Handsken er kastet...
Der existerer et internationalt samarbejde under navnet "De fem lande", bag denne intetsigende betegnelse gemmer sig USA, UK, Australien, New Zealand og Canada og strukturen er formaliseret og ratificeret i den såkaldte "UKUSA agreement"
UKUSA er gammelt gods, det starter helt tilbage i anden verdenskrig og har stille og roligt vokset sig større og større.
Undervejs tilsluttede flere andre lande sig som "third parties", herunder Danmark.
Edward Snowden afslørede præcis hvor omfattende en aflytning der foregår af alverdens befolkning i UKUSA regi.
IT-liberalisterne tog sagen i egen hånd gav sig til at tvangskryptere al den trafik de kunne slippe afsted med og så troede de den ged var rundbarberet...
Her er hvad UKUSA's minstermøde skriver med åben pande i referatet af deres møde denne uge:
"3. Freedom of choice for lawful access solutions
The Governments of the Five Eyes encourage information and communications technology service providers to voluntarily establish lawful access solutions to their products and services that they create or operate in our countries. Governments should not favor a particular technology; instead, providers may create customized solutions, tailored to their individual system architectures that are capable of meeting lawful access requirements. Such solutions can be a constructive approach to current challenges.
Should governments continue to encounter impediments to lawful access to information necessary to aid the protection of the citizens of our countries, we may pursue technological, enforcement, legislative or other measures to achieve lawful access solutions."
Det er faktisk en utrolig høflig måde at kalde den omsiggribende kryptering for "selvtægt".
phk
- Danmarks største job- og karrieresite for ingeniører og it-professionelle.
Må jeg ikke i al stilhed opforde til at man i almindelighed undlader at bruge øgenavne, som 'net-kommunister', 'sølvpapirshatte' og 'IT-liberalister', om dem som man ikke forventer at være enige med - og i særdeleshed undlader at profilere dem, som f.eks. værende 'barnløse' eller på anden måde uerfarne eller naive?
Alternativet er, at debatten hurtigt bliver et spørgsmål om at ride kæpheste fra allerede etablerede og befæstede positioner, og det er ikke særligt interessant.
Det er ingen nyhed, at de selvudråbte ledere af den såkaldte 'frie verden' er i fuld galop væk fra de oprindelige idealer (og har været det i lang tid, men aldrig så åbenlyst som nu).
Min anbefaling til dem i front vil være at kigge bagud og sikre, at alle er med - det vil ikke være rart at stå isoleret og relativt ensom et helt andet sted, og i selskab med dem, som man ellers historisk set, og af gode grunde, har prøvet at distancere sig fra.
Og min anbefaling til alle andre er, at løfte blikket og overveje hastighed og retning, og ikke bare blindt følge med. Vi har forhåbentlig stadig et valg, selvom betonen er begyndt at hærde til fundamentet for et driftsklart diktatur.
Lidt et filosofisk spørgsmål, hvad kom først:
1) Beskyttelse mod magthavernes snagen eller
2) Magthavernes snagen ?
Jeg vil overholde regel #1, og ikke fortælle hvad du mener.
Men i lyset af dine tidligere tilkendegivelser, må jeg fortolke dit indlæg som en støtte til de fem lande imod kryptering.
Jeg skal medgive at du har skaffet dig en udvej ved at sætte ordet selvtægt i "".
At folk vælger at kryptere, er ikke selvtægt.
Det er ikke engang nødværge.
Det er - slet og ret - rettidig omhu, på linie med at huske at låse sin dør, ikke at efterlade en post-it seddel med sit password, osv.
Kryptering er ikke ulovligt, - det er ikke engang umoralsk eller xenofobisk.
Og dét skal vi stå fast på.
K
Hvordan forestiller de sig at dette rent praktisk skal foregå?
Har de fem lande tænkt sig at gøre feks. AES og RSA, ssh, gpg, openssl, OpenVPN, AES mv ulovligt, også for firmaer internt og for privatpersoner?
Bliver tilfældige data også ulovlige da de ikke kan skelnes fra krypterede data og/eller kan bruges til one time pad?
Det er noget vi allerede har hos vores internetudbyder. I Danmark betyder det "med dommerkendelse" og det sker kun en håndfuld gange årligt.
Kryptering virker.
Og med de tiltag som seriøse firmaer og flere og flere enkeltpersoner tager, i forhold til at bibeholde retten til et privat lib. Så vil den blive indført flere og flere steder på alle type af enheder.
Så den datamængde som "nemt" kan høste bliver mindre og mindre.
Lad os håbe at den også ender op med null. Så det kun aktiv kan betale sig at lave en overvågning af enkelte individer og grupper efter en dommerkendelse.
Det vi ser nu, er en efterretningstjeneste som er i panik. De kan ikke længere sidde på deres røv og lade CPU'er klare deres arbejde . Og den eneste måde de kan få deres gamle liv tilbage, er ved at følge Kina, Iran og NordKoreas eksemple. Det forsøger de så også at få indført, med FUD og misinformation på alle måder
Gode nøgleord er - Rusland, Børneporno, Terrorisme, Trusler, Død, ...
