men så længe løsningen er en universalnøgle, er det vanvid overhovedet at starte diskussionen.

...og ISIS eller enhver anden ondsindet organisation skal jo ikke selv lave noget. De skal jo bare købe det på nettet - især hvis denne slags lovgivning kommer igennem, vil der opstå et (endnu større) marked for mere eller mindre lyssky apps.

Peter Lundtofte

Vi har lidt samme problemstilling med kryptering: vi mener at kryptering er en frihedsret - retten til at kunne "forsvare" sin kommunikation. Andre ser på kryptering og dets forsvarere og siger "sådan nogle klaphatte, kan de ikke se hvilke ulykker det faciliterer".

Jeg er enig i at det er en interessant debat. Problemet er bare, at det aldrig bliver en debat, fordi at begge sider hysterisk beskylder modparten for at være stupide og dumme, og anklager dem for alt muligt. Det er ærgerligt, for det vi har brug for, det er at vi sætter os ned og laver en løsning der i videst muligt omfang tilgodeser alle behov.

Vi kan ikke undvære kryptering, men vi kan heller ikke tillade at krypteringen medfører at kriminelle, pædofile, terrorister og andre slipper afsted med de groveste forbrydelser verden har set. Alt i det analoge samfund er reguleret og registreret, det gælder kørekortnummer, personnummer, nummerplade, stelnummer, adresser osv osv. Og selvom der sker fejl og misbrug, så fungerer det faktisk meget godt.

I fremtiden må vi forvente, at internettet og digitale muligheder ligeledes bliver reguleret. Måske får vi et digital personnummer. Pointen er, at vi kan ikke opretholde vores demokrati og retssamfund, uden at myndighederne får mulighed for at sikre vores rettigheder. Vi har været vant til en stor grad af frihed på internettet, men i takt med at det, og de digitale muligheder, i stigende grad bliver misbrugt af ondsindede, så vil der være behov for regulering. Og så er det, at de ekstrem-paranoide, der ikke selv har været udsat for noget grimt, hyler op om at deres rettighed til at sige "tissemand" på internettet skal stå højere end børns ret til ikke at blive handlet på internettet.

Jeg går ind for kryptering, som jo er forudsætningen for mange ting - demokratiet har brug for det, men jeg går også ind for at alle bidrager med reelle løsninger, herunder også digitale, og at vi debatterer alle muligheder. De fleste fortalere for kryptering, bidrager kun med mudderkast, kritik og problemscenarier, herunder generelt fremfører et meget unuanceret billede. Som du selv kan se ved at læse de andre indlæg.

Peter Lundtofte

Sikker kommunikation som koncept er en grundpille, der ikke må rokkes ved.

Det forstår jeg ikke helt - hvordan kan det være en grundpille, når det stort set aldrig har eksisteret? Indtil den digitale alder, var alt muligt at aflytte/aflæse for hvem der havde lyst. I den første halvdel af den digitale tid var der ikke meget sikker kommunikation - så hvordan kan noget der kun reelt har eksisteret de sidste par år, være en grundpille?

Hvis nogen kan finde på en måde, hvorpå myndighederne kan komme til kommunikationen specifikt til lovlig, styret efterforskning, uden at dette kræver en generel adgang, er jeg lydhør, men så længe løsningen er en universalnøgle, er det vanvid overhovedet at starte diskussionen

Enig omkring universalnøglen. Det ville være umuligt at styre, og risikoen er alt for høj. Men vi bør alle være åbne for en løsning, og bidrage fremfor at mudderkaste - for ellers kommer der en løsning uanset, som kan vise sig at være en katastrofe. Når vi nu ikke kan undgå en løsning, så lad os alle bidrage så vi kan arbejde hen imod den bedst mulige løsning.

René Nielsen

Jeg tror man skal leve inde i en boble som ”Søren Pinds fantasiunivers” hvor ønskets kraft er den ultimative kraft, for at synes at det her er en god ide. Hvis man bare ønsker sig det hårdt nok, så bliver det til virkelighed.

Hvor lang tid tror EU mon der går før alle verdens efterretningstjenester har exploits som sikre uhindret fjernadgang til enhver computer/tablet/telefon overalt på jorden?

