Forsker om kryptoforbud mod terror: »Det svarer til at ville forbyde simpel anvendelse af regning eller matematik«

Debatten om lovgivning mod privat kryptering er blusset op efter terrorhandlingerne i Paris. I England har man foreslået lovgivning imod såkaldte beskyttelsesteknologi, men det er symbolpolitik uden effekt, mener en DIKU-forsker.

Det er umuligt at stoppe eller begrænse kryptering af kommunikation, også selv om det anvendes af terrorister. Og det er umuligt at undgå at chatfunktioner, f.eks. i tilknytning til spil, kan anvendes til uønsket kommunikation. Punktum.

Så håndfast er konklusionen fra lektor på Datalogisk Institut på Københavns Universitet Ken Friis Larsen i kølvandet på debatten om, hvordan man kan begrænse terroristers kommunikation og planlægning over nettet.

Hovedargumentet er dels erfaringsbaseret, for lige siden Julius Cæsars tid (år 100 fvt., red.) har man ønsket at begrænse kryptering, f.eks. af militære operationer. Uden held:

»Det svarer til at ville forbyde simpel anvendelse af regning eller matematik,« siger Ken Friis Larsen.

Redskaberne til kryptering er – ligesom matematik - simpelthen blevet for udbredt. I dag findes der krypteringsapps til download på ens smartphone, ligesom data på harddiske nemt kan krypteres. Og mange chatfunktioner er allerede krypterede.

Men selv et forbud mod disse krypteringsprodukter kan ikke standse kryptering. Det er simpelthen for nemt:

»Alle med en smule flair for matematik kan kryptere. Det vil altså være helt umuligt at håndhæve et forbud,« siger han.

Men lovgiverne kommer også for sent, fordi brug af kryptering allerede er vidt udbredt - f.eks. i SSL-baserede browsere.

»En stor mængde information er allerede krypteret. Det kan man ikke fjerne på nogen måde,« siger Ken Friis Larsen.

Læs også: En million websider benytter stadig svag SHA-1 kryptering

Endelig er det også væsentligt at holde sig for øje, at privat kryptering faktisk giver store fordele for den almene befolkning. Man minimerer kraftigt risikoen for at følsomme personoplysninger og f.eks. bankoplysninger kommer i kriminelle hænder. Det er simpelthen en basal hygiejnefaktor at kryptere ens data i dag, mener Ken Friis Larsen.

Læs også: Snowden: Du bliver forrådt på nettet - brug Tor!

Krypteret kommunikation før terrorangreb i Paris

Hans kritik af politiske indgreb mod privat kryptering kommer efter genopblussen af debatten om lovgivning imod kryptering, som er opstået, fordi terroristerne bag angrebet i Paris sandsynligvis også har benyttet sig af beskyttet kommunikation.

I Storbritannien har parlamentet i et lovforslag lagt op til en bestemmelse om, at 'elektronisk beskyttelse implementeret af en producent eller udbyder kan fjernes'. Og herhjemme mener fagfolk, at skridtet mod kryptering bør overvejes.

»Men det vil være symbolpolitik, i givet fald det bliver gennemført,« siger Ken Friis Larsen.

Læs også: Apple-chef advarer britisk regering mod at forbyde end to end-krypteringen

»Vi er vidne til et politisk spil. Efterretningstjenesterne forlanger stadigt flere midler for at kunne beskytte befolkningerne mod terrortruslen, mens politikerne spejder desperate efter billigere redskaber end ansættelse af flere agenter - hvilket f.eks. kan være lovgivning mod kryptering.
Det kan altså se ud, som om de gør noget. Men det vil bare ikke fungere,« siger han.

En anden kommunikationsform, der er fremme som redskab til terrorister, er chatfunktioner på f.eks. spillekonsoller. Det er ikke noget nyt fænomen. Men også her viser historien, at det i praksis er umuligt at standse.

Eksempelvis har man set udgaver, hvor ordvalget man måtte bruge på en chattjeneste, var begrænset. Men det forhindrede ikke brugerne i at skabe lige de budskaber, som de ønskede.

»Brugerne vil lynhurtigt være i stand til at kombinere ord på en måde, så deres information når frem til modtageren. Jeg kan næsten garantere, at uanset hvad myndighederne forbyder eller begrænser, vil kriminelle være i stand til at sende udveksle deres informationer.«

Der er uvægerligt tale om et teknologikapløb mellem dem, der vil skjule deres information, og de myndigheder, der gerne vil have indsigt i den. Og her findes der så andre teknologier til at læse krypteret materiale, som kan være pixelaflæsere til visning af tekst på skærme.