Selv om mange også stadig vælger at leve deres liv på nettet via facebook, så har de seneste tider afsløringer også sat sig sine spor. Så og helt almindelige mennesker er blevet forsigtige og er begyndt at tænke sig om.
Når så også at der er kommet værktøjer der som standard beskytter og kryptere bruger, så ser vi heldigvis at udbredelser stiger i rigtige Demokratier.
Men du har nok ret i at vi skal stå af toget mod beton diktaturet. Men jeg tror stadig ikke, at der blandt de "5 "ikke også er nogle som ser glidebanen mod diktaturet og et samfund som er langt være end noget Orwells kunne forestille sig.
New Zealand og Canada er endnu ikke fuldt udviklet politistater, hvor størstedelen af det statslige budget bruges på sikkerhed, fængsler ,overvågning og militær. De mener stadig at det er langt bedre at sikre sig at deres alle deres borger har adgang til primær hospitalsvæsenet og uddannelse, end at have alle deres borger overvåget.
https://www.version2.dk/artikel/lovforslag-australien-10-aars-faengsel-a...
https://www.theguardian.com/uk-news/2014/jan/31/footage-released-guardia...
De kan vel TVINGE bredbånds selskaberne til at blokerer for enhver form for kryptering, de 5 udgør en betragtelig del af vestlige "ALTERNATIVT BEGAVEDE" magthavere, og størstedelen af IT udvikling kommer mest fra en af disse 5. Kik bare på hvilken retning tingene er gået de sidste par år, hvor det er gået MEGA stærkt med angrebene på borgeres rettigheder !
Det er (næsten pr. definition) ikke muligt at skelne mellem "tilfældige data", "data vi ikke kender" og "krypteret data". Det er jo ikke sådan at krypteret data har en "krypteret: yes" header eller noget. En firewall der blokerer ukendte protokoller findes vist heller ikke. Jeg tror ikke dette er muligt.
Og "de fem" mener vist ikke at man slet ikke må kryptere, kun at "nogen" skal have en kopi af nøglerne eller en bagdør. For ellers er f.eks.al internethandel jo stendød, og så langt vil de vist helst ikke gå.
Jo, det gør de, desværre. Sidst i 90erne da firmaer begyndte at komme på internettet så kom der flere firewalls som blokerede alt andet end DNS og HTTP "for en sikkerheds skyld". Det saboterede RTP, FTP, SSH, osv. og nye protokoller. Det medførte at flere protokoller blev kapslet ind i HTTP for at komme igennem firewalls, med lavere effektivitet som følge. Men det fremhæver også en pointe (som du måske forøgte at komme med): man kan indkapsle nye/ukendte protokoller i eksisterende protokoller. Det kræver DPI for at fastslå at indholdet ikke er det, som man tror det er. Groteske eksempler jeg kan mindes:
- IP over DNS
- VPN over HTTP
- json-notifikationer over websockets over HTTPS
- CORBA over SSH-port-forwarding på port 80
Jeg er enig med dig i at man i praksis ikke kan blokere ukendte protokoller - kun kendte.
Jeg bruger ikke IT-liberalister som "øgenavn", men som en præcis beskrivelse af de personer der primært driver "kryptering over det hele" kampagnen.
Jeg er yderlige langt hen ad vejen enig med deres mål, men tror de griber sagen helt forkert an, hvis de agter at nå dem.
Det med "de oprindelige idealer" bliver du vist nødt til at forklare, for jeg kan ikke finde skyggen af noget ideal vedr. hemmeligholdt kommunikation ?
Tværtimod, hele vejen fra romerriget og frem er det tydeligt at ingen stoler på at nogen kommunikationkanal er uovervåget ?
Det er her det bliver lidt speget, ikke ?
Hvis IT-liberalisterne havde holdt sig til at kryptere deres egen trafik ville du have ret.
Men det gør de ikke De tvinger alle mulige andre til at kryptere deres trafik. Du mister f.eks point i Googles og Bings søgninger hvis din site ikke er krypteret - også hvis der er gode grunde, som f.eks ulovlighed, til ikke at bruge HTTPS.
Jeg tror de fortsætter i det spor vi allerede ser:
Firmaer der ikke makker ret ryger ind i adminstrativt bøvl ("enforcement")
Folk der ikke dekrypterer når retten beder om det ryger i fængsel "ind til de makker ret"
Spærring og ulovliggørelse af "udenlandske" services (Fra Kinas firewall til DK's DNS blacklist)
Og som altid: Jo større modstand du gør, jo større magt bliver bragt i brug.
Jeg vil undlade ord som "IT-liberalister" og holde mig til de mere neutrale betegnelser som staten og borgerne.
EU-Domstolen har klart sagt, at generel adgang til indholdet af elektronisk kommunikation krænker det væsentligste indhold af den grundlæggende ret til privatliv.
Eller sagt på anden måde: det må staten ikke (da alle begrænsninger af grundlæggende rettigheder efter Charteret skal respekteret det væsentligste indhold, jf. artikel 52, stk. 1).
Det er meget muligt at skumle tjenester i regi af "Five Eyes" gerne vil analysere indholdet af al kommunikation. Men det må de ikke.
Vi har også EU-Domstolens ord for, at en generel og udifferentieret logning overskrider grænsen for det strengt nødvendige i et demokratisk samfund. Altså: logning af alle er ulovligt.