Af erfaring ved vi at disse værktøjer rammer IT kriminelle miljøer 6-12 måneder efter efterretningstjenesten har værktøjet.

Vi ved også af erfaring, at terrorister ikke følger lovgivningen, så de er formentlig allerede ved at lave deres egne apps – baseret på egne certifikater.

Så hvad er det lige, at vi får ud af dette forslag? Intet – det er idioti udover alle grænser.

Blot for at udstille den massive stupiditet som forslagsstilleren lider under, så kan ethvert EU land nu kræve at Apple/Google/Samsung mv. skal give adgang til Præsidents Trumps telefon og den modsatte vej, for enhver af verdens efterretningstjenester kan nu hævde at de har legitim adgang til enhver telefon overalt på jorden med en lokal lov/dommerkendelse og samtidig fastslå at der ikke er tale om noget byrdefuldt, for bagdøren er jo allerede indbygget og skal blot aktiveres til det lovlige formål den bagdøren blev skabt til.

Peter Lundtofte

Enhver med ond vilje kan så bare lave en app/tjeneste, der ikke lægges i en app store, og så er det slut med den regulering.

Mao. rammer det KUN almindelige borgere eller de, der er for dumme til at hente ikke-regulerede apps.

Men de løsninger, herunder udstyret til det, vil i meget højere grad være muligt at kompromittere, infiltrere m.v. FBI kunne lave deres egen app og udgive den, eller betale de lyssky mennesker der producerer dem her, for adgang - og de lyssky mennesker er nok ligeglad. Så er spørgsmålet tilbage, om de selv kan lave noget - ja, men hvis terrorister og pædofile selv skal lave noget, er der igen større mulighed for at finde sårbarheder, huller osv.

Christian Nobel

Indtil den digitale alder, var alt muligt at aflytte/aflæse for hvem der havde lyst.

Jeg håber du selv er klar over at det er noget vrøvl.

Kryptering er meget ældre end den digitale tidsalder, og kryptering med one-time pads (som er ubrydelig) er en gammel foreteelse - så selv om man kunne luske brevet op, eller lytte med på radioen, kunne man ikke nødvendigvis dechifrere indholdet.

Thomas Watts

Din argumentation om, at fordi det er noget nyt at vi har internettet og de muligheder, vi har fået, så skal man ikke tænke nyt omkring beskyttelse af data... det er nok et sted, vi ikke bliver enige :D

At noget principielt KAN brydes med de rette værktøjer, eller at vi ikke kan være sikre på afsenderen af en løsning, er heller ikke et argument for, at så kan vi lige så godt give los på forhånd.

Ditlev Petersen

men her hjemme er der ikke nogen der finder det mærkeligt at våbenhandel er stærkt reguleret, og handel med kalium-baseret gødning også er det.


Kaliumbaseret gødning er kun skadeligt for vandmiljøet, og mest hvis man overdriver. Det er ammoniumnitrat, der giver PET onde drømme. Med god grund, Breivik og McVeigh brugte det. Det nævnes også som årsag til det største konventionelle brag. En tysk fabrik, der havde lavet sprængstof til granater under 1. Verdenskrig, havde hobet en masse ammoniumnitrat op som affald. Efter krigen fandt man ud af, at det vist kunne bruges som gødning, men mængderne var "brændt sammen". Så man besluttede at løsne det lidt med sprængstof ...

Ditlev Petersen
Peter Lundtofte
Peter Lundtofte

Din argumentation om, at fordi det er noget nyt at vi har internettet og de muligheder, vi har fået, så skal man ikke tænke nyt omkring beskyttelse af data... det er nok et sted, vi ikke bliver enige :D

At noget principielt KAN brydes med de rette værktøjer, eller at vi ikke kan være sikre på afsenderen af en løsning, er heller ikke et argument for, at så kan vi lige så godt give los på forhånd.

Jeg er ikke helt sikker på hvem du svarer. Hvad angår første afsnit, så skal vi da bestemt tænke nyt ift datasikring. Alt andet ville være tosset. Måske jeg har misforstået hvad du mente med grundpille, men jeg mener at teknologien er så ung stadig, at der er misvisende at tale om eksistensen af grundpiller.

