Amber Rudd er en uvidende idiot

Jeg bliver så ked af det når vi igen og igen skal nedsable tåbeligheder. Dette indlæg er skrevet i al hast, fordi der lige nu spredes FUD på internet. Det officielle lydspor er derfor også en hurtig en Erasure - A Little Respect https://www.youtube.com/watch?v=x34icYC8zA0

Idag, og igår, gik det på at WhatsApp - som tilbyder kryptering - er en hjælp til terroristerne, og derfor skal end-to-end kryptering forbydes. Jeg kan se at det pladder som er skrevet hos BBC igår nu drøner verden rundt, herunder flere danske medier. Amber Rudd : 'We must be able to access WhatsApp' med den sædvanlige retorik, Terrorist should have no place to hide.

Fuck nu af med dig din idiot, Amber Rudd!

Hjælp til journalister

Kryptering er vigtigt, sindsygt vigtigt. Uden kryptering mister vi ting som digitaliseringen, erhvervslivet, netbankerne, faktisk hele det økonomiske system

Derfor har en del af internets helt tunge eksperter for flere år siden, og i mange år før dette tilbage til Crypto Wars i 1990erne kæmpet for fri adgang til stærk kryptering.

Her tænker jeg på artiklen/dokumentet/paper: Keys Under Doormats: mandating insecurity by requiring government access to all data and communications http://www.schneier.com/academic/paperfiles/paper-keys-under-doormats-CS...

Læs det, medmindre du mener du er klogere end: Harold Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Whitfield Diffie, John Gilmore, Matthew Green, Susan Landau, Peter G. Neumann, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Michael Specter, Daniel J. Weitzner

Her snakker vi om flere 100 års samlede ekspertviden samlet om emnet. Det er personer som RSA bagmanden Ronald Rivest, Diffie som er den ene ophavsmand til Diffie-Hellmann som bruges i ALLE vores https sessions millioner af gange dagligt, Bruce Schneier som I burde kende, samt en hel masse andre som jeg med min kandidatgrad fra Kbh Universitet knapt er værdig til at opremse!

Samme gælder for danske politikere, lad være med at gentage det bavl som Amber Rudd gør! I vil helt sikkert ligne en tåbe, ligesom Søren Spin Pind, som udtalte sig voldsomt omkring FBI Apple sagen, som nu er endt med at netop DE hackerværktøjer er stjålet og kommet andre i hænde.

Sig nej til bagdøre!

Hvis du vil rapportere en tilfældig politiker som Amber Rudd, så smid lige en enkelt sætning om at andre er DYBT uenige! På forhånd tak.

Hjælp til aktivister

Jeg har idag sendt et par emails ud til Børsen, Fyenske medier m.fl. angående ovenstående. Hvis I støder på andre artikler er I velkomne til at genbruge min email.

Den lyder ca. sådan:

Hej Redaktion

Jeg kan se I har skrevet artikel om den britiske indenrigsminister, Amber Rudd ... indsæt link til artikel

Jeg må sige at det er trist vi skal have den slags uigennemtænkte diskussioner hver gang der er terrorangreb.

For at sige det kort, hun er en tåbe og hendes meninger at langt mere skadelige end det angreb der var.

Kryptering er en grundsten for vores frie verden og alle forsøg på at svække dette, vil svække os selv!

En lidt længere gennemgang af det tåbelige kan vi tage, hvis I gider læse lidt i: Keys Under Doormats: mandating insecurity by requiring government access to all data and communications http://www.schneier.com/academic/paperfiles/paper-keys-under-doormats-CS...

Harold Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Whitfield Diffie, John Gilmore, Matthew Green, Susan Landau, Peter G. Neumann, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Michael Specter, Daniel J. Weitzner

Det er internet og verdens tungeste eksperter som gennemgår emnet.

Ressourcer

PS tilføjet efter publish. Der er en del flere end mig som er fortørnede, check evt. noget af det som jeg har RT: https://twitter.com/silkiecarlo/status/846061372689580032 https://twitter.com/evacide/status/845885420118429696 https://twitter.com/ara4n/status/846014928536457217 https://twitter.com/jchillerup/status/846017114301435905 https://twitter.com/ncilla/status/845981293859016704 https://twitter.com/ncilla/status/845981874073849856 https://twitter.com/spacekatgal/status/846000485723242496 https://twitter.com/pwnallthethings/status/845946415775920132

specielt fra den sidste:

The guy wasn't under surveillance. So even if WhatsApp were entirely unencrypted, it wouldn't have made any difference.

og kan anbefale at følge EFF, og flere af dem ovenfor

in other (good) news:

More than half of all web traffic encrypted. #TLS #HTTPS #IEPG #IETF98

https://twitter.com/danyork/status/846015642004283395

og så en bonus artikel, som siger det flottere end mig http://www.wired.co.uk/article/amber-rudd-whatsapp-encryption-westminste...

Dear Amber Rudd,
Break encryption for one person and you break it for us all.

Relateret indhold

Henrik Kramshøjs billede
Henrik Kramshøj er internet-samurai. Han elsker netværkspakker tcpdump, wireshark, BackTrack, Metasploit og andre hackerværktøjer og blogger om sikkerhed, netværk og unix.

Kommentarer (33)

Kommentarer (33)
Palle Due Larsen

At lægge nøglen under måtten er et fantastisk billede på kryptering med bagdøre. Men jeg er bange for, at den gennemsnitslige journalist går død i et akademisk paper. Er der ikke en TL;DR; version? Måske en som selv en justits-Søren kan forstå?

René Nielsen

Politik drejer sig først og fremmest om at have letforståelige holdninger/meninger. På samme vis er det med journalistik - det må ikke være indviklet og slet ikke være baseret på, om journalisten rent faktisk forstår det emne han skriver om.

Man kan vedtage en lov om bagdøre i krypteret kommunikationssoftware og at disse bagdøre kun må bruges af myndighederne – efter behørig dommerkendelse. Det budskab kan en journalist forstå og så lyder det jo fornuftigt.

At det svarer til at vedtage at kampesten svæver "frit som balloner i vinden" kræver at journalisten forstår den bagvedliggende fysik, for at indse det latterlige i et lovforslag om bagdøre.

Fakta er, at der kun findes fordøre og de åbner for enhver som har nøglen, uanset om personen bagved har en dommerkendelse eller ej.

Men vedtager vi en lov om ”bagdøre” så forudsætter loven at bad guys rent faktisk benytter et overvåget system. I min verden, er det kun en retarderet person med en IQ på under 70 som tror at bad guys pludselig samarbejder, for det de fortager sig er jo ulovligt i forvejen, så hvorfor skulle bad guys pludselig samarbejde?

Jesper Louis Andersen

Den rigtige mærkat er at Amber Rudd er UK's svar på Trine Bramsen.

Hver gang du har en situation hvor der har været terror, eller lignende farlige ting, så findes der en gruppe af politikere der skal udvise handlekraft. Trine og Amber og nok temmeligt ens her. Det handler egentlig ikke om det er muligt at løse problemet, eller om man forpurrer enhver mulighed for dialog. Det handler om at udvise at man forstår problemet og ønsker at gøre noget. Se det som en emotionel og til dels irrationel aggression, i stedet for en mere afdæmpet overvejelse. Der er stemmer i at handle på den måde givet et vist segment af befolkningen. Og virkeligheden er stort set ligegyldig. Det bliver bare affejet som alternative fakta, fordi i den emotionelle eventyrverden kan alt lade sig gøre, bare man ønsker højt nok.

Enhver fornuftig person ville bringe en række data på bordet. Chancen for at komme af dage i et terrorangreb er stort set ikke-eksisterende. Før terror må man forbyde bilkørsel, lynnedslag, arbejde på olieboreplatforme, minedrift, og mange andre ting. Så indgrebet bør ligeledes være yderst lempeligt, for vi gør ikke noget ved de andre nævnte ting. Pointen er at vi opvejer at samfundet har det bedre af faren ved bilkørsel, lynnedslag, etc. På samme måde bør vi se kryptering som en overvejende fordel for samfundet.

