It kan være kompliceret. Øjensynligt også for Rigspolitiet, der har leveret inputtet til et svar om logning af datatrafik (PDF) fra justitsminister Mette Frederiksen (S) på et spørgsmål til Folketingets Retsudvalg stillet af retsordfører for Venstre, Karsten Lauritzen.
Det har været heftigt diskuteret i hvor høj grad sessionslogning - altså hvor internetudbydere registrerer kilden og endepunktet for en internetkommunikation - er et brugbart værktøj set i forhold til de privacy-bekymringer, og det administrative bøvl set fra udbydernes side, logningen måtte afføde.
Sessionslogning har siden juni 2014 været ophævet, siden er det kommet på tale at genoplive sessionslogningen. Og i den forbindelse har en revidering af logningsreglerne været på tale, det arbejde har regeringen dog foreløbigt udskudt.
»Vil ministeren oplyse, om det er korrekt, at man som bruger kan skjule sin internettrafik ved at anvende VPN-forbindelser eller ved brug af TOR-netværket, og at logningen derved ikke kan anvendes til at se brugerens internetadfærd?,« lød spørgsmålet fra Karsten Lauritsen.
Et kort, men korrekt svar på det spørgsmål ville være 'ja', hvilket internetaktivist og datalog Christian Panton har påpeget på Twitter, hvor næstformand for IT-Politisk Forening Jesper Lund har gjort opmærksom på svaret fra ministeriet.
I dette svar til @StemLAURITZEN har Justitsministeriet ikke helt forstået hvordan VPN virker ift #logning http://t.co/AZOLrdNJ6J #dkpol
Det er nemlig ikke bare et 'ja'. Justitsministeriet har for at besvare spørgsmålet indhentet en længere udtalelse fra Rigspolitiet. Af den fremgår det, at 'krypterings- og anonymiseringstjenester i betydelig grad vanskeliggør politiets muligheder for efterforskning, men langtfra i alle tilfælde umuliggør disse.'
Desuden skelnes der i svaret fra Rigspolitiet mellem, hvad det er muligt at logge i forhold til anonymiseringstjenesten Tor og så en VPN-forbindelse.
Som bekendt skjuler Tor-netværket afsenderen af en datapakkes ip-adresse, så det ikke er muligt at se for slutmodtageren, hvor data kommer fra.
Det betyder også, at selvom data bliver logget hos internetudbyderen med politimæssig efterforskning for øje, så er det ikke umiddelbart muligt efterfølgende at knytte en brugers ip-adresse til eksempelvis et besøg på en hjemmeside.
»Uagtet at logning finder sted, kan den således ikke anvendes efterforsknings-mæssigt, idet det ikke er brugerens reelle IP-adresse, der logges,« står der i svaret fra Rigspolitiet.
Desuden skriver Rigspolitiet, at VPN-forbindelser anvendes til at skjule indholdet af en konkret datakommunikation. Men selvom det ikke er muligt at se indholdet af de krypterede VPN-datapakker, så er det dog muligt at se, hvor pakkerne bliver sendt hen. Altså ikke som med Tor, hvor afsenderens ip-adresse ikke vil være synlig i eksempelvis en server-log.
»Logning af hvem, der kommunikerer med hvem, finder dog sted og kan anvendes efterforskningsmæssigt af politiet. Dette gælder også, hvis der anvendes en VPN-forbindelse,« skriver Rigspolitiet.
Netop denne del af svaret kalder Christian Panton for ‘Det centrale vrøvl fra svaret’.
Logning af en VPN-forbindelse vil nemlig blot vise, at trafikken går fra klienten til en VPN-server. Men ikke nødvendigvis hvor VPN-serveren så sender trafikken hen.
»Rigspolitiet må have misforstået noget. Det eneste internetudbyderne kan se, er at der er forbindelse til en VPN-server. Den videresendte trafik vil med al sandsynlighed ikke være omfattet af logningsreglerne, særligt hvis der anvendes en server i udlandet. Derfor kan man ikke se 'hvem, der kommunikerer med hvem' ud fra sessionslogning, når en VPN-server anvendes,« skriver Panton i en mail.
Heller ikke Jesper Lund fra it-politisk forening kan få det til at stemme. Til Version2 siger han:
»De giver indtryk af, at Tor gør noget andet end VPN i forhold til sessionslogning, og det er ikke korrekt. I begge tilfælde vil man kunne se internetaktivitet, hvilket ikke siger særligt meget. Men man vil ikke kunne se den reelle destination for internettrafikken.«
Version2 har forsøgt at få et svar fra Justitsministeriet på, hvorfor der står noget forkert i svaret til Retsudvalget. Ministeriets pressemedarbejder henviser til Rigspolitiet, der har leveret inputtet til svaret. Rigspolitiet har ikke svaret inden deadline.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