Men fordi at terrorister bare bruger et andet værktøj, er det heller ikke argument for ikke at forsøge at regulere de nuværende værktøjer. Et ofte brugt argument, er at det er dumt at gøre noget ved bl.a. whatsapp, fordi at terroristerne så bare bruger noget andet. Hertil tilføjer jeg, at hvis terroristerne bare bruger noget andet, er det faktisk en fordel for FBI og andre lignende tjenester, idet FBI så kan være afsender af produkter og dermed aflytte terrorister og andre brugere, selvfølgelig under et falsk udviklingsfirma. Herunder, vil apps på det sorte marked være nemmere at kompromittere eller købe sig adgang til. Det er jo hele tiden katten efter musen, hvor musen hele tiden finder nye metoder - så det er aldrig et argument for at give los, og det mener jeg heller ikke jeg har givet udtryk for.

Så det skulle ikke læses som et argument for at give los, men som et udtryk for at det vil være en fordel at presse terrorister til at anvende andre metoder, idet det er nemmere at infiltrere det sorte marked en enterprise apps. Med forbehold for at jeg ikke ved hvad adgang US efterretningstjenester reelt har til de apps facebook, google, apple m.v. laver. Selv store enterprise virksomheder har interesse i at bekæmpe terror og seksuel misbrug af børn.

Jesper Lund

Jeg er enig i at det er en interessant debat. Problemet er bare, at det aldrig bliver en debat, fordi at begge sider hysterisk beskylder modparten for at være stupide og dumme, og anklager dem for alt muligt. Det er ærgerligt, for det vi har brug for, det er at vi sætter os ned og laver en løsning der i videst muligt omfang tilgodeser alle behov.

Visse politikere agerer i denne sag på en måde, som må betegnes som decideret uærligt (jeg antager her at de ikke er dumme). Det gælder især, når disse politikere i samme sætning insisterer på at de ikke ønsker en bagdør, og derefter beskriver en adgang til krypteret kommunikation, som kun er mulig med en bagdør.

Et eksempel fra EurActiv artiklen er den tyske indenrigsminister

“We have to move from a system where we regulate based on the technology to a logic that is based on the use the technology serves,” de Maizière said. A legal change would be most effective on the EU level, he added, insisting that he does not want to create so-called encryption backdoors or built-in access for police that weakens security technology.

David Cameron sagde det samme i 2015, og Amber Rudd gentog det for et par dage siden.

Eller Troels Ørting (fra dengang han var i Europol), som hadede at tale om bagdøre, men alligevel gladeligt gjorde det, når det passede hans agenda (link)

"I think that should also count for the digital world. I hate to talk about backdoors but there has to be a possibility for law enforcement, if they are authorised, to look inside at what you are hiding in your online world."

Visse ting er altså enten-eller, og end-to-end kryptering er en af dem. Hvis der skal være bagdøre hos de kriminelle, vil der være bagdøre hos os alle. Jeg har heller ikke hørt om nogen, som vil påtage sig at lave en bagdør, som kun kan bruges af en "trustet" part. Og hvem skulle denne "trustede" part i øvrigt være? Europol, FBI, NSA, KGB, PET, eller...?

Og som andre skriver, er det ikke muligt at stoppe sikker end-to-end kryptering, hvis den er ordentligt implementeret (softwaren findes ligesom..). Naturligvis kan man forbyde end-to-end kryptering uden bagdøre, og smide folk der ønsker sikkerhed og privatliv i fængsel, men det betyder blot at kun kriminelle vil have mulighed for sikker kommunikation.

Som Phil Zimmermann skrev for meget længe siden

If privacy is outlawed, only outlaws will have privacy.

Den eneste løsning, som ikke gør mere skade end gavn, er at undlade at indføre forbud mod kryptering. Jeg antager her (måske naivt), at ingen af de nævnte politikere (eller andre) ønsker et totalitært samfund.