I UK har man allerede beføjelse til at overvåge mennesker på begrundet mistanke, og man må også gerne bryde en end-to-end kryptering ved at bryde ind i folks mobiltelefoner og etablere en aflytning af vedkommende. Men det havde ikke hjulpet i en situation hvor der end ikke er begrundet mistanke til personen, og aflytning derfor ikke er etableret.

Alternativet er masseovervågning af samtlige borgere. Man trawler simpelthen bare igennem alt hvad der bliver skrevet på nettet, og så trigger man på visse ord. Problemet her er at det er tvivlsomt om du rent faktisk kan finde terrorister i de enorme datamængder. Terrorister er ikke dumme. Hvis størstedelen ikke krypterer, så skal man heller ikke kryptere. Man skal gemme sig i mængden. Hvis størstedelen krypterer, så skal man naturligvis også kryptere. Man skal under alle omstændigheder ikke gøre væsen af sig selv. Hvis 1 person på et 1000 mand stort kollegie har brugt tor til ulovligheder, er det relativt set nemt at finde det værelse hvor Tor blev anvendt.

Det er også derfor at relativt få terrorister bliver opsnappet. De lærer stille og roligt hvad metoderne er, og adapterer så til den nye verdensorden. Der er rigtigt mange måder at kommunikere på, og du kan sagtens etablere en kanal over en anden ved at gemme dig i strømmen.

Masseovervågning er dog heller ikke nok. Tiden fra at en person bruger f.eks. WhatsApp til at du har data indekseret og trawlet i overvågningssystemet er vigtigt. At du efterfølgende kan konstatere at en mand der er blevet skudt af politiet har begået ulovligheder er ikke supervigtigt i forhold til ham. Det handler om at finde medgerningsmænd/kvinder, men i forhold til at forebygge et angreb ville det næppe virke.

Det her er yderst kompliceret. Der er nogen nuancer i forbindelse med politikken, med teknikken og måden samfundet reagerer på. Du kan ikke bare se det her teknisk eller politisk. Der er simpelthen nødt til at være nogen der sætter sig ned og tager en realistisk tilgangsvinkel på det hele, hvor man afvejer de forskellige muligheder, ønsker og hvad der egentlig kan forventes at blive opnået. Der er en hvis sandsynlighed for at opklaringsarbejdets guldalder er overstået i forhold til kommunikation. I stedet skal man arbejde med de klassiske kriminaltekniske værktøjer. Der er f.eks. en korrelation mellem hustruvold og terrorisme.

Claus Juul

Kære Henrik

jeg vil mene at du til div. redaktioner skulle have skrevet det vigtigste først.

Det vigtigste i min øjne og det som andre også forstår er

Uden kryptering mister vi ting som digitaliseringen, erhvervslivet, netbankerne, faktisk hele det økonomiske system.

dernæst, at nogen der vil nedbryde kryptering er godt dumme.

Ditlev Petersen

Jeg tror såmænd ikke, at de tog politikere er idioter. Men for at holde sig populære (nok), kan det være en fordel at udtrykke sig forsimplet, og i øvrigt slå på, at man forstår folket (at man i tale og handling er lige så uvidende og uinterersseret i at lære som Bodega-Børge). Lige som man nødig graver sig ned i fiskebestandenes udvikling, men bare erklærer, at der er og altid vil være masser af fisk (og tilsvarende for andre komplekse problemer).

Andre politikere har en anden tilgang til ting, der er komplekse.

Michael Cederberg

Så Rudd er en idiot? Fordi hun gerne vil beskytte befolkningen mod terrorister samt have værktøjer til at efterforske terrorist handlinger? Ikke i min bog. Man kan godt indrette et system som er balanceret både omkring muligheder for privacy samt for efterforskning i de fleste tilfælde.

Hvis man læser de kloge fyre som Henrik linker til, så er handler deres indvendinger om bl.a. exceptional access og problemer omkring virksomheders behov for privacy.

Hvis indrettede lovgivningen således:

  1. Ingen virksomhed må udbyde end-to-end kryptering, med mindre de har indgående kendskab til mindst et af de to end-points.

  2. I situationer hvor virksomheden ikke indgående kender begge end-points, skal metadata logges (og måske lidt mere – fx SMS lignende beskeder, men så bliver det sværere at definere).

  3. Information der logges skal krypteres og nøglerne gemmes i et gennemsigtigt pengeskab på Rådhuspladsen.

Det sikrer:

  • Private ville kunne kryptere så meget de havde lyst til. Det faktum at det er private der gør det, sikrer at det aldrig vil blive et gigantisk problem for politimyndigheder.

  • Virksomheder vil kunne kryptere intern kommunikation, samt kommunikation med kunder og samarbejdspartnere så meget de har lyst til.

  • Offentligheden kan overvåge i hvilket omfang myndighederne kræver adgang til kommunikation.

Generelt bør man passe meget på med at være bærer af krypteret information som man ikke kender indholdet af og hvor man ikke stoler på begge endpoints. Interesserede kan læse den fantastiske historie om det såkaldte “Zimmerman Telegram” fra første verdenskrig.

Ditlev Petersen

Enten er et kommunikationssystem sikkert, eller også er det IKKE sikkert. Og hvis det ikke er sikkert, så har man ikke styr på, hvem der også snuser rundt i det.

At skelne mellem private og firmaer er næppe brugbart.

Trods udbredt overvågning i dag og trods at politiet/efterretningstjenesterne i adskillige terrorsager allerede kendte gerningsmændene i forvejen, greb de ikke ind. Formodentlig fordi de drukner i oplysninger, hvoraf en hel del er af tvivlsom kvalitet.

Efter hver terroraktion arresterer man rutinemæssigt en masse medskyldige, som man ret hurtigt må slippe fri igen, fordi de intet havde med affæren at gøre.

Nok så mgen overvågning løser ikke problemet. Vi kan heller aldrig opstille så mange soldater, politifolk og "barfordsstrissere", at vi kan være helt sikre.

Og forresten dør flere på grund af selvmord, trafikuheld eller ved arbejdsulykker.

Michael Cederberg

Enten er et kommunikationssystem sikkert, eller også er det IKKE sikkert. Og hvis det ikke er sikkert, så har man ikke styr på, hvem der også snuser rundt i det.

Et kommunikationssystem der bygger på at du downloader en app fra internettet er ikke sikkert. Hvis du vil have noget der er sikkert så bygger du det selv eller får nogen du stoler på til at gøre det.

Når det er sagt, så er spørgsmålet hvilket behov der er for sikkerhed. Mit forslag sikrer at dem der har et anerkendelsesværdigt behov for sikker kommunikation har muligheden for det.

At skelne mellem private og firmaer er næppe brugbart.

Hvorfor ikke? Det giver netop stor mening af flere grunde. Virksomheder har ikke nogen frihedsrettigheder der kan overtrædes (lad os lige glemme Citizens United). I virksomheder kan ansvar for lovovertrædelser forsvinde og man kan ikke sætte en virksomhed i fængsel. Det giver fint mening at lave andre krav til virksomheder.

Ydermere sikrer det, at mørke kommunikationsnetværk ikke kan blive alt for store. Det gør det i og med det er svært for privatpersoner at lave et stort sikkert netværk (Tor er et eksempel herpå).

Trods udbredt overvågning i dag og trods at politiet/efterretningstjenesterne i adskillige terrorsager allerede kendte gerningsmændene i forvejen, greb de ikke ind. Formodentlig fordi de drukner i oplysninger, hvoraf en hel del er af tvivlsom kvalitet.

Alligevel siger briterne at de forhindrer ca. 10 terroranslag om året. I Danmark har vi set et nogle forsøg på terror som blev forhindret – Kundbysagen synes at komme af elektroniske efterretninger fra USA. Resten kender vi ikke. Et balanceret indgreb synes således ikke ude af proportioner.

Jesper Louis Andersen

Altså nu må du bestemme dig ;-)

Heh.

Guderne skal vide at jeg ikke er begejstret for Trine, men hun har definitivt success med hendes metode. Ellers kommer du ikke til at sidde i et parti. Ganske vist et stort et af slagsen, hvilket er en nemmere opgave end andre partier. Men det er en bedrift, det kan man ikke komme uden om.

Pointen er at indtil kryptering blev end-to-end har man haft en række standardmetoder i loven. Du har privatlivets fred indtil der er begrundet mistanke omkring din person. Derefter havde man historisk set muligheden for at tage privatlivet fra dig. I den nuværende verden er det blevet langt sværere.