Gør det noget indtryk på vores Justitsminister? Nope, han fortsætter bare med sine ulovligheder som om intet var hændt.
Hvis der er nogen som begår selvtægt, så er det altså staten, herunder Søren Pape Poulsen.
Det er ikke borgerne, som med fuld lovlig kryptering blot beskytter deres kommunikation mod deres egen stat (der begår selvtægt), fremmede stater og kriminelle organisationer.
Vi lever i en retsstat med grundlæggende rettigheder, hvor regeringen ikke har ubegrænset magt, blot fordi den har et flertal i Folketinget.
Desværre er vi kommet dertil, hvor EU-Domstolen og Den Europæiske Menneskerettighedsdomstol gentagne gange må minde de demokratisk valgte politikere om, at de overskrider grænsen for hvad der er acceptabelt i et demokratisk samfund.
Jesper Lund
Formand, IT-Politisk Forening
Som det sig hør og bør.
Men med HTTPS end2end og certificate pining, er ISP'en sat udenfor døren og dommerkendelsen skal i stedet sendes til en eller anden stor ansvarsfri skatte-unddragende off-shore konstruktion overfor hvem ingen jurisdiktion har magt.
Hvad skal Retten i Glostrup gøre, hvis et firma fra de Hollandske Antiller nægter at efterkomme en dommerkendelse ?
Hvad kan Retten i Glostrup gøre ?
Der er "vi leverer ubrydelig krypteret kommunikation" virksomheder der har flyttet både tre og fire gange, til stadig mere obskure lokaliteter, for ikke at skulle reagere på en dommerkendelse fra Glostrup eller Washington DC.
Du antager her implicit, at du har en ret til at transmittere tilfældige data ?
Jeg vil tro at du kan forsvare en sådan ret, hvis du personligt, med din egen hjerne, har produceret de tilfældige data.
Hvis du fik en computer til at spytte dem ud er de ikke omfattet af din ytringsfrihed.
Og det er i denne sammenhæng inderligt ligegyldigt...
Ministrene skriver udtrykkeligt "Lawful access" uden at specificere præcis hvad det dækker, for detaljerne er uinteressante, når det er lovligt.
Hvis det i USA er lovligt (som i: "Der er en lov der tillader/pålægger NSA at ...") at aflytte gud og hvermand i hele verden (og den lov findes, det står ordret i den lov der oprettede NSA), så er det "Lawful access" set med USAs øjne.
Hvis en Engelsk domstol (inden 29 marts) udsteder en specifik og målrettet dommerkendelse, i pagt med EU-Domstolens retningslinier, så er det "lawful access" set med engelske øjne.
Og dermed kommer vi til sagens kerne: Hvis folk vil have en menneskeret til privacy, så skal lovene laves om.
At kaste kryptering på alle bit der bevæger sig, hvor fornuftigt det end kan være af alle mulige andre årsager, gør ikke aflytning, målrettet eller med totalaflytning, ulovlig.
Tværtimod, at kaste kryptering på alle mulige steder i trods mod love man ikke kan lide, medfører bare nye og endnu mere drakoniske love, der skader langt mere end de gavner.
Hvad kan five eyes gøre? Softwaren findes og er tilgængelig. Alle har den. Aktører udenfor rettens lange arm er ligeglade, uanset hvem der forsøger at lave reglerne.
Det ligner en gentagelse af da kun 40 bit kryptering var lovlig for ikke amerikanere. Det grinte vi også af.
Øh? Retten til privatliv er en menneskeret.
Vi har artikel 8 i EMRK.
Vi har artikel 7 og 8 i Charter om Grundlæggende Rettigheder, som er en del af EU-Traktaten. EU-lovgivning som står som bekendt over dansk lov på den områder, hvor EU kan lovgive efter traktaten, herunder beskyttelse af elektronisk kommunikation.
Vi har også domstole i Strasbourg og Luxembourg, som kan afsige domme efter dette retsgrundlag.
Vi har stater, som har forpligtet sig til at efterleve disse domme.
Vi kalder alt dette den europæiske retsstat, og ved passende lejligheder glæder vi os over, at det har været med til at skabe fred i Europa efter en mørk tid i første halvdel af det 20. århundrede.
Det eneste vi mangler er at politikere som Søren Pape Poulsen stopper deres ulovlige selvtægt mod den europæiske retsstat og begynder at overholde loven.
Ja ?
Men hvad er det nu præcist det dækker ?
Er det retten til at beskytte dine personlige ejendele imod ulovlig inspektion, eller er det en absolut ret til at give Retten i Glostrup fingeren uanset hvad de kommer med ?
Alle dine menneskerettigheder, uanset hvorfra du afleder dem, kommer med fodnoter om at at "samfundets funktion", "nødvendig for den offentlige sikkerhed" osv. osv.
Disse undtagelser er alle lovfæstede og det er dem der gør "lawful access" lovlig.
Hvis du mener "lawful access" er for vidtgående, må du slæbe loven eller regeringen for retten (Således som det nu sker med TDC's statskontrakt på at levere overvågningsoplysninger til NSA.)
Her er den oprindelige definition:
https://www.version2.dk/artikel/poul-henning-kamp-https-hele-vil-tvinge-...