Når sætningen "løsning der i videst muligt omfang tilgodeser alle behov" kommer på banen, menes der typisk formelt "frivillige" (men reelt afpressede) aftaler med tjenester som Skype og WhatsApp om at indbygge bagdøre, mens tjenesten små-løgnagtigt fortæller brugerne at kommunikationen er krypteret helt sikkert (undtagen når den ikke er det). Skype har gjort dette. WhatsApp og Signal har heldigvis sagt nej (hvis de er blevet spurgt).

WhatsApp (Facebook) kan muligvis overtales, men jeg tror det bliver noget sværere med Moxie.

Desuagtet er mit bud, at EU Kommissionen vil gå efter en frivillig løsning med tjenester som WhatsApp. Dermed undgår man lovgivning, og man undgår retssager med EU-Domstolen. Et forbud mod sikker kryptering er et indgreb i retten til privatliv, som rammer alle borgere, og dermed er der en problemstilling som har store lighedspunkter med de to sager om logning (masseovervågning) ved EU-Domstolen.

Jesper Lund
Formand, IT-Politisk Forening

Jesper Lund

Så det skulle ikke læses som et argument for at give los, men som et udtryk for at det vil være en fordel at presse terrorister til at anvende andre metoder, idet det er nemmere at infiltrere det sorte marked en enterprise apps.

Det, som du dermed siger, er at hvis man ønsker sikker kommunikation, skal man bruge de produkter, som terroristerne selv anvender. Jeg er ikke sart, men nogle borgere vil måske finde den retstilstand lettere anstødelig.

Når du først giver los med bagdøre, er der ingen mulighed for at kontrollere hvem der udnytter dem. Internettet er et globalt netværk, og de tjenester som er til rådighed på internettet bruges af borgere i stort set alle lande, måske lige undtagen Nord Korea, hvor regeringen ret effektivt afskærmer befolkningen fra omverdenen.

Der er muligt at nogen i Danmark har fuld tillid til de danske myndigheder (good luck..) inklusive PET/FE hvor Folketinget lige har nærmest nedlagt det uafhængige tilsyn (eller i hvert fald amputeret tilsynets arbejde ret effektivt), men det er ikke det samme som at disse personer også har fuld tillid til NSA, GCHQ, Mossad eller Putins efterretningstjeneste. Jeg husker også en ophedet debat om mulige bagdøre i 4G-netværk fra Huawei for 1-2 år siden. Ikke alle havde fuld tillid til Kina, surprise surprise.

(den eneste dokumentation for mulige bagdøre i Huawei produkter er dog bagdøre, som NSA har indsat, men det er underordnet i denne sammenhæng).

Ingen kan stole på alle mulige efterretningstjenester eller myndigheder i alle mulige lande. Og bagdørene kan også misbruges af kriminelle.

Simon Rigét

Jeg er enig i at det er en interessant debat. Problemet er bare, at det aldrig bliver en debat, fordi at begge sider hysterisk beskylder modparten for at være stupide og dumme, og anklager dem for alt muligt. Det er ærgerligt, for det vi har brug for, det er at vi sætter os ned og laver en løsning der i videst muligt omfang tilgodeser alle behov.

Beklager, men det altså er noget sludder. Netop den slags der er farlig og får de store reaktioner frem. Og derfor er det jo en vigtig debat!
Det handler ikke om at finde et kompromis mellem to behov eller synspunkter. Det handler om at nogen ikke har det overordnede perspektiv med i debatten, men kun fokuserer på en lille del af et problem.

Hvis man reducerer et komplekst problem så alle kan forstå det, er det sikkert blevet for simpelt til at være sandt

Der er ingen ordentlige mennesker der ønsker terrorisme, børneporno eller anden samfundsskadelig kriminalitet. Det handler om hvad vi er villige til at betale for at undgå det præventivt.

Hvilke borrettigheder er du villig til at give afkald på?
Er du villig til at træde på andres rettigheder og kræve ensretning, for dem der har specielle behov, fordi det gør det nemmere?

Næsten alle argumenter for åbning af kryptering, er i virkeligheden genkendelige fra totalitære ideologier. Det er det der gør det farligt, og det er derfor det fremkalder voldsomme reaktioner.
Vi er manger der ikke vil at verden skal den totalitære vej (igen) Vi har prøvet det før i vesten, og bagefter var alle enige om at det skulle vi aldrig gøre igen. Trist at nogle politikere ikke har lært af den europæiske historie og at nogen spiller på befolkningens frygt, for dem der heller har lært så meget af historien andre steder.