Derfor er det heller ikke urimeligt at lave den antagelse at vi stort set bare kan kopiere den eksisterende ide til computere. Du har privatliv indtil du ikke har det. Problemet består i, at man ikke sætter ind i at dagsordenen er nødt til at være anderledes i en verden hvor computere er til stede.

Hvad værre er at politikerne har ignoreret hele spørgsmålet om fairness i forbindelse med efterretningstjenesters arbejde. Fordi man stort set har trawlet internet igennem for alt information der ikke var krypteret og gemt samtligt data man kunne komme i nærheden af, så er befolkningen generelt lettere skeptisk overfor en mere rolig tilgang til kryptering. Det gør det meget sværere at diskutere hvorledes en moderne løsning bør strikkes sammen.

Det har de gjort grundet samme manglende viden som altid. Mit bud er at blandt folk over 40 er det ca. 2-3% af befolkningen der indsigt nok til at kunne forstå det her. Over 30 er det 5-7%. Over 20 er det formentlig 10-12%. Og så videre. Og de fleste af vores politikere, Trine eller ej, er simpelthen ikke klædt på til de her diskussioner.

Grunden til at det stort set altid er terrorvinklen der åbner ballet, er fordi der her er et overlap med en række centrale sager i dagens samfund. Den generelle befolkning bekymrer sig om økonomi, specielt deres egen. Og indvandring, der anskues som en påvirker af økonomien. Med andre ord er det ikke tilfældigt at det altid er terror der bringer IT på banen, for terror er af en eller anden grund vigtigere end alt muligt andet.

I praksis skal terror anskues som en samfundsvirus. Du bliver forkølet af og til. Det går ud over nogen celler i kroppen, men i det store og hele virker immunforsvaret. Det samme gælder terror. Du kommer det aldrig til livs og efterhånden som du lærer at forsvare dig mod selvmordsbomber, så skifter taktikken til biler der kører ind i folk. Men det slår heller aldrig samfundet ihjel.

Men det er en virus i den forstand at den inficerer menneskehjerner med den ide at der er en fare. Og når folk ser fare, så handler de ikke specielt rationelt. Helt konkret: din amygdala har en direkte sidekanal ind i synscenteret så den kan reagere hvis noget er ved at gå galt, uden at du skal til at overveje om det nu også er smart at hoppe væk fra den sten der er ved at falde ned. Men handlingen bliver aldrig velovervejet. Det er mange af de knapper terror trykker på i folk. Og det trykker mere på knapperne i nogen mennesker end andre. Og formentlig trykker det mere på knapperne i Amber og Trine end mange af os andre.

Michael Cederberg

Ja en imponerende forbrydelse - en forstyrret 15 år pige, som givetvis er blevet forelsket i en gal salafist vil man have anbragt på ubestemt tid for en tankeforbrydelse.

Folk der laver terror er altid forstyrrede, hvad enten de er religiøst eller politisk motiverede. Havde du forestillet dig at man ingenting skal gøre når man har troværdige indikationer på at nogen vil lave en terrorhandling? I den sammenhæng betyder det ingenting at hun kun er 15 år. Men det er tragisk.

Pointen er at indtil kryptering blev end-to-end har man haft en række standardmetoder i loven. Du har privatlivets fred indtil der er begrundet mistanke omkring din person. Derefter havde man historisk set muligheden for at tage privatlivet fra dig. I den nuværende verden er det blevet langt sværere.

Nemlig. Henrik advokerer for en ændring i forhold til det system der har holdt os sikre de sidste 100 år.

Fjenden i os selv af Jan Guillou omsat til virkelighed, virkelig noget vi som retssamfund kan være stolte af, eller .....

Faktisk ønsker jeg blot at vi ikke laver store ændringer i forhold til hvordan det altid har været. Det er dig og Henrik der ønsker markant at ændre på hvordan vores retssamfund fungerer. Ændringer der har stor samfundsmæssig betydning bør ske i små doser.

René Nielsen

Skulle der være en journalist som læser dette, så husk at en computer er dum og uden følelser, empati og lignende menneskelige egenskaber. I computerens verden er alt enten nul eller et - der findes ikke andre udfald.

Hvis du som journalist har forstået det, så forstår du meget mere end dine kollegaer, for de tror at man rationelt kan argumenter med en computer, således at udfaldet i 99 % af tilfældene er nul, men i de få tilfælde hvor man har en dommerkendelse så skal udfaldet være et.

Det kan bare ikke lade sig gøre - uanset hvor barnagtigt en tidligere justitsministerer stamper i jorden, hvæsser, insisterer og hidser sig op. En anden skribent bruger fe-verden som eksempel hvor hvis man virkelig ønsker sig noget, så bliver ønsket opfyldt og det er faktisk ganske rammende. For ønsket om bagdøre som kun åbner for dommerkendelser, er tåbesnak på linie med ønskets kraft i fe-verdenen.

Er der en bagdør, så åbner døren for enhver som har nøglen, kan gætte nøglen, kan stjæle nøglen, kan kopier nøglen, kan hacke nøglen eller på anden vis opnå uretmæssig adgang. I modsætning til den fysiske verden, behøver jeg end ikke udsætte mig selv for fare ved personligt at møde op, fordi jeg kan opnå adgang fra et andet land eller blot fra en hacket computer.

Kære journalist, næste gang du holder mikrofonen for en af de tåber som tror at vi lever i en fe-verden, så spørg om hvordan Danmark skulle kunne sikre at bagdøre kun åbner for dommerkendelser når organisationer som FSB, CIA og NSA der har et budget som langt overstiger Danmarks BNP ikke kan sikre det samme?

Gert Madsen

Faktisk ønsker jeg blot at vi ikke laver store ændringer i forhold til hvordan det altid har været.


Nå, men der er en række ændringer, som er en følge af den nemme og billige overvågning.
Hvis nogen ville bryde brevhemmeligheden, så krævede det 2 mand, som fik samlet det fysiske brev ind, og kunne dampe det åben, og læse hvad der stod.
Nu gemmer man alle afsendere og modtagere af breve, sådan et par år eller fem.
Registret er kun tilgængelig for nogle få tusinde mennesker, og er iøvrigt ikke underlagt nogle specielle restriktioner.
Nu vil man så have lov til at dampe breve åbne. Men det er ikke længere begrænset til de få indsamlede. Man kan sidde bag sit skrivebord, og åbne alle breve man måtte få lyst til. Det er heller ikke længere begrænset til de få udvalgte, som arbejder på en given "sag", men muligt for alle, som har adgang til værktøjet. Iøvrigt vil man gerne gemme brevene også. Sådan, hvis man nu skulle få brug for det sidenhen.
Disse naturlige følger af digitaliseringen burde netop give anledning til en meget tættere opfølgning på dem, som overvåger. Det burde give anledning til tvangssletning af registre etc.
I stedet mødes vi af ønsker/krav om yderligere registrering. Ønsker om ikke længere at skulle begrunde sine overvågninger og indgreb i meddelelseshemmeligheden overfor en "uvildig" 3. instans. "Uvildig" i citation, da det her i landet, kniber gevaldigt med magtens 3-deling.

Michael Cederberg

Nu vil man så have lov til at dampe breve åbne. Men det er ikke længere begrænset til de få indsamlede. Man kan sidde bag sit skrivebord, og åbne alle breve man måtte få lyst til. Det er heller ikke længere begrænset til de få udvalgte, som arbejder på en given "sag", men muligt for alle, som har adgang til værktøjet. Iøvrigt vil man gerne gemme brevene også. Sådan, hvis man nu skulle få brug for det sidenhen.

Af samme grund indeholdt mit forslag fra mit første indlæg et krav om at det loggede skulle krypteres og nøglen gemmes i et gennemsigtigt pengeskab på Rådhuspladsen.

Mere detaljeret:

  • Teleselskaberne genererer hver en bunke private-public key pairs. Hvert pair stemples med et tidsinterval (fx. 1 time) et stykke ud i fremtiden.

  • Private key skilles i 2 dele. Den ene del opbevares i teleselskabets pengeskab. Den anden del opbevares i et gennemsigtigt pengeskab på Rådhuspladsen.