Ken Friis Larsen er sikker på, at også lovgiverne vil indse, at modstanden mod privat og fortrolig kommunikation ikke giver mening. Det gælder ikke alene modstanden mod kryptering, men også ideen om at masseovervåge kommunikation, mener han.

»Masseovervågning af vores kommunikation bliver en historisk kuriositet, efterhånden som mere og mere af vores kommunikation bliver krypteret. For overvågningen vil ikke give adgang til brugbare data. Men det bliver i stigende grad også praktisk uladsiggørligt at overvåge alle samtaler, fordi datamængderne er så store. Det er god gammeldags efterretning, der efter min mening skal til,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Møbjerg Nielsen

Hvis det skal fungere skal straffen, for at benytte kryptering, være høj nok til at skræmme terrorister og andet skidtfolk. Det vil i stedet kunne ramme almindelige lovlydige borgere, der ikke kan gennemskue det tekniske, meget hårdt, hvis de uforvarende kommer til at benytte kryptering. Og jeg har da heller ikke lyst til at sidde med Wireshark, for at undgå at blive smidt i fængselslejr uden rettergang, eller hvad de nu finder på.

Derudover handler det vist kun om privat kryptering. Vil det ikke være for nemt at registrere et firma, og kalde det "firmahemmeligheder"?

Og så er der også den detalje, at hvis regeringen kan læse kommunikationen, så kan alle andre også.

Michael Hansen

"Og herhjemme mener fagfolk, at skridtet mod kryptering bør overvejes."

Så er det godt der er noget der hedder civil ulydighed, for det kan de godt glemme alt om, jeg fortsætter med kryptering om det er lovligt eller ej for at beskytte mit privatliv mod eventuelt fremtidige overgreb fra staten, der mere og mere ligner en politistat.

Christian Nobel

Det virker som efterretningstjenester og lovgivere i den grad mangler jordforbindelse (det er der ikke just noget nyt i) også i denne forbindelse.

For enten vil potentielle terrorister slet ikke bruge elektronisk kommunikation, eller også vil de lave deres egne simple måde at skjule et budskab på - husk på at det kun drejer sig for dem om at vinde tid, ikke om at undgå at blive opdaget.

Tværtom vil de jo gerne efterfølgende fremstå som martyrer, så de kan komme op til deres 72 jomfruer i himlen.

Herudover, så kan man lave skjult kommunikation på mange måder, f.eks med en trillefløjte:
http://www.windytan.com/2015/10/pea-whistle-steganography.html

Christian Nobel

"Og herhjemme mener fagfolk, at skridtet mod kryptering bør overvejes."

Hvem er de "fagfolk" der tages til indtægt for det udsagn?

Er det ansatte i krigsministeriets center for cyberkrig, eller hos PET der udråbes til fagfolk - og er alle dybest set ikke "fagfolk"?

Anne-Marie Krogsbøll

Såfremt et EU-land (eks. Storbritanien) gør kryptering ulovlig, hvorledes vil det så, i henhold til evt. afskaffelse af retsforbeholdet i Danmark, blive vurderet, såfremt man afsender en krypteret email fra Danmark til Storbritanien, og Storbritanien begærer efterforsknng/udlevering i den anledning?

Vil det blive omfattet af begrebet "Internetkriminalitet", og derved være fritaget kravet om "dobbelt strafbarhed", sådledes at Danmark vil være forpligtet til at efterkomme en sådan anmodning, selv om kryptering ikke er ulovlig i Danmark?

Se "Den europæiske arrestordre":
http://www.eu.dk/da/fakta-om-eu/politikker/retlige-og-indre-anliggender/...

Jeg gyser ved disse fremtidsudsigter - EU som totalitær politistat, hvis ovenfor beskrevne viser sig at være en rigtig forståelse af afskaffelsen af retsforbeholdet.

René Nielsen

Jeg gyser ved disse fremtidsudsigter - EU som totalitær politistat, hvis ovenfor beskrevne viser sig at være en rigtig forståelse af afskaffelsen af retsforbeholdet.


Man skal huske på at et sværd er tveægget når man begærer efterforskning/udlevering!

Det som er forbudt politisk aktivitet i et land som f.eks. Tyskland – kan være lovlig politisk aktivitet i et andet land, hvormed man som tysk embedsmand risiker udlevering med henblik på straf til det andet land fordi Tyskland ulovligt har forsøgt undertrykke lovlig politisk aktivitet i det andet land.