Nogle gange er det pakket ind i økonomiske argument: det er meget bedre at pålægge borgerne en kæmpe ekstra skat i form af øgede udgifter hos internetudbydere mm. for at spare pengene på ordentlig politiarbejde.
Hvis politiet ikke kunne opklarer sager uden at aflytte folk, var der ikke blevet opklaret mange forbrydelser i historien.

At massiv aflytning er en nødvendighed for at opklarer forbrydelser, er en falsk modstilling.

Morten Toudahl

så hvordan kan noget der kun reelt har eksisteret de sidste par år, være en grundpille?

Kryptering går tusindvis af år tilbage.
http://www.faqs.org/espionage/Cou-De/Cryptology-History.html

Jeg har desværre ikke lige min bog med mig, så jeg kan give dig en bedre reference. Men mon ikke det går?

Der har aldrig været noget der forhindrede folk i at kryptere deres beskeder. Heller ikke i starten af den digitale tidsalder.
Her kunne jeg jo også henvise til enigma...

Ditlev Petersen

Kryptering går tusindvis af år tilbage.


Cæsar nævnes som en tidlig (og naiv) bruger af kryptering. En græker (?) eller var det perser som tidlig bruger af steganografi, men i hvert fald jøderne havde tidligt et stort behov for at omtale deres uvenner på en sådan måde, at det ikke var umiddelbart gennemskueligt (talmystik og -koder). Både ægyptere og assyrere vides at have leget med mærkelige koder, så ting ikke var lige til at læse (men nok mest fordi det var sjovt). Grækerne havde deres skytale, der var en simpel transpositionschiffer.

Peter Rosenberg

Som Jesper Lund skriver - kommenteret af Simon Rigét - Vi ønsker en løsning der tilgodeser alle.

Uden at se det som en "glidebane", kunne man starte med at tage udgangspunkt i Telefon aflytning (i gamle dage) og sige med denne parallel for Krypterede sessioner, hvis man kan lave en legal bagdør:
1. En aflytning er kun tilladt, hvis der på forhånd opnås godkendt dommerkendelse.
2. En aflytning, kan kun (det er her det nye kommer ind) afsløre meta-oplysninger, dvs. Afsender adresse, Modtager adresse, Tidspunkter (Start/Slut) og Sesssionsart (Protokol).
Ville man så kunne løse denne næsten gordiske knude ?

Allan S. Hansen

Værste sludder jeg længe har læst. Idet vi snakker om EU (og det gør vi), og ikke Kina, så er der ingen der har interesse i at spionere med legitime lovlydige borgere. Selvom Kina skulle købe EU om 100 år, kan vi jo ikke leve efter dommedags-scenarier

Det er jo ret selvmodsigende da det jo netop er derfor der indføres mere og mere overvågning og logning af legitime lovlydige borgere og legitim og lovlydig brug også i EU.
Hele problemstillingen er at overvågning primært stadig kun kan være reaktiv og dermed ikke forhindrer handlingerne - med mindre de "spionerer" på alle de lovlydige også for at 'pre-crime' finde de slemme.

Og derudover, så er problemet at du giver en de facto støtte til alle politikere og regimer og ideologier på forhånd som du ikke kender til, der nemt kan komme til magten også i europæisk regi og i demokratiske samfund når du åbner for pandoras æske. Et flertal kan demokratisk beslutte at et mindretal er en risikogruppe og dermed skal "spioneres på".

Det er uendelig meget mere simpelt at fjerne personlige friheden end at genindføre dem.

Heino Svendsen
Heino Svendsen

  1. En aflytning er kun tilladt, hvis der på forhånd opnås godkendt dommerkendelse.

Kommer meget an på den dokumentation / mangel på samme, som lægges til grund for udstedelsen af dommerkendelsen. Fx. hvis man kan gemme sig bag gummiparagraffer som "I hensynet til Nationens eller Almenhedens sikkerhed/interesse", så er den ikke meget værd.