Hvis ikke det er et øgenavn, så er det i hvert fald fordomsfuldt.
Lawful access som "aflytning" er et tvangsindgreb, som under visse betingelser giver staten ret til at skaffe sig adgang til kommunikation, som i udgangspunktet er beskyttet af retten til privatliv. Hvis der altså er noget at få adgang til. Det er ikke et teknisk mirakelmiddel, som gør vand mindre vådt.
Måske er kommunikationstjenesten designet med end-to-end kryptering, og så er der alene en krypteret datastrøm, som staten kan få adgang til. Måske går de personer, som aflyttes med rumaflytning, ud i haven når de skal tale sammen, og så kommer der ikke så meget ud af en kendelse om rumaflytning.
Skulle en stat komme med et generelt forbud mod krypteret kommunikation, som Five Eyes sikkert drømmer om (ligesom i "gamle dage", aka før Snowden, hvor de kunne aflytte os alle uden kendelse), eller et krav om obligatoriske bagdøre, er jeg temmelig sikker på, at staten vil blive slæbt for domstolene. Det vil være et generelt og udifferentieret indgreb i retten til privatliv. Masseovervågning, med et andet ord.
Five Eyes staterne rasler lidt med sablen og prøver at overtale udbydere af elektroniske kommunikationstjenester til frivilligt at lave bagdøre.
Men her kommer virkeligheden på tværs igen, gør den ikke ?
Den eneste business-model der kan virke for en sådan tjeneste er at folk faktisk betaler for at bruge den: Der er ingen mulighed for at gøre kunden til varen med mindre man lyver.
Hvis du tager penge for at flytte andres bits men nægter at give "lawful access" kommer vi igen til ordet "enforcement" i ministrenes udmelding.
Enforcement kunne f.eks være at klassificere og regulere din virksomhed som "telco", hvilket i alle lande jeg kender medfører en pligt til at give adgang til "lawful access".
Og hvis du tror at du kan slippe ud af den kattepine ved at flytte din virksomhed til Elbonien, er jeg sikker på at der under "other measures" gemmer sig et stort antal kreative muligheder.
Uanset hvordan du vrider og vender dig, så er den eneste måde at opnå en ret til privat telekommunikation, at få denne ret skrevet ind i en lov hvor den bliver uskadt stående, dvs. en Grundlov.
At klistre ting ind i kryptografiske algoritmer gør det ikke i sig selv.
Hvad er problemet med det? Det kræver dommerkendelse at etablere aflytning hos telco'er. Set herfra er der ikke det store problem i at myndighederne, med dommerkendelse, kan etablere aflytning af en mistænkt hos Google, Facebook etc.
En bagdør, så det kan ske uden dommerkendelse, vil derimod blive kendt ulovligt, præcist ligesom det er sket for logningsbekendtgørelsen.
Ah, den er nem nok. Det gjorde "magthavernes snagen". By far. Vi er nogle, som er gamle nok til at huske ECHELON.
Men interessant for denne diskussion er, at det ikke førte til dit pkt. 1, og i virkeligheden, så tror jeg ikke, at man skal se den megen snak om privatliv og digitalt selvforsvar i det lys. Der er berettigede undtagelser rundt omkring i verden, hvor opposition bliver forfulgt, og dem bør vi rejse os af sofaen for at hjælpe, men sandt at sige, så er der nogle helt andre, som vi først og fremmest bør beskytte os selv imod. "Overvågningsøkonomi" og overivrige politikere og sagbehandlere ... og forskere med "tag-selv" holdninger.
Da det gik op for Google, at staterne lyttede med på søkabler o.lign., så begyndte de at kryptere deres trafik. For at beskytte deres egen forretning, ikke for at beskytte os. Så det er først i forbindelse med overivrigt snagende teleselskaber, hotspot udbydere, netaviser og erkendelse af at såkaldt sociale medier ved mere om os end vi selv og vores nærmeste, at end-to-end kryptering, HTTPS og VPN sådan rigtigt er slået an. Også for at beskytte imod malware og anden form for manipuleret indhold.
Bevares, firmaerne har længe set behovet, men det skyldes mere, at spionage kun undtagelsesvis har med sikkerhed at gøre, og mere med at beskytte nationale kommercielle interesser. Forretningshemmeligheder har længe været "legitime" mål for nationale "efterretningstjenester".
Så man kan sige, at de hemmelige tjenester nu ligger, som de har redt. De forpassede muligheden for at passe på os, og berusede sig i stedet i de næsten uendelige muligheder. Og når de ikke passer på os, så må vi selv gøre det.
Derfor deler jeg gerne tudekiks ud her. I stedet for at sidde på kontoret, så må de igen ud og lave målrettet overvågning. Det er jeg ikke i tvivl om, at de er rigtigt gode til, og at mulighederne i dag er langt større med fiberkameraer, mikro-elektronik, trådløs kommunikation og statstrojanere ... medmindre at de faktisk er blevet fede og dovne.
Enforcement, som du kalder det, skal have hjemmel i en lov. Det er ikke nok, at et par anonyme Five Eyes repræsentanter udtaler til medierne, at de gerne ser, at der altid er teknisk mulighed for at få adgang til plaintext indholdet af kommunikation.