  • Al information krypteres med den public-key der passer til det tidsinterval som informationens tidsstempel hører under (brug af session keys, etc.)

  • Teleselskabet må kun udlevere sin del af private-key hvis der foreligger en dommerkendelse. Det er strafbart for enkeltpersoner at overtræde dette og kun direktionen må udlevere nøgler.

  • Alt tilgang til det gennemsigtige pengeskab skal logges. Senest 6 måneder efter tilgang skal denne begrundes. En domstol kan udskyde dette i yderligere 6 måneder, såfremt der er grunde hertil.

På denne måde er det besværligt at komme til det loggede information - det sker derfor sjældent. Det foregår under domstolskontrol og offentligheden kan følge med i omfanget samt hvorfor det sker.

I stedet mødes vi af ønsker/krav om yderligere registrering. Ønsker om ikke længere at skulle begrunde sine overvågninger og indgreb i meddelelseshemmeligheden overfor en "uvildig" 3. instans. "Uvildig" i citation, da det her i landet, kniber gevaldigt med magtens 3-deling.

Hvis du vil beskytte dig mod at regeringen overtræder landets love eller at domstolene ikke gør deres arbejde, så skal du ud i helt ekstreme tiltag (betydeligt længere end nogen af militserne i USA har været villige til at gå). I praksis er den eneste måde at beskytte sig mod staten at vælge nogle andre politikere (hvis det lader sig gøre).

Christian Nobel

Folk der laver terror er altid forstyrrede, hvad enten de er religiøst eller politisk motiverede. Havde du forestillet dig at man ingenting skal gøre når man har troværdige indikationer på at nogen vil lave en terrorhandling? I den sammenhæng betyder det ingenting at hun kun er 15 år. Men det er tragisk.

Din holdning er jo velkendt, så det undrer ikke at du mener sådan.

Men i min begrebsverden er der ret stor forskel på laver og påtænker - der er tale om et barn, en forstyrret teenager, og de fleste der har haft med den slags at gøre ved at deres hjerner ikke er fuldt udviklede, og de kan finde på de mærkeligste ting, ikke sjældent kunne de tænke sig at slå deres forældre ihjel.

Som regel er det noget der går over, bla. ved at voksne viser forståelse, og hjælper dem gennem en svær tid.

Her vil man så dømme et barn til forvaring, baseret stort set på noget galpen op på internettet om en måske ikke engang realiserbar handling og en halv liter acetone, men uden nogen konkret handling.

Jeg anser det for en skamplet og uværdigt for vores retssamfund, at vi i den hellige terrorforskrækkelses navn vil straffe for tankeforbrydelser - det er ren Orwell.

Og jeg vil faktisk også hellere leve med at der er nogle "terrorangreb" i ny og næ, end et barn straffes for en tankeforbrydelse.

Faktisk ønsker jeg blot at vi ikke laver store ændringer i forhold til hvordan det altid har været. Det er dig og Henrik der ønsker markant at ændre på hvordan vores retssamfund fungerer.

Åh åh, så skal vi lige skydes noget i skoene, og herudover er det jo noget vrøvl, for hvis to personer udveksler en hemmelighed mund til mund, så kan den vist kun tages fra en med vold - men du går måske også ind for tortur?

Det er da vist nærmere dig der ønsker ændringer, al den stund du mener at retten til at have hemmeligheder kun må tildeles dem der har et anerkendelsesværdigt formål - og hvem har så et anerkendelsesværdigt formål, og hvem bedømmer det - for mig lugter det langt væk af Nordkorea.

En helt anden ting er, i dette land som også har haft en modstandsbevægelse man sågar er stolt af, og i andre lande hvor demokratiet er på vej i skraldespanden, hvad er forskellen på en frihedskæmper og en terrorist, især når man som du jo går ind for tankeforbrydelser.

Og så gider jeg ikke diskutere mere med dig, da diskussionen bare går i ring.

Finn Glamhøj

hvad er forskellen på en frihedskæmper og en terrorist

En frihedskæmper angriber infrastruktur etc. med det formål at begrænse magthavernes evne til at udøve deres magt, hvorimod en terrorist angriber almindelige mennesker med det formål at skabe frygt (og måske få dem til at sætter sig op imod magthaverne).

I min opfattelse er der en meget stor forskel, især fordi almindelige mennesker sjældent er istand til få magthaverne til at ændre adfærd (heller ikke i et demokrati).

Christian Nobel

En frihedskæmper angriber infrastruktur etc. med det formål at begrænse magthavernes evne til at udøve deres magt, hvorimod en terrorist angriber almindelige mennesker med det formål at skabe frygt (og måske få dem til at sætter sig op imod magthaverne).

Teoretisk set ja, men problemet er bare, at magthaverne kan have en anden holdning til sagen.

Eksempelvis anså besættelsesmagten de danske frihedskæmpere for terrorister, og ligeledes har f.eks. Tyrkiet en lidt anden holdning til hvornår en frihedskæmper kaldes for terrorist - så helt afhængig af bias er definitionen flydende.

Jesper Louis Andersen

Nemlig. Henrik advokerer for en ændring i forhold til det system der har holdt os sikre de sidste 100 år.

Jeg er ikke enig i at man kan skille det ad på den måde. Kryptering har været en del af problemet siden ca. 1945, og det er tydeligt at man fra statens side helst så at den slags var forbeholdt et begrænset mængde militært isenkram. Men status quo ophørte for ca. 10-20 år siden.

De vigtige skift kan spores tilbage til "crypto wars" i 90'erne. Man ønskede key escrow i form a "Clipper"-chippen. Ideen var at ethvert device blev programmeret med en key i escrow og denne key kunne man så efterfølgende benytte om nødvendigt. Projektet døde i 1996 fordi modstanden mod projektet (retteligt) var stor. I praksis var der i 90'erne relativt lidt kryptering af typisk kommunikation. Men langsomt begyndte man at kryptere blandt almindelige borgere: VPN, ssh, bankoverførsler, PGP, mm. I praksis gør det escrow enormt svært, fordi vi hele tiden danner nye nøgler og bruger dem. Et sikkert Curve25519 keypair tager et par millisekunder at generere for en maskine. Og vi kan bare smide den hemmelige nøgle væk når vi er færdige med forbindelsen for at sikre os at det er svært at læse med. Vi bruger i høj grad kryptering som et værktøj til nem data-destruktion.

Key escrow har en masse problemer i praksis, og det er absolut ikke oplagt at det er en god løsning. Et stort problem er at det ikke er muligt for almindelige mennesker at sikre sig mod misbrug af escrow. Og et centralt opbevaringssted er sårbart overfor misbrug i højere grad end en distribueret model. En escrow-service er også sårbar overfor fejl i den krypteringsmetode der bliver anvendt. Det må forventes at en eventuel escrow-service bliver fokuspunkt for et angreb, både algoritmisk og implementationsmæssigt. Den daværende Clipper-chip var hullet som en si, hvilket Matt Blaze (blandt andre) viste.

Efter 11 Sep 2001 og de efterfølgende år optrappede man snooping af data fra statens side i hidtil uhørt grad. Det medførte et stort indgreb i vores privatlivsfred, og befolkningen blev end ikke adviseret herom. Det var først ved Snowden's afsløringer af metoderne i 2013, ca 10 år efter deres indførsel, at vi blev bekendt med hvad der rent faktisk foregik. En naturlig modreaktion fra borgerne er "krypter alt". Og mistroen herefter gør det fuldstændigt umuligt at lave en key escrow service. Der er simpelthen dømt skakmat i det spil. Værdien af at suge alt data fra internettet er nok yderst begrænset, kryptering eller ej. Men det skal ikke afholde en efterretningstjeneste fra at forsøge.

Et andet væsentligt problem er at vores forbrugerrettigheder bliver påvirket kraftigt når vi ikke krypterer informationen. Dels bliver data injectet ind i vores HTTP forbindelser af diverse ISP'ere, fordi vi ikke sikrer dataintegriteten. Dels bliver vores adfærd opsnappet og solgt videre til 3. part. En lovgivning på området er nødt til at være direkte gavnligt for borgeren - det vil sige at man lovgiver mod denne praksis, hårdt og brutalt, samtidigt med at man forbyder kryptering. Ellers mister borgeren en række andre rettigheder i forhold til nu. Og virksomheder snyder hvis de kan. Det hænger også sammen med netneutralitetsbegrebet og kan ikke adskilles.