  1. En aflytning, kan kun (det er her det nye kommer ind) afsløre meta-oplysninger, dvs. Afsender adresse, Modtager adresse, Tidspunkter (Start/Slut) og Sesssionsart (Protokol).


Reelt set kan man begynde at finde kommunikationsmønstre, som desværre kan misbruges.

Og fra et privacy synspunkt er det første trin mod indførelse af et totalt overvågningssamfund. Ikke at jeg har nogle vilde ting at skjule, men det kommer ingen ( og heller ikke myndighederne ) ved, hvad jeg taler med folk om, hvor, eller hvornår / hvor længe.

Christian Nobel

Hitler kom også til magten rent demokratisk.

Demokratisk skal nok i anførselstegn, da han godt nok teknisk set fik flertallet, men det var så ved hjælp af bøllemetoder og intimidering.

Men ellers helt enig, tænkte selv på det samme, og at det samme sagtens kan ske den dag i dag (Tyrkiet f.eks).

Så vi skal være meget varsomme med at give magthaverne, uagtet hvor flinke de forekommer her og nu, nogle våben i hånden som kan misbruges af fremtidige magthavere.

Jesper Lund

Uden at se det som en "glidebane", kunne man starte med at tage udgangspunkt i Telefon aflytning (i gamle dage) og sige med denne parallel for Krypterede sessioner, hvis man kan lave en legal bagdør:
1. En aflytning er kun tilladt, hvis der på forhånd opnås godkendt dommerkendelse.
2. En aflytning, kan kun (det er her det nye kommer ind) afsløre meta-oplysninger, dvs. Afsender adresse, Modtager adresse, Tidspunkter (Start/Slut) og Sesssionsart (Protokol).
Ville man så kunne løse denne næsten gordiske knude ?

Hvordan vil du sikre dig at NSA overholder de regler i Danmark? Det som du beskriver er nogenlunde den måde som telefonsystemet fungerer på i Danmark, hvor telelovens § 10 kræver at der skal være en teknisk aflytningsmulighed. Altså en bagdør.

Lad os bare sige at politiet inklusive PET altid opfører sig pænt og kommer med dommerkendelser for at bruge denne bagdør, men når NSA skal til fadet, bruger de ikke dommerkendelser. De hacker sig bare frem til bagdøren og misbruger den efter forgodtbefindende. Og ja, det er sket for et almindeligt teleselskab (the Athens Affair fra midten af 00'erne)
http://spectrum.ieee.org/telecom/security/the-athens-affair

Efterfølgende er det bekræftet at det var NSA. Men det kunne også have været Putin, Erdogan, Islamisk Stat, eller helt almindelige cyberkriminelle.

Og det er bare i Danmark. Du kommunikerer også med personer i udlandet, eller din kommunikation kan routes via udlandet, hvor diverse skumle efterretningstjenester står på spring for at aflytte det hele. Blandt de skumle typer hører også vores egen FE, som har "lovhjemmel" [1] til at indsamle ALT bare det er rettet mod forhold i udlandet. FE må dog ikke målrette søgninger mod danskere i disse rådata. Undtagen når FE godt må det (fordi du opholder dig i udlandet og på et meget svagt grundlag mistænkes for terror), eller gør det alligevel (den uafhængige kontrol med FE har altid været meget svag, og Folketinget er i gang med at gøre den endnu svagere).

TL;DR Hvis du ønsker sikkerhed mod ulovlig aflytning, og ikke stiller dig tilfreds med regeringens "ingen grund til at tro" udtalelser om NSA eller andre skumle organisationer, er der kun en metode som fungerer: end-to-end kryptering.

Og ja, der er sikkert mange flere som ønsker at bruge sikker kommunikation efter Snowden afsløringerne, som har dokumenteret et voldsomt misbrug af de tekniske muligheder for at aflytte digital kommunikation. Når staten angriber borgerne, og det gør NSA, GCHQ, FE og hvad de ellers hedder, er borgerne nødt til at forsvare sig. Og når politikerne nu klager over kryptering, ligger de sådan set bare som de har redt.

Den danske stat vil i øvrigt gerne sikre sig selv mod ulovlig aflytning, og har indkøbt kommunikationssystemer (smartphone apps) med sikker end-to-end kryptering
http://www.dtu.dk/english/news/2016/05/ministry-of-defence-buys-encrypti...