Det er ikke utænkeligt, at en stat somewhere vil prøve at indføre et lovkrav om at udbydere af elektroniske kommunikationstjenester ikke må lave sikker end-to-end kryptering. Måske er der allerede nogen som har gjort det. I UK diskuteres det, om de såkaldte Technical Capability Notices i Investigatory Power Act udgør et sådant krav.
Det er ikke specielt nemt at svare på, fordi dele af lovteksten omkring TCN i IP Act reelt er hemmelig. På Defcon 2018 var der vist nogle rygter fremme om, at UK havde forlangt en eller anden type bagdør i to navngivne kommunikationstjenester (Telegram og en anden, så vidt jeg husker).
Europæiske stater, som vil prøve at lovgive på denne måde, står over for mindst fire problemer
1) Risiko for at indgrebet strider mod grundlæggende rettigheder, og at de vil tabe en retssag i Strasbourg eller Luxembourg. Det vil næppe bekymre dem videre i første omgang.
2) Cybersikkerhed. Alle stater vil gerne have en bagdør til sig selv, men andre stater eller kriminelle må helst ikke kunne udnytte det. Denne type bagdør eksisterer bare ikke, derfor er der både fordele og ulemper for staten ved at begrænse brugen af kryptering. Måske kan et par ekstra forbrydelser opklares. Men måske fremmer man cyberkriminalitet så meget, at tilliden til den digitale økonomi ødelægges?
3) Territorialitet. Britisk lov gælder i UK, men særligt med internettet er det nemt at udbyde tjenester i andre lande. Så hvad nu hvis det kun er UK, som indfører lovkrav om bagdøre?
Med Investigatory Powers Act prøver UK temmelig aggressivt at presse citronen i forhold til at udvide britisk lov til at gælde i hele verden. Den type initiativer fungerer dog generelt bedst, hvis der er tale om håndhævelse som UK selv kan udføre uden andre staters assistance, fx masse-hacking (eller "bulk equipment interference", som det så smukt hedder i Investigatory Powers Act).
Det er mere tricky, når man skal have assistance fra andre stater. En domstol i Saudi Arabien kan godt afsige dom om at Jyllands-Posten skal forbydes, men jeg tror ikke at danske myndigheder vil hjælpe.
4) Skulle det virkelig lykkes at begrænse udbuddet af elektroniske kommunikationstjenester med sikker end-to-end kryptering, enten via lovgivning ala TCN i IP Act (UK) eller "nudging" mod tjenesterne (fx at end-to-end kryptering skal aktiveres manuelt for hver samtale, som man vist skal i Facebook Messenger?), vil det reelt ikke løse de problemer, som kryptering måske kan skabe for politiet. Folk kan bruge OTR i en messenger service med bagdøre, og så er der sikker end-to-end kryptering (lawful intercept leverer en OTR'ed tekststrøm). Det er heller ikke specielt svært at opsætte sin egen XMPP server og køre OTR el.lign. over den. Eller Tor-baserede "serverless" services som Ricochet.
For Five Eyes typerne er det selvfølgelig lige meget. De er bare interesseret i at kunne overvåge hele befolkningen, og selv om de ikke får 100%, så er 99% også godt for dem. Uskyldige borgere vil blive masseovervåget af Five Eyes, som i gamle dage før Snowden, og uskyldige borgere vil være nemme ofte for cyberkriminalitet. Men i forhold til organiseret kriminalitet vil det ikke gøre nogen videre forskel.
Det er fuldstændigt grotesk, at Five Eyes trækker "lawful intercept" kortet, eftersom intet af det som Five Eyes laver er lawful intercept baseret på en forudgående mistanke. Five Eyes efterretningstjenesterne laver bare illegitim masseovervågning af os alle sammen, og nu er de sure over at deres magtmisbrug blev afsløret af Snowden.
Men åbenbart ikke gammel nok til at have hørt efter i historietimerne ?
Magthaverne har snaget siden skriftlig kommunikation blev opfundet.
Post&Tele museet havde for nogle år siden en glimrende udstilling om netop den systematiske undersøgelse af post fra magthavernes side.
Gæt f.eks hvorfor al udlandstelefoni plejede at skulle igennem Borup Alle, selv hvis det drejede sig om et fast kredsløb fra Åbenrå til Flensborg ?
Eller har du overvejet hvorfor Grundloven indeholder "[...]brud på post-, telegraf- og telefonhemmeligheden må, hvor ingen lov hjemler en særegen undtagelse, alene ske efter en retskendelse. " ?
Har du overvejet hvorfor de personer, som du kalder IT-liberalister, er så glade for EMRK og EU Charteret og generelt ikke regner grundlovens § 72 for noget?
Det er fuldtstændigt rigtigt, at der før 1950 skete rigtigt mange overgreb mod borgernes rettigheder fra statens siden, fx læsning af posten eller aflytning af udlandstelefonsamtaler.
Men igen.. hvorfor tror du at vi fik EMRK?
Du underestimerer virkelig retsapparatet her. Hvis der er tale om e2e krypteret trafik er det i mange lande, inklusive muligvis Danmark, allerede således at hvis du kan finde på en passende anklage kan du få domstolen til at fængsle den/de kommunikerende, indtil de dekrypterer trafikken.