I praksis er kryptering hvirvlet ind i en masse andet snask. Du kan ikke stoppe teknologiens udvikling, så man er i praksis nødt til at arbejde med den nye verdensorden. Juraen er nødt til at møde teknologien i et kompromis hvor begge parter kan være tilfredse med det der sker. På nuværende tidspunkt står både jura og teknologi ovre hver deres hjørne og surmuler. Det kommer der ikke nogen god løsning ud af. Grundet den fuldstændige ligegyldighed politikere har haft overfor internettet de sidste 20 år er det 100% det vilde vesten det der sker lige nu. Det kan ikke løses ved bare at fokusere på de kriminelle handlinger såsom terror. Indgangsvinklen skal være langt mere global end den er nu. Og det starter med at genetablere borgerens rettigheder og tiltro til systemet.

Michael Cederberg

Her vil man så dømme et barn til forvaring, baseret stort set på noget galpen op på internettet om en måske ikke engang realiserbar handling og en halv liter acetone, men uden nogen konkret handling.

Ærligt talt så stoler jeg mere på det danske retssystem end på din vurdering af sagen. Straffelovens §21 omhandler også planlægning. Men jeg håber da at pigen kan bringes på bedre tanker, sådan at hun kan blive fri. Men såfremt hun bliver dømt, så mener retten åbenbart at hun har været en trussel mod samfundet. Det kan man godt være, selvom man kun er 15 år.

Det er da vist nærmere dig der ønsker ændringer, al den stund du mener at retten til at have hemmeligheder kun må tildeles dem der har et anerkendelsesværdigt formål - og hvem har så et anerkendelsesværdigt formål, og hvem bedømmer det - for mig lugter det langt væk af Nordkorea.

Som jeg skrev så må du efter mit forslag kryptere alt hvad du vil. Men du kan ikke forvente at du kan få en virksomhed til at hjælpe dig med at kontakte andre. Med mindre virksomheden ved hvem du er.

Og så gider jeg ikke diskutere mere med dig, da diskussionen bare går i ring.

Ok. Nyd dit ekko-kammer.

Jeg er ikke enig i at man kan skille det ad på den måde. Kryptering har været en del af problemet siden ca. 1945, og det er tydeligt at man fra statens side helst så at den slags var forbeholdt et begrænset mængde militært isenkram. Men status quo ophørte for ca. 10-20 år siden.

Det har ikke så meget med kryptering at gøre. Det er kombinationen af kryptering og at du kan forbinde dig med andre uden at nogen af jer er kendt. Hvis du kun kommunikerer med folk du i forvejen har en forbindelse med, så er der intet problem. Hvis du tager telefonbogen og ringer til andre – uden at kryptere samtalen – så er der heller ikke noget problem.

Pointen er at krypteret elektronisk kommunikation bliver brugt af personer til at lave kriminelle handlinger. Det er jeg ked af og det vil jeg gerne til livs.

Key escrow har en masse problemer i praksis, og det er absolut ikke oplagt at det er en god løsning.

Key escrow er dødt. Ingen vil have key escrow.

Efter 11 Sep 2001 og de efterfølgende år optrappede man snooping af data fra statens side i hidtil uhørt grad. Det medførte et stort indgreb i vores privatlivsfred, og befolkningen blev end ikke adviseret herom.

Og det var en ganske forfærdelig udvikling. Specielt er det forfærdeligt at europæiske regeringer reelt har ladet USA/UK aflytte deres befolkninger. Det har de gjort fordi de oplever at det er nødvendigt hvis man vil bekæmpe terror og seriøs kriminalitet som i meget høj grad udnytter elektronisk kommunikation. De har gjort det fordi de ikke ser andre muligheder.

Henrik og hans venner er ligeglade – for dem er det ligegyldigt at denne kriminalitet florerer (Henrik hjælper såmænd kriminelle ved at udstille Tor noder uden at interessere sig for hvad de bruges til). Jeg vil gerne have bekæmpelsen af denne kriminalitet ind under almindelig lovgivning. Specielt vil jeg gerne at det blive danske myndigheder der er styret af danske politikere som træffer beslutningerne. Når det er sket så ser jeg gerne at kommunikation ud af Danmark anonymiseres så meget det er muligt. Jeg ønsker at kun myndigheder som jeg kan influere med min stemme har mulighed for at overvåge danskere.

I praksis er kryptering hvirvlet ind i en masse andet snask. Du kan ikke stoppe teknologiens udvikling, så man er i praksis nødt til at arbejde med den nye verdensorden.

Det er jeg enig i. Men mit forslag er balanceret og rammer specielt kriminelle. Det kan gennemføres uden at trampe på folks rettigheder. Hvis du ser nogen specifikke problemer ved forslaget så vil jeg gerne høre det.

Chris Juneau

Michael.. Hvad i alverden har fået en mand med et udemærket teknisk begreb som dig, til helt at sælge ud? Især med de jobs du har haft, du må da vide hvor vigtig kryptering er.

Det virker som om du snakker helt forbi alt hvad er anerkendt krypterings teknologi. Mange af de ting du nævner er slet ikke mulige. Det hele er teoretisk og fint nok når det er udtænkt i dit hovede, men det kan aldrig virke i praksis, det tror jeg også godt du ved

Handler det her om at du vil tjene penge?

Er det der skoen trykker? Du forventer at tjene en masse penge på at normale borgere og virksomheder ikke kan bruge kryptering til at beskytte sig? Så giver det helt mening du har den holdning

"Man kan ikke lære en mand noget han er betalt til ikke at forstå""

Henrik Kramshøj Blogger

Så Rudd er en idiot? Fordi hun gerne vil beskytte befolkningen mod terrorister samt have værktøjer til at efterforske terrorist handlinger? Ikke i min bog. Man kan godt indrette et system som er balanceret både omkring muligheder for privacy samt for efterforskning i de fleste tilfælde.

Hvis man læser de kloge fyre som Henrik linker til, så er handler deres indvendinger om bl.a. exceptional access og problemer omkring virksomheders behov for privacy.

Hun er en idiot fordi hun lytter til en lille stemme der sagde, vis handlekraft - gør noget nu - selvom det ALTID er den forkerte reaktion på terror, hun er idiot fordi hun kastede sig så skråsikkert ind i en voldsomt kompleks verden, hun er en idiot fordi hun tror at hun blot kan opdigte fantasiscenarier og kaste dem ud til verden, hellige messias hun er en idiot!

Specielt den første det, med knee-jerk reaktion på terror BURDE hun som politiker være for god til. Så jeg står ved det skrevne.

Nå, men næste er så at du Michael Cederberg næsten straks efter begynder at plapre tåget snak. Det er næsten ikke til at bære. Så tak for de mange kommentarer som piller det fra hinanden.

Tak for en masse kommentarer, som jeg burde have læst og svaret mere på ... fortsæt!

Specielt vil jeg gerne sætte en 1000W lampe på Christian Nobels:

Eksempelvis anså besættelsesmagten de danske frihedskæmpere for terrorister, og ligeledes har f.eks. Tyrkiet en lidt anden holdning til hvornår en frihedskæmper kaldes for terrorist - så helt afhængig af bias er definitionen flydende.

Tak tak og tak. Jeg er ikke tyrkiet ekspert, men kravene til hvornår noget er terror og en person er terrorist i Tyrkiet er vist MEGET lave.

Michael C, hvis du vil noget i den her retning, så bliver mit første krav til dig! Du skal sørge for at poltikerne starter i egen andedam, altså de politiske områder, herunder definition af hvad der er terror og terrorister. Beskriver hvordan "oversight" af disse ting skal foregå, altså kontrolforanstaltninger. Forventninger til reaktionstid - du beskriver selv tunge processer, mens politikerne ønsker der reageres så snart der beskederne sendes!

Så FØR vi overhovedet kommer til de tekniske ting, så må politikerne vise de kan blive enige om hvad der skal foregå! DET evner de ikke, men fordi efterretningstjenesterne HVER FUCKING gang pusher agendaen så tror de at man ved et snuptag kan lovgive sig ud af det.