Selv hvis disse kommunikationssystemer bliver misbrugt af en minister til at indføre ulovlig logning, vil det end ikke med en dommerkendelse fra en dansk dommer være teknisk muligt at aflytte samtalerne. Det er helt sikkert (påstår leverandøren Dencrypt).

Hvorfor skal borgerne ikke have samme mulighed for at beskytte sig mod kriminelle eller efterretningstjenester? Langt de fleste borgere er hverken terrorister eller kriminelle.

Hvis staten gør sikkerhed og privatliv kriminelt, vil kun de kriminelle have sikkerhed og privatliv. Det er altså ikke rimeligt.

Jesper Lund
Formand, IT-Politisk Forening

[1] Lovhjemmel betyder at Folketinget bare gav FE lov til at gøre hvad FE havde lyst til uden nogen restriktioner, så længe FE kunne sige at det var rettet mod forhold i udlandet. Check bemærkningerne til FE-lovens § 3 hvis nogen har lyst. Danmark er virkelig et u-land, når det kommer til kontrol med efterretningstjenesterne.

Peter Rosenberg

Tak Jesper, for den udvidede besvarelse.
Egl. vil jeg sige at sålænge der er nationale grænser, er det ulovligt for andre jurisdiktioner, at aflytte på fremmed grund altså i Danmark.Det gælder også EU landene, vil jeg sige.
Nu ved jeg jo godt, at sessioner krydser grænser, ligesom telefon-samtalerne kunne.
Derfor vil jeg ikke kunne forhindre, aflytning i dette tilfælde, med mindre protokollen der skal åbne for metadata (aflytning) har indbygget, at kun med 'nøglen' fra godkendt Dommerkendelse, kan denne aflytning foregå !
Hvad mener du ? Alt er vel muligt i dette avancerede IT samfund, det er kun spm. om pris.

Jesper Lund

Nu ved jeg jo godt, at sessioner krydser grænser, ligesom telefon-samtalerne kunne.
Derfor vil jeg ikke kunne forhindre, aflytning i dette tilfælde, med mindre protokollen der skal åbne for metadata (aflytning) har indbygget, at kun med 'nøglen' fra godkendt Dommerkendelse, kan denne aflytning foregå !

Jo... du kan prøve at lave et kommunikationssystem som beskytter indhold og metadata mod aflytning (bedre end Tor), undtagen når kompetente politimyndigheder (ikke FE) under den danske stat kommer med en dommerkendelse, og du kan lave diverse split-key systemer hvor en nøgle-bærer fra såvel teleselskabet og dommerstanden fysisk skal være til stede i et bestemt sikret rum for at en aflytning teknisk kan igangsættes.

Der er helt sikkert mange muligheder (ikke nødvendigvis simple og billige), i hvert fald så længe kommunikationen bliver inden for Danmark.

Men der er i hvert fald tre problemer

1) Der er tale om en afvigelse fra end-to-end kryptering, og enhver bagdør uanset hvordan den designes skaber en risiko for misbrug fra f.eks. hackere. Der skal være mere software og hardware i forhold til end-to-end kryptering, og det skaber flere angrebsvektorer.

2) De fleste vil også gerne kommunikere med personer i udlandet, og at du har tillid til den danske stat, er ikke det samme som at du også har tillid til den tyrkiske stat. Og nogle af dem som havde tillid til den tyrkiske stat for 5-10 år siden, har det måske ikke mere (overvej i den Erdogan-inspirerede forbindelse, om der ikke kunne opstå scenarier hvor din nuværende tillid til den danske stat er forsvundet om 5-10 år).

3) Hvorfor skulle borgerne bruge dette teknisk komplicerede kommunikationssystem, når der er alternativer helt uden bagdøre? Hvis du alene får lovlydige borgere til at bruge det, men lad os sige 15% af befolkningen ikke hopper med på vognen, har du ikke opnået noget som helst, eftersom de kriminelle vil være en lille gruppe af de 15% der fravælger bagdøren.