UKUSA omfatter mange andre områder end "Five Eyes".
"Lawful access" er f.eks relevant indenfor samarbejdsområderne smugling (Børn, sexslaver, narko, Våben, ABC-komponenter, dual-use osv.), falskmøntere, skattesnydere, sorte penge, attentater, generel "terrorforebyggelse" mv.
"Five Eyes" er "kun" det efterretningsmæssige samarbejde om "Signals Intelligence" og det er med garanti ikke det ministrene taler om i deres kommunike, for "Five Eyes" er totalt mørklagt i alle sammenhænge, selv efter Edward Snowdens afsløringer.
Fordi I ikke læser det med småt ?
F.eks Artikel 8:
"Ret til respekt for privatliv og familieliv
1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.
2. Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed."
Eller sagt på en anden måde: https://www.youtube.com/watch?v=Y7tvauOJMHo
Trust me, det gør vi.
Men hvad der står i artikel 8, stk. 2 er noget ganske andet end elastik-i-metermål "hvor ingen lov hjemler en særegen undtaglse" i grundlovens § 72.
Grundlovens § 72 er sikkert ikke til hinder for en lov, som giver staten ret til at aflytte alle telefonsamtaler. Der er tilsyneladende heller ikke nogen grænse for hvor mange undtagelser der kan være efter § 72. Ingen har vist i øvrigt tal på hvor mange undtagelser fra hovedreglen i § 72 som der egentlig er lavet. Udover cirkatal ala 300-500, or something.
Men se hvad EU-Domstolen sagde om undtagelser i Tele2-dommen. Generel og udifferentieret logning ville være at gøre undtagelsen om indgreb i kommunikationshemmeligheden til hovedregel, og den går ikke efter EU-retten.
Kun hvis du forventes at kunne dekryptere. Moderne kryptering er lavet så ingen kan dekryptere efterfølgende, heller ikke dem der var part i kommunikationen. Derfor er det kun relevant for gemte dokumenter eller diske, der er beskyttet med kodeord.
Det passer slet ikke med mine erfaringer med internet aflytning (ansat hos en større ISP) fra for ~10 år siden.
Den siger at "en håndfuld årligt" slet ikke rækker til en bare enkelt ISP.
Bevares, der kan være sket et fald siden, men jeg tillader mig at tvivle.
Hævede de ikke beløbsgrænsen for hvad ISP'erne kunne tillade sig at opkræve ?
Yep, og det kan man til gengæld ved hjælp af preshared secrets kryptere så det kan afkodes på et vilkårligt antal måder afhængigt af hvilken meddelelse man vil lokke myndighederne på vildspor med.
Pas, men jeg er sikker på at budgettet i så fald er blevet passende korrigeret.
Det handler ikke om ytringsfrihed. Det handler om retten til privatliv, sådan som det er indføjet i den danske grundlov.
Årsagen til at man rundt omkring, indførte disse meget strenge regler for sikringer af privatlivet, var at man havde erfaring med hvor slemt det var, ikke at have disse love på plads.
Man var endda meget bevidst om at det ville kunne misbruges under under de mange krige, der var på det tidspunkt. Alligevel indførne man det, i håb om aldrig at skulle opleve de alvorlige krænkelser igen.
Så hvorfor argumenterer du egentligt for at genindfører dem? og hvorfor mener du det er anderledes denne gang?
Handler det ikke mest om hvor meget tillid vi har til hvad fremtidige politikerne kunne finde på at bruge vores oplysninger til?
Love er til for at blive ændret. Som PHK har skrevet har stater lyttet med lige siden det skrevne ord blev opfundet.
De kan forhindre kommercielle virksomheder i at deltage. Selv kommercielle virksomheder på fjerne øer kan få problemer ... fx. med at modtage betaling.
Individet har et behov for privatliv. Staten har et behov for at efterforske forbrydelser. IT-liberalisterne ser kun på første del. Myndighederne fokuserer mest på det sidste.
Forslag:
Private personer må kryptere som de har lyst til.
Virksomheder må kun facilitere end-to-end kryptering hvis de kender identiteten af mindst en af parterne.
Virksomheder kan pålægges at logge kommunikation, men må kun udlevere samme hvis der foreligger en dommerkendelse.
Virksomheder må ikke bruge den loggede information til noget.
Virksomheder skal tage skridt til at logget kommunikation opbevares sikkert, sådan at flere uafhængige parter skal involveres for at få adgang til den loggede information.
I praksis vil ovenstående beskytte individer der er bange for at andre aflytter deres kommunikation, bortset fra hvis "andre" er regeringer. Hvis man vil beskytte sig mod regeringen så dækker #1 og det bør i øvrigt gælde for alle uanset lovgivning.
Nej det er misforstået. Du ser ikke nogen her i tråden der går imod at myndighederne kan etablere aflytning efter dommerkendelse. Det her handler om masseovervågning. Masseovervågning handler ikke om at løse forbrydelser. Tværtimod er det en forbrydelse mod folket.
Med punkt 3-5 har du lige genopfundet det ULOVLIGE logningsdirektiv. Hvis dit punkt 3 inkluderer generel logning af indholdet af kommunikationen (?), er du endda kommet til at krænke det væsentligste indhold af den grundlæggende ret til privatliv.