Så nu blev jeg både trist, og ked af det igen.

PS sådan lidt specifikt:
"Ingen virksomhed må udbyde end-to-end kryptering, med mindre de har indgående kendskab til mindst et af de to end-points."

Du ved godt der er noget der hedder open source? og du ved også godt der er krypteret information som sendes meget decentralt - som eksempelvis email? right right?

Hvis vi skal antage at terroristerne overholde lovene for at dine forslag virker, så har jeg en dårlig nyhed.

Henrik Kramshøj Blogger

Henrik og hans venner er ligeglade – for dem er det ligegyldigt at denne kriminalitet florerer (Henrik hjælper såmænd kriminelle ved at udstille Tor noder uden at interessere sig for hvad de bruges til).

Jeg er da bestemt interesseret. Derfor er den med eget navn, nem adgang til kontaktoplysinger, og disse abuse emails ryger direkte i min primære indbakke.

Jeg foretager også en løbende vurdering, og idet mine noder med relativt meget trafik genererer omkring 300 emails om året, hvoraf de fleste er banale bruteforce angreb rapporteret af fail2ban software - så vælger jeg at fordelene for internet og verden er større ved at køre dem. Faktisk svarer jeg på mange af disse henvendelser. Så Tor exit er en velovervejet form for aktivisme, ikke tilfældigt.

Kriminalitet forsvinder ikke, terror heller ikke. Alt efter optik så er det er spørgsmål om landet man er i og øjnene der ser. Vestens bombardementer og krigen i irak er i min optik en forbrydelse, fuck Anders Fogh!

Michael Cederberg

Michael.. Hvad i alverden har fået en mand med et udemærket teknisk begreb som dig, til helt at sælge ud? Især med de jobs du har haft, du må da vide hvor vigtig kryptering er.

Se det var et rigtigt godt spørgsmål. Jeg har ikke solgt ud. Jeg mener privatliv er vigtigt men jeg mener også at vi har brug for sikkerhed. Jeg er typen der altid forsøger at se tingene fra flere sider. Af samme grund kaldte jeg mit forslag for balanceret.

Jeg er ikke interesseret i at få en overvågningsstat. Jeg bryder mig ikke om den situation vi har nu hvor vi reelt er i lommen på USA/UK’s overvågningsapparat. Vi kan enten gå i retning af total privacy (som de fleste her advokerer) – det er lidt det som WhatsApp siger de leverer (vi ved ikke om det er rigtigt).

Vi kan også vælge en mere balanceret løsning og mit forslag gik i den retning. Det sikrer at alle mulige kan bruge teknologien til at udveksle hemmeligheder. Langt de fleste beskeder vil være almindelig talk, noget vil være politiske diskussioner, noget vil være kommercielle hemmeligheder og en meget lille del vil være kriminelle hemmeligheder.

Ved at lade domstolene styre sagen, så rammer man kun de kriminelle.

Det virker som om du snakker helt forbi alt hvad er anerkendt krypterings teknologi. Mange af de ting du nævner er slet ikke mulige. Det hele er teoretisk og fint nok når det er udtænkt i dit hovede, men det kan aldrig virke i praksis, det tror jeg også godt du ved

Fortæl mig hvilken del af mit forslag der ikke fungerer. Det kan alt sammen implementeres. Vi kan så diskutere hvilken effekt det vil have.

Handler det her om at du vil tjene penge?

Mine mål når jeg skriver på ing.dk eller version2.dk er rent altruistiske. Jeg tror på hvad jeg skriver. Men i alle samfundsforhold så skal man aldrig gå 100% i en retning, fordi det går altid ud over andre ting. Jeg kan i øvrigt fortælle at indtil for 7-8 år siden var jeg mere fanatisk i retten af privacy. Samfundets udvikling har fået mig til at ændre mening.

Nå, men næste er så at du Michael Cederberg næsten straks efter begynder at plapre tåget snak. Det er næsten ikke til at bære. Så tak for de mange kommentarer som piller det fra hinanden.

Lige som alle andre så har jeg ikke se en eneste kommentar som konkret forklarer hvad der er galt ved mit forslag. Du har en masse udenomssnak og ikke meget indhold (bortset fra det du skriver nedenfor om open source).

Tak tak og tak. Jeg er ikke tyrkiet ekspert, men kravene til hvornår noget er terror og en person er terrorist i Tyrkiet er vist MEGET lave.

Jeg håber personligt at den korrupte lomme-kalif i Ankara falder. Tyrkerne fortjener bedre. Og jeg håber rigtigt meget det bliver civilsamfundet der rammer ham. Men Erdogan har vist at han ikke er bange for at forbyde kommercielle applikationer, når de bruges mod ham (youtube). Der er således ingen indskrænkning i tyrkiske ”frihedskæmperes” mulighed for kommunikation. Hvis de vil kommunikere hemmeligt, så må de lave et privat kommunikationsnetværk. Helst et som skjuler deres hemmeligheder i almindelig kommunikation sådan at de bliver sværere at opdage.

Du kan så argumentere for at de kriminelle i Danmark vil kunne gøre det samme og det er helt rigtigt. Men de er forhåbentligt færre og har befolkningen mod sig. De vil således have sværere ved at operere, selvom det ikke er umuligt.

Michael C, hvis du vil noget i den her retning, så bliver mit første krav til dig! Du skal sørge for at poltikerne starter i egen andedam, altså de politiske områder, herunder definition af hvad der er terror og terrorister. Beskriver hvordan "oversight" af disse ting skal foregå, altså kontrolforanstaltninger. Forventninger til reaktionstid - du beskriver selv tunge processer, mens politikerne ønsker der reageres så snart der beskederne sendes!

Så længe politikerne ikke tror på at de kan holde befolkningen sikre uden alle de julenumre der i dag sker, så kommer de ikke til at indskrænke brugen. Så min ”løsning” vil være et skridt til at give myndighederne et (ikke specielt stærkt) instrument til at efterforske. Når de har tilstrækkeligt mange til at kunne holde befolkningen sikre, så tror jeg på at julenumrene kan stoppes. Jeg har ganske stor tillid til etikken hos vores politikere (langt de fleste af dem) – de er bare nødt til at balancere mange krav (i modsætning til bloggere).

Men første skridt til at få styr på dette område kunne være at gøre det strafbart for kommercielle virksomheder at udlevere privat information uden dommerkendelse. Ideen med det gennemsigtige pengeskab var analogt at befolkningen får mulighed for at følge med i hvad der sker.

Så FØR vi overhovedet kommer til de tekniske ting, så må politikerne vise de kan blive enige om hvad der skal foregå! DET evner de ikke, men fordi efterretningstjenesterne HVER FUCKING gang pusher agendaen så tror de at man ved et snuptag kan lovgive sig ud af det.

Jeg har alt mulig forståelse for at efterretningstjenester har brug for midler til efterforskning. Det er manglen på legale midler der gør at vi ser alle de julenumre der er i gang. Frasen ”Der er ingen grund til at tro, at der foregår ’ulovlig’ efterretningsvirksomhed” o.lign. som er brugt af mange ministre, dækker over at de har juraen på deres side til julenumrene.

Jeg vil have det ud i det åbne.

Du ved godt der er noget der hedder open source? og du ved også godt der er krypteret information som sendes meget decentralt - som eksempelvis email? right right?

Hvis vi skal antage at terroristerne overholde lovene for at dine forslag virker, så har jeg en dårlig nyhed.

Jeg har såmænd rodet med open source fra før det hed open source. Og jeg har intet imod at flere personer/virksomheder vælger at bruge open source produkter til at kommunikere krypteret. Faktisk vil ”would be terroristerne” ikke overtræde loven ved at drive et privat krypteret netværk. Kun hvis gjorde det i virksomhedsregi.

Det svære ved krypteret kommunikation er at udveksle nøgler på en sikker måde (og ja, jeg kender godt til public key). Jeg vil have at hvis du vil kommunikere sikkert med nogen, så skal du enten give dig til kende eller udveksle nøgler privat. På den måde har myndighederne noget at gribe fat i.

Det er meget tidskrævende for myndighederne at efterforske på den måde. Det er helt fint med mig, for det sikrer at den slags efterforskning kun bruges i de værste sager.