Jesper Nielsen

Hvis det skal fungere skal straffen, for at benytte kryptering, være høj nok til at skræmme terrorister og andet skidtfolk.

Ja, og det er jo flere gange blevet påvist (i USA), at ikke engang dødsstraf har nogen nævneværdig afskrækkende effekt på potentielle mordere.

<sarkasme>
Så en straf på et par år for at kommunikere krypteret skal helt sikkert nok afholde terrorister fra at gøre det.
</sarkasme>

Bent Jensen

Ved i WOW at spille mod en anden spiller, også bruge 2 spell som prik og streg ?

Kan være IS går over til udsendelser på kort og langbølger for ikke at få en fængselsstraf for at bruge kryptering.

Hvis kryptering og beskyttelse af persondata bliver ulovligt, så bliver det bare som det offentlige behandler data nu.

Benny Jensen

Jeg ville gerne hører denne minister om denne lov vil komme til at gælde alle?

Jeg mistænker lidt at han vil sige "ja" men egentlig mene "nej" når det kommer til stykket.
Hvis der er nogen der har en direkte telefonlinje til manden, kan i så ikke lige spørge om dette også gælder alt indternt i ministerierne, militæret, deres efterretnings tjenester?!

Hvad har forbud mod kryptering af værdi hvis det kun gælder dem man ikke "finder værdig"?

edit:
Faktisk kunne jeg godt tænke mig denne lov bliver gennemført. Jeg kan ikke forestille mig andet end at sådan ca. samtlige online services vil forsvinde fra UK, og dermed gøre UK til et IT-uland.
Så kan det være den generalle befolkning finder ud af hvor vigtigt kryptering er når de pludslig ikke har muligheder for at bruge nogen af de services der eksistere.

Jesper Nielsen

Hvad har forbud mod kryptering af værdi hvis det kun gælder dem man ikke "finder værdig"?

Det er fiktion, I know. Men jeg så et afsnit af The Good Wife, som egentlig beskrev det meget godt.

Advokatfirmaet kørte en sag mod staten, som på et tidligere tidspunkt i afsnittet ville præsentere nogle fortrolige beviser, som forsvarsadvokaterne ikke kunne få lov til at se, fordi de ikke var sikkerhedsgodkendte. Senere i serien vil forsvarsadvokaterne selv præsentere dommeren for nogle beviser, som statens advokat ikke var sikkerhedsgodkendt til at få indblik i.

Statens advokat begik herefter en "Freudian slip" og kom til at sige, at reglerne er til for at beskytte staten — ikke borgerne.

Det er lidt den fornemmelse, jeg oftere og oftere kommer til at sidde tilbage med, når politikere og efterretningstjenester udtaler sig og/eller fremsætter forslag.

Thomas Dybdahl Ahle

Der er sikkert mange, der udtaler sig om kryptering uden at vide, hvad de taler om. Efterretningstjenesterne ved selvfølgelig godt, at terroristerne, de bruger som argument, stadig vil kryptere.

Men de får stadig noget ud af, at f.eks. Facebook, Google og Apple ikke hjælper resten af os med at kryptere:

  • De kan nemt sætte vores data i system, så vi afsløres i ulovligheder, eller ting der bliver det i fremtiden.

  • De har færre faktiske krypterede beskeder at skulle bryde for at fange dem, der aktivt prøver at skjule deres kommunikation.

Det sidste kunne man endda forestille sig, at politikkere også begynder at bruge som argument.

Erik Martino Hansen

Der er jo middelvejen, indholdet forbliver krypteret, men metadata ikke.

Metadata omkring hvor forbindelsen kommer fra og hvor den går til er jo tit lige så interessant eller faktisk mere end selve indholdet.

Når services påstår de har end to end kryptering har de jo typisk ikke kryptering på lige netop den del.

Selv en arkitektur som Tor har vel svært ved at skjule metadata fra nogle som ejer mange Tor knuder.

Carsten Poulsen

Det må man sikkert gerne, fordi det er en offentlig kendt metode og kode. Hvis du sender i morse, kan jeg uden videre aflæse din meddelelse. Hvis altså ikke meddelelsen er krypteret.
Hvis du følger din egen ide, må man ikke engang lagre tekst digitalt, hverken i ASCII eller EBCDIC, for her er blyantskrevne tegn omdannet til kode.

Henrik Rathje

Det vil jo ikke fungere... eller jo.. lige så godt som:

"Kære terrorister

I må ikke dræbe folk I ikke kan lide!