Bevares.. love kan ændres, men det er ikke noget som Folketinget kan gøre, medmindre vi forlader EU og EMRK. Ellers forudsætter dit forslag, at der sker betydelige ændringer af EU primær lov, altså EU-Traktaten, specifikt Charter om Grundlæggende Rettigheder og TEUF artikel 16.
Søren Pape Poulsen havde en plan om at underminere menneskerettighederne. Til den store forbløffelse for en række demokratiske lande i Europa, som ikke kunne forstå at Danmark var bannerfører for et sådant projekt. Søren Papes plan fejlede heldigvis. Blandt de europæiske demokratier var der ikke opbakning til at underminere menneskerettighederne, sådan som Søren Pape ønskede det.
Øh, ja. Tak for at du udbygger den mindst væsentlige pointe i mit indlæg med det indlysende. Jeg skal nok fremover gøre mig umage med at skrive "f.eks.", så det ikke kan misforstås, når jeg kommer med eksempler.
Min pointe om, at ordensmagten nok synes at det svært irriterende, at HTTPS bliver mere og mere udbredt, men at det faktisk ikke først og fremmest er for at irritere ordensmagten, at den bliver det, ændrer det ikke ved.
Det sker af helt andre årsager, nemlig at nettet slet ikke er det rare, konsensus prægende sted, hvor alle respekterer hinanden og man derfor sender "requests for comments" i stedet for lave regler (og måske var nettet kun det i hovedet på en række idealister?).
Og så længe at disse grundlæggende problemer med at nettet ikke er et rart sted eksisterer, og at det kun ser ud til at gå imod det værre, så vil udbredelse af HTTPS fortsætte.
Det er åbenlyst muligt, at ordensmagtens irritation flyder over i en grad, hvor de formår at overtale et flertal af politikere uden det store overblik, til at gøre noget kortsigtet og meget dumt. Men indtil det sker, må vi fortsætte med at gøre det nødvendige.
Jeg argumenterer at de vil blive (de facto) genindført hvis retsplejen umuliggøres af kryptering.
Det er en fejltolkning af dine modstanderes synspunkt!
Jeg har ikke noget at skjule, og er derfor ikke voldsomt bekymret for at politiet skulle komme til at kigge med på mine e-mails, under en efterforskning, med dommerkendelse osv.
Det jeg har noget imod er at argumentet bruges som at "den der ikke har noget at skjule, har ikke noget at frygte" Det er et argument totalitære regimer benytter.
Det jeg virkeligt frygter er:
1. at blive beskyldt for noget jeg ikke har gjort, på baggrund af algoritmer jeg ikke kan gennemskue.
2. at en fremtidig tosse kommer til magten, og vælger at bruge de mange oplysninger, der er om os alle, i meget høj opløsning, til formål der ikke lever op til god demokratisk skik.
Det sidste er ikke specielt usandsynligt. Se bare USA. I DK er vi endda ikke nær så godt beskytte af vores grundlov, hvis der kommer en tosse til magten, der spreder frygt og os/dem retorik (Fordi vi ikke har reel tredeling af magten)
Husk på at op mod halvdelen af vælgerne er dummere end gennemsnittet ;)
Jeg syntes det er super vigtigt at holde fast i de frihedsrettigheder vi har vænnet os til, og identificere os med. Vi skal ikke lade dem eroderer til fordel for frygt for onde mennesker og dårligt politiarbejde.
Jeg skal ærligt indrømme at de gode ministre ikke er alt for klare i spyttet på det punkt, men det gør det altså ikke.
Masseovervågningen kører under "Five Eyes" som stadig, trods Snowden, er totalt mørklagt og derfor ikke vil være at finde i noget slutkommunike.
Bemærk også hvad de beder om: Indbyg (venligst) selv den "lawful access" der er smartest for jeres arkitektur, så vi ikke bliver nødt til at lovgive hvordan I skal gøre det.
Her bør vi så diskutere hvem der er der gør noget kortsigtet og meget dumt.
Er det politikerne der prøver at holde fast i princippet om "Med Lov skal man Land Bygge, [...]" eller er det IT-liberalisterne der krypterer til højre og venstre og til helvede med at kunne efterforske forbrydelser ?
Jeg er overbevist om at det er de sidstnævnte der gør noget kortsigtet og meget dumt, for de tvinger retssamfund til at rulle utroligt unuancerede og meget store magtmidler ud, frem for at engagere sig i den politiske verden og få forhandlet nogle kompromisser igennem vi alle kan overleve med.
Men er det ikke muligt, at man arbejder på at tilnærme det mørklagte og det åbenlyse via salami-metoden? I håb om, at borgerne en dag helt har glemt, at der engang var noget, der hed frihed uden overvågning, og uden yderligere muk accepterer "chippen i nakken" (billedlig talt)? Så man en gang i fremtiden ikke finder på at retsforfølge ansvarlige for ulovlig overvågning - for så er det lige så stille gledet ind i lovgivningen som helt lovligt?
Jeg må indrømme, at jeg står med et ben i hver lejr her. Jeg hader overvågning. Og jeg hader, hvis man ikke kan efterforske alvorlig kriminalitet uanset dommerkendelser eller ej. Hvis jeg tvinges til at vælge, hader jeg nok overvågning mest - fordi jeg synes, at det har de overordnet set mest uhyggelige risici.