Kriminalitet forsvinder ikke, terror heller ikke. Alt efter optik så er det er spørgsmål om landet man er i og øjnene der ser. Vestens bombardementer og krigen i irak er i min optik en forbrydelse, fuck Anders Fogh!

Den der værdirelativistiske gang bavl kan du godt spare dig. Det leder direkte til retsstatens forfald, anarki og at de stærkeste kommer til at bestemme. Velkommen til Somalia!

Det vi ser som kriminalitet og/eller terror skal vi bekæmpe. Andre lande må vælge deres vej og nogen gange krydser vi så klinger med dem bl.a. pga. værdiforskelle.

Jesper Louis Andersen

Men mit forslag er balanceret og rammer specielt kriminelle. Det kan gennemføres uden at trampe på folks rettigheder. Hvis du ser nogen specifikke problemer ved forslaget så vil jeg gerne høre det.

Din løsning er umådelig svær at implementere i praksis. Men lad os antage at det lykkedes. Nu virker din dommerkendelse som en gating konstruktion. Lad os sige at Henrik (som jeg iøvrigt kender personligt, og overordnet er ret enig med på de her punkter) og jeg bruger libsodium til at lave os et public key pair og udveksler det af anden kanal. Så tager vi en 1-times session key hver og bruger den. Men inde i transportens payload, der krypterer vi med vores egne libsodium keys.

Uden en dommerkendelse ved du slet ikke at vi gør dette. Du kan ikke skelne datastrømmen på nogen måde. Med en dommerkendelse ryger du hurtigt i en prækær situation. Enten skal du afsløre at vi bliver aflyttet og dømme os for at bruge ulovlig kryptering. Eller også kan du bare lade stå til fordi du håber på at kunne knalde os for en anden forbrydelse. Under alle omstændigheder har vi fuld konfidentialitet i vores strøm af beskeder.

Et andet problem er at det kræver internationalt samarbejde. Ellers kommunikerer vi bare over en fremmed service, såsom WhatsApp eller Signal, og så hjælper en 1-times session key løsning næppe nogen.

Det er også vigtigt at overveje hvad man kan bruge en dommerkendelse-lukker-krypteringen-op løsning til. I forhold til afdøde mennesker kan det nogen gange være en fordel og komme på omtale. NemID har, udefra set, sådan en konstruktion (og det holder din OCES key i escrow - på trods af at escrow er helt dødt). Men nøgleindsigten er at det kun virker når folk har opført sig eksemplarisk og uheldigvis er død i en trafikulykke eller lignende. Det vil ligeledes beskytte forbrugeren mod at virksomheder misbruger deres informationer via aflytning. Kriminelle vil stort set køre udenom et system hvor det vides at man med en dommerkendelse i hånden kan åbne op for krypteringen. Terrorister er fuldstændigt ligeglade. De er på mission med livet som indsats. Kryptering virker som en lille bagatel i den forbindelse.

De knee-jerk reaktioner den daværende Bush-regering lavede er nogen af de værste der nogensinde er blevet udført. I stedet for at vurdere omfanget af terror, gik man all-in i en kamp der i bedste fald smadrer lovlydige borgeres privatliv fuldstændigt og skaber en kæmpe mistro mellem stat og samfundet som helhed. Mit bud er at vi skal arbejde nogen helt andre steder:

  • Indfør alt hvad Dan Geer har sagt.
  • Forbrugerrettigheder på internettet skal håndhæves.
  • Det er ikke i orden at almindelige mennesker betaler med deres data til Google og får "gratis" services til gengæld, når Google efterfølgende tjener styrtende på de data. Du kender ikke prisen for at have en gmail konto. Det er langt mere vigtigt at Vestager tager fat i denne problemstiling i EU-regi, end lidt konkurrenceforvridning.
  • Terror er en dårlig driver for IT-politik generelt. IT-kriminalitet bør i højere grad håndteres ved at have styr på økonomiske transaktioner, og via gængse opklaringsmetoder.
  • Staten bør have et CA
  • Dansk politik bør ikke foregå på en tilfældig amerikansk hjemmeside. Lars Løkke må ikke antage at folk har en facebook konto, hvis man skal have ham i tale over internettet.
  • Internettets interesser er pt næsten 100% varetaget af virksomheder. Det er et skift fra tidligere tider, hvor det at kunne udveksle data med hinanden var i fokus. Vi skal have ansat folk i staten der arbejder 100% omkring borgeren og ikke virksomhederne. API'er skal dø og protokoller skal genindføres.
  • Stasi skal stoppes. Nu.
Christoffer Kjeldgaard

Fortæl mig hvilken del af mit forslag der ikke fungerer. Det kan alt sammen implementeres. Vi kan så diskutere hvilken effekt det vil have.

Det vil ikke fungere. Ja, dit forslag kan implementeres; Men hvad afholder mig som kriminel fra, at kryptere min kommunikation end-to-end i den fine tunnel som kun domstolene kan dekryptere?

Derudover, siden al kommunikation skal kunne dekrypteres i en periode på 6 måneder skal al data i den periode ikke blot logges, men opbevares til senere analyse. Det er umuligt. Så er vi tilbage ved, at politiet, efterretningstjenesten, eller hvem det nu end er, skal have en konkret mistanke hvor et mål udpeges. Dernæst kræver det, at ingen kommunikation kan foregå uden autentifikation af en slutbruger, ellers ved du ikke hvem, eller hvad du aflytter - Hvordan kan du eksempelvis skelne mig som bruger fra millioner af andre brugere på den krypterede, og foriøvrigt lovlige VPN-forbindelse? - Det gør det principielt umuligt at kommunikere anonymt.

Derudover bør det påpeges, at hvis du tror din fjende lever i fremtiden, så kan din fjende leve sikkert i fortiden. Kriminelle kan kommunikere mund til mund eller via old-school deaddrops sikkert, fordi vi har forsamlingsfrihed og det indtil videre ikke er ulovligt at smide hvad der tilsyneladende er affald ud.

  • Så hvor stopper det? skal vi ofre forsamlingsfriheden og indføre total-overvågning i bybilledet efter samme princip? Hvad med lokale check-points langs vejen? vi skal jo vide hvem du er, hvor du tager hen og hvem du snakker med - just in case, you know!
Henrik Kramshøj Blogger

Den der værdirelativistiske gang bavl kan du godt spare dig. Det leder direkte til retsstatens forfald, anarki og at de stærkeste kommer til at bestemme. Velkommen til Somalia!

Det vi ser som kriminalitet og/eller terror skal vi bekæmpe. Andre lande må vælge deres vej og nogen gange krydser vi så klinger med dem bl.a. pga. værdiforskelle.

Jeg mener eksemplet med Anders Fogh og andre tilsvarende tydeligt viser at vi IKKE skal give køb på rettigheder - for politikerne i vores vestlige demokratier bør slet ikke have disse redskaber. De kan ikke håndtere det, de har simpelthen ikke vores tillid.

Nu fik du sagt din mening om Erdogan, det er vi heldigvis enige om.

Så skal Erdogan han samme adgang til data som Amber Rudd plæderer for? De har jo haft en del bomber i Tyrkiet, og der er en masse døde som følge heraf? Hvis du laver et redskab så tænk på at du potentielt giver til det både Erdogan og Kristian Thulesen Dahl.

Så det er for nemt at sige, TERROR, den eneste løsning er at give køb på alle sikkerhedstiltag gennem +20 år! Heldigvis har vi kæmpet imod i samme +20 år, og fortsætter! Kald det cryptowars 2.0, kald det politikere imod IT-sikkerhed - for det er hvad det er.

Vi snakker om at det er politiske problemer som i min optik er næsten umulige at få på plads, og selv hvis de kom på plads, kunne det kortsluttes med få beslutninger - DERFOR er det så farligt at pille ved kryptering!

Vi ser rent faktuelt en glidebane hvor data der opsamles til TERROR, pludselig bruges til andre mindre alvorlige forhold. I dansk sammenhæng har man siden rockerloven, den efter Tvind der havde fuld disk kryptering, tillader at man inficerer PC systemer med malware - selv i skattesager! Er det rimeligt?

PS hvis der er nogen som stadig ikke har læst de første 4 sider af Keys Under Doormat PDf, så gør det lige. Det ER nogle af verdens dygtigste hjerner der sætter fingeren direkte på problemet.