TL;DR Det er ikke fordi jeg ønsker at fremme kriminalitet eller terrorisme, men jeg kan simpelthen ikke se noget alternativ til end-to-end kryptering. Selvfølgelig kan og vil det blive misbrugt af kriminelle og terrorister (ligesom vejene vil blive misbrugt af terrorister i bil), men først og fremmest vil sikre kommunikationssystemer blive brugt af lovlydige borgere, der bare ønsker sikkerhed og privatliv (eller ønsker at beskytte deres arbejdsplads mod industrispionage).

P.S. I øvrigt tror jeg ikke at de skumle efterretningstjenester (NSA. GCHQ, FE and friends) ville være tilfredse med den ovenfor skitserede model fordi den udelukker at alle borgere kan aflyttes af computere, som gennemsøger indholdet for bestemte ord.

P.P.S. Det er ikke sådan at hverken politi eller efterretningstjenester er magtesløse over for hverken kryptering eller anonymisering som Tor. Kriminelle begår fejl og alt for meget kryptografisk software er lavet alt for talentløst. Og alt for meget afhænger af openssl. Men det er en anden diskussion :)

Peter Rosenberg

Jesper skrev, og tak for uddybningen, igen:

I øvrigt tror jeg ikke at de skumle efterretningstjenester (NSA. GCHQ, FE and friends) ville være tilfredse med den ovenfor skitserede model fordi den udelukker at alle borgere kan aflyttes af computere, som gennemsøger indholdet for bestemte ord.


Næh det tror jeg heller ikke. Men det er det skønne med en aftale, hvis det altså kan laves, at alle parter er lige utilfredse med den.
Så hvis man sikrer sig, at denne protokol aftale, kun kan ændres ved consensus, så er vi der næsten, er vi ikke ?

Jesper Lund

Næh det tror jeg heller ikke. Men det er det skønne med en aftale, hvis det altså kan laves, at alle parter er lige utilfredse med den.
Så hvis man sikrer sig, at denne protokol aftale, kun kan ændres ved consensus, så er vi der næsten, er vi ikke ?

Jo, men du får max 85% (eller noget i den stil) til at bruge kommunikationstjenesten med bagdøre, som kun kan dække indenlandsk kommunikation.

I det ekstreme scenarie at du gør det lovpligtigt at bruge tjenesten med bagdøre, vil du ikke have nogen mulighed for at kontrollere om der bag det yderste lag af kryptering med bagdør er krypteret indhold uden bagdøre.

Og hvad vil du gøre ved alle de hjemmestrikkede kommunikationsløsninger? Det er relativt nemt at opsætte en XMPP server med fx Prosody, hvis WhatsApp med bagdøre ikke er acceptabelt.

Vi er tilbage ved udgangspunktet. Hvis du gør sikkerhed og privatliv kriminelt, vil kun de kriminelle have sikkerhed og privatliv.

We are alle friends... og konsensus-snakken holder ikke i praksis, fordi der vil være to grupper som vil ønske at stå uden for. Den ene er de skumle efterretningstjenester der gerne vil aflytte alt fordi sådan har de altid gjort. Den anden er den lille gruppe af personer i høstakken af en hel befolkning, som planlægger terror eller alvorlig kriminalitet.

Kjeld Flarup Christensen

Hvis to personer tager to vidt forskellige SIP applikationer og forbinder sig til en voip server, så kan de udveksle krypteret tale. Og hvis de bruger SSL krypteret SIP, så kan de også skjule hvem de taler med og chatte hemmeligt.

Der er nok de første 50 Apps på banen, og flere tusinde SIP servere man kan forbinde sig til.

Så hvad er det egentligt de vil gøre, og hvad mener de med en bagdør.
Skal politiet ved lov have en bagdør ind på den enkelte telefon???
Eller er det serveren de skal kunne gå ind på.

Det er let at installere en App på telefonen uden den lovpligtige bagdør, og der er altid servere udenfor landets/EUs grænser.

Det her kommer blot til at genere lovlydige borgere, som gerne vil kommunikere, fordi deres favorit App nu bliver ulovlig.
Eller også kommer det bare ikke til at virke.

Eller begge dele!

Log ind eller Opret konto for at kommentere