  • Hilsen Europa"

i stedet trædes der i så fald IGEN på privatlivets fred!!
Der er heldigvis uendeligt mange metoder til at kryptere som PET, NSA og lignende aldrig vil kunne dekryptere. Det bliver lidt mere besværligt at være borger.. men jeg er klar.

Peter Rosenberg

Enig Erik
Og må jeg have lov at sige det er præcist dét som William Binney i den nys releasede dokumentar "A Good American" siger man bør og som hans tool i NSA ThinThread gjorde. Desværre var NSA's ledelse stålfaste på en afvej der må undre mange.
Derfor, når ThinThread efter sigende bliver OpenSource med Kryptering af MetaData, så er det åbent for 'alle' at indsamle metadata, men kan kun åbnes for særligt inviterede og kun til dele af det sociale mesh netværk af metadata.

Kristian Sørensen

Et forbud mod kryptering vil gøre det let at udføre identitetstyv, være industrispion, være tys-tys snushane, skaffe sig adgang til folks og firmaers bankkonti, kontrakter, emails, manuscripter, tegninger, diagrammer, fotos, måleresultater osv.

Har dem der foreslår at forbyde kryptering drukket sig i hegnet eller arbejder de på at gøre livet let for de kriminelle?

Niels Danielsen

De har færre faktiske krypterede beskeder at skulle bryde for at fange dem, der aktivt prøver at skjule deres kommunikation.


Der er meget kommunikation på internettet som er Machine to Machine, og som er krypteret.
Eks. Fjernaflæsning af elmålere, kontrol af højspændings brydere, software opdatering af Tesla biler, Nest termostater, etc)
Der er så mange forskellige protokoller der er pakket ind i en krypteret tunnel (IPSEC, SSH, TLS, OpenVPN, etc) at efterretnings tjenesterne ikke har mulighed for at vide hvilken kommunikation der er tale om. (Med mindre de er istand til at dekryptere den).
Det er ikke nemt at finde en krypteret nål i en krypteret høstak..

Frithiof Jensen

Et forbud mod kryptering vil gøre det let at udføre identitetstyv, være industrispion, være tys-tys snushane, skaffe sig adgang til folks og firmaers bankkonti, kontrakter, emails, manuscripter, tegninger, diagrammer, fotos, måleresultater osv.


Det er jo 80% af efterretningstjenesternes "arbejde", 5% er at sälge informationen, 14% er lobbyisme og de sidste 0-1% af budgettet er det som de påstår at de laver: Bekämper Terrorisme, hvilket til dels er grunden til at de er så dårlige til det. Den anden grund er at Pre-Crime er noget Philip K. Dick fandt på til en bog.

David Walland

If my wife and I wish to pass information between us that others can't understand we can do this on open e-mail. We know what it means! Now this is really quite easy to achieve and with a little thought will look entirely innocent (ours is of course - just private jokes in our case). I doubt that until a terrorist has been found to be involved in terrorist activity, it will be possible to spot the reality that some of his e-mails were actually encrypted, especially if a one time pad is being used. With a little smart handling, it's likely that many will be missed even after he's been recognised as a (late) terrorist.

As someone suffering under the current UK government, I can tell you that the fact that the idea of making it illegal being ridiculously ineffective will cut no ice with them. Their friends in the (right wing) press will trumpet as a great step forward and everyone who points out how useless the idea is will be labelled leftist supporters trying to make political capital. Danish politicians do the equivalent but you at least have a slighly more balanced press to catch them at it.

Regards

David Walland

Rune Jensen

Så er det godt der er noget der hedder civil ulydighed, for det kan de godt glemme alt om,

Hvis jeg krypterer alt på klienten inden afsendelse, hvordan kan de så på nogen måde se, hvad jeg har. Det er ikke end-to-end kryptering. Det er kryptering helt fra start, og så dekryptering igen på klienten. Jeg har ikke noget liggende ude på diverse cloud services, og heller ikke under afsendelse, som ikke er krypteret.

Lige med undtagelse af backupperne til mine websider. Dem må de dér 3-bogstavstjenester gerne kigge på, det kunne være de kunne lære lidt om valid HTML-kodning, hehe.

Anne-Marie Krogsbøll

Ud over enhedslisten var Trine som den eneste anden folketingsrepræsentant med på samrådet som støttepædagog for Pind. Hun forsøgte at komme ham til undsætning en enkelt gang, hvor han var var ude i tovene - jeg vil ikke påstå, at det ligefrem hjalp.

I øvrigt er det sørgeligt og måske symptomatisk, at EL så ud til at være de eneste, der interesserer sig for problemerne med retssikkerheden i forslaget.

Log ind eller Opret konto for at kommentere