Michael Cederberg

Din løsning er umådelig svær at implementere i praksis.

Jeg har svært ved at se hvorfor det skulle være svært at lave i praksis.

Lad os sige at Henrik (som jeg iøvrigt kender personligt, og overordnet er ret enig med på de her punkter) og jeg bruger libsodium til at lave os et public key pair og udveksler det af anden kanal. Så tager vi en 1-times session key hver og bruger den. Men inde i transportens payload, der krypterer vi med vores egne libsodium keys.

Jeg har ikke noget problem med at I gør det. Så længe I skal mødes fysisk så for at udveksle nøgler i starten så har jeg ikke noget problem med det. I kan også se om I kan finde et website der kan hjælpe jer (et I tror er drevet af personer der har sympati for jeres skumle forehavende). Det har jeg heller ikke noget problem med.

Pointen er at det giver myndighederne noget at gå efter, såfremt en af jer holdes under opsyn. Uden at det i øvrigt rammer alle andre.

Et andet problem er at det kræver internationalt samarbejde. Ellers kommunikerer vi bare over en fremmed service, såsom WhatsApp eller Signal, og så hjælper en 1-times session key løsning næppe nogen.

Vi kommer ikke uden om internationalt samarbejde – det sikrer i sig selv at den slags ikke løber løbsk.

Kriminelle vil stort set køre udenom et system hvor det vides at man med en dommerkendelse i hånden kan åbne op for krypteringen. Terrorister er fuldstændigt ligeglade. De er på mission med livet som indsats. Kryptering virker som en lille bagatel i den forbindelse.

Jeg er kun ud på at ramme den initiale udveksling af nøgler. Resten kan man ikke gøre noget ved på denne måde.

Forbrugerrettigheder på internettet skal håndhæves.

Det vil jeg også gerne. I praksis er EU det bedste eksempel på internationale forbrugerrettigheder. Jeg har svært ved at se noget større end det.

Det er ikke i orden at almindelige mennesker betaler med deres data til Google og får "gratis" services til gengæld, når Google efterfølgende tjener styrtende på de data. Du kender ikke prisen for at have en gmail konto. Det er langt mere vigtigt at Vestager tager fat i denne problemstiling i EU-regi, end lidt konkurrenceforvridning.

Jeg mener Vesteragers aktioner er fantastisk vigtige. Det andet problem adresseres en smule med de nye GDPR regler. Men nogen skal betale for din search provider, email service og dit sociale netværk. Jeg så gerne at vi fik nogle open source løsninger der kunne fungere ”federated”. Email er en no-brainer. Search kan også godt laves. Sociale netværk er sværere.

Men hvis vi skal komme nogen vegne på dette område, så skal befolkningen efterspørge det. Det kan ikke laves med lovgivning. Og folk skal være villige til at betale for det (og det er de ikke nu).

Dansk politik bør ikke foregå på en tilfældig amerikansk hjemmeside. Lars Løkke må ikke antage at folk har en facebook konto, hvis man skal have ham i tale over internettet.

Politikere kommer der hvor befolkningen er. Lav et alternativ. Det vil jeg og andre sætte meget pris på. Jeg betaler gerne for en service der ikke snager i mit privatliv, men jeg er ikke sikker på at andre er villige til det samme.

Mere pragmatisk, så kunne man lave en browser som forhindrede google og facebook i at tracke os rundt på internettet. Hvis der var en cookie-container per website (styret af den url det står i adresse feltet i browseren), så kunne google og facebook smide så mange cookies de måtte have lyst til.

Det vil ikke fungere. Ja, dit forslag kan implementeres; Men hvad afholder mig som kriminel fra, at kryptere min kommunikation end-to-end i den fine tunnel som kun domstolene kan dekryptere?

Som sagt har jeg ikke noget problem med det. Men du skal finde en måde at udveksle nøgler med dine kumpaner som du stoler på. Såfremt politiet allerede kender dig, så har de en chance for at finde ud af hvem de andre er. Derfra er vi tilbage ved almindeligt politiarbejde.

Derudover, siden al kommunikation skal kunne dekrypteres i en periode på 6 måneder skal al data i den periode ikke blot logges, men opbevares til senere analyse. Det er umuligt.

Jeg har ingen holdning til retention periode. De 6 måneder gik på at myndighederne inden 6 måneder skulle offentliggøre at de havde bedt om adgang. Såfremt myndighederne har grunde til ikke at offentliggøre dette så kan de bede en dommer om en 6 måneders udsættelse. Ideen var at befolkningen skal kunne følge med i hvordan og hvor meget disse muligheder udnyttes af myndighederne.

Mht. hvad der gemmes, så er hovedkravet blot at det er metadata. Tjenester der har en ”tekst besked” funktion skal også gemme beskederne. Det behøver ikke fylde så meget. Jeg gætter på at de fleste tjenester allerede gør det i forvejen. Mit krav er at det skal gemmes krypteret sådan at man ikke lige kan komme til data (en forbedring i forhold til i dag, selvom GDPR i praksis også vil kræve det).

Så er vi tilbage ved, at politiet, efterretningstjenesten, eller hvem det nu end er, skal have en konkret mistanke hvor et mål udpeges. Dernæst kræver det, at ingen kommunikation kan foregå uden autentifikation af en slutbruger, ellers ved du ikke hvem, eller hvad du aflytter - Hvordan kan du eksempelvis skelne mig som bruger fra millioner af andre brugere på den krypterede, og foriøvrigt lovlige VPN-forbindelse? - Det gør det principielt umuligt at kommunikere anonymt.

Som sagt, så skal tjenesten du bruger kende dig. Hvis politiet allerede ser dig som en trussel så vil de være interesseret i hvem du kommunikerer med – hvis de kan overtale en dommer til at afsløre det så kan de få adgang. Det er således ikke masseovervågning – det handler om at der skal være en konkret mistanke.

Derudover bør det påpeges, at hvis du tror din fjende lever i fremtiden, så kan din fjende leve sikkert i fortiden. Kriminelle kan kommunikere mund til mund eller via old-school deaddrops sikkert, fordi vi har forsamlingsfrihed og det indtil videre ikke er ulovligt at smide hvad der tilsyneladende er affald ud.

Hvis fjenden lever i fortiden så ved vi hvordan vi bekæmper ham. Det har jeg ikke noget problem med. Jeg er ikke ude på at lave en silverbullet. Jeg vil gerne give myndighederne mulighed for at starte en efterforskning, men jeg har ingen interesse i at gøre alting nemt for dem. For så løber det løbsk.

Jeg mener eksemplet med Anders Fogh og andre tilsvarende tydeligt viser at vi IKKE skal give køb på rettigheder - for politikerne i vores vestlige demokratier bør slet ikke have disse redskaber. De kan ikke håndtere det, de har simpelthen ikke vores tillid.

Du er allerede underlagt deres ideer. De kan lave disse redskaber. Med mindre du vil starte din egen milits og løsrive dig fra Danmark så undgår du det ikke. Men hvis du kan overbevise resten af befolkningen om at Anders Fogh eller andre gjorde noget galt så kan I vælge nogen andre ledere. Det er sket før. Personligt syntes jeg at Fogh var en stor politiker og der gjorde mange ting rigtigt.

Så skal Erdogan han samme adgang til data som Amber Rudd plæderer for? De har jo haft en del bomber i Tyrkiet, og der er en masse døde som følge heraf? Hvis du laver et redskab så tænk på at du potentielt giver til det både Erdogan og Kristian Thulesen Dahl.

Hvis den anatolske gedehyrde kan overbevise en domstol i Mountain View om at han skal have adgang til data, så får han det. På samme måde som han kan få Fethullah Gülen udleveret hvis han kan overbevise føderale domstole om at Gülen har gjort noget kriminelt i Tyrkiet som også er kriminelt i USA.

Både frihedskæmpere, kriminelle, terrorister og almindelige borgere vælger selv hvilken lovgivning de ønsker at være underlagt. Terrorister vil måske vælge en service drevet af IzNoGood som hostes et sted hvor der ingen regler er. De vil på den måde afsløre sig selv.

Log ind eller opret en konto for at skrive kommentarer