Men er der virkeligt kun de to lejre at vælge imellem?
Man kan godt få fornemmelse af, at det er noget farligt fint akademisk teoretisk, som er kommet på banen her de sidste år (og måske er startet med nogle som røg noget sjov tobak). Men det er det ikke.
Jeg har planket flg. fra Bruce Schneiers bog "Data and Goliath" (kan varmt anbefales):
(listen er næppe på nogen måde udtømmende)
Og når man kigger det lidt nærmere efter, så vil man opdage at GDPR og andet "nymodens pjat" i virkeligheden er tankegods som er ganske gammelt.
Den anden ting, som man kan se, er at dette ikke sker af pladderhumanistiske årsager, det er helt kyniske overvejelser om, at hvis ikke man giver nogle garantier, så klapper folk i, eller begynder at opføre sig uhensigtsmæssigt på anden vis. Og så dør samarbejde, og med det kommer direkte det, som på politiker-dansk hedder et velfærdstab (og det er nok derfor, at vi ser OECD på listen).
Meget af det vil være ting, hvor bordet i høj grad fanger, rent juridisk (spørg bare Jesper Lund), og hvis man alligevel begynder at løbe fra de aftaler (ud fra "mit hangarskib er størst" betragtninger), så vil man hurtigt komme i en situation, hvor man mister straks respekt og tillid. Og det vil økonomerne kunne fortælle hurtigt bliver rigtigt dyrt, for så stiger det, som de kalder friktion.
Så ja, samfundet kan sikkert nok løbe fra sine aftaler, men så holder det også op med at være et frit samfund, og et ufrit samfund er bare ubehageligt, men også uforeneligt med det velstandsniveau, som vi tager for givet.
Er det virkelig det værd?
PS: Og så er ovenstående også fuld af skåltaler og gode hensigter, som ikke er gået i opfyldelse endnu. Men bedre sent end aldrig.
Det var faktisk muligt at lave ordentligt politiarbejde, før aflytning og overvågning blev så udbredt. Ser man bort fra IT kriminalitet, er der f.eks. spor, tekniske beviser og godt politiarbejde.
Selvfølgeligt er det billigere at lade en AI finde de skyldige og defacto dømme dem. Men det er en falsk modstilling at man behøver overvågning og huller i krypteringen, for at opklarer forbrydelser. Det er blot et økonomisk spørgsmål.
Hvad er frihed værd?
... Det var smart for nogle hundrede år siden, hvor herkomst var vigtigere end retfærdighed.
Denne forestillingen er dog den direkte årsag, til den meget samfundsskadelige holdning at "alt hver der ikke er forbudt er lovligt" Den fritager mennesker for ansvar og værdier.
Som Stuard Miller ville sige det: "hvis intet stod over loven, hvem skulle så lave dem?"
... og da loven laves af dem, som en mindre gruppe letpåvirkelige vælgere kunne finde på at stemme ind.
Det er nok snarere værdier, ansvarlighed og rettigheder, man skal bygge et land med. Nogle af vores gode værdierne er, at man ikke snager, ikke straffer uskyldige, lader tvivlen komme tiltalte tilgode og ikke er skyldig før dømt.
Det er muligt, at der engang i mellem er en telefonsamtale eller en beskedkommunikation, som ikke kan aflyttes på grund af kryptering. Der vil også være situationer, rumaflytning ikke giver noget, fordi de mistænkte kun taler om banale ting i hjemmet, og fx går ud i haven når de skal planlægge kriminalitet.
Intet tyder på at dette problem er særligt stort, hvis vi baserer vores konklusioner på statistisk evidens frem for spin fra skumle Five Eyes efterretningstyper, der er sure over at de ikke længere kan masseovervåge os alle sammen på samme måde som i de glade dage før Snowden.
USAs statistik for indgreb i meddelelseshemmeligheden opgør antallet af sager, hvor kommunikation ikke kan aflyttes på grund af kryptering. Antallet af sager er fordoblet fra 2016 til 2017, men fra et meget lavt niveau. I 2017 var der tale om ca. 100 sager i hele USA.
At politiet ikke kan aflytte en kommunikation betyder ikke at hele efterforskningen falder fra hinanden. Politiet har mange andre måder at efterforske en sag på. Og helt ærligt. I det overvågningssamfund, som vi lever i, er det altså ikke "data" som politiet mangler.
Det er heller ikke beføjelser, som politiet mangler. Slet ikke i Danmark. I andre lande er der store principielle diskussioner, om staten skal have lov til at hacke borgernes telefoner eller computere (et af motiverne er at kunne opfange kommunikation før den bliver krypteret).
Den slags bruger vi ikke i Danmark. Principielle diskussioner, altså. En meget liberal adgang til at hacke, nærmest blottet for retsgarantier, blev indført i 2002, begravet i terrorpakke I sammen med en masse andet. Der var vist et enkelt spørgsmål fra en MF'er. Dataaflæsning (RPL § 791 b) hedder det. Justitsministeriet holder brugen af dette indgreb totalt hemmeligt. Der ingen statistikker eller noget som helst udover nogle anekdoter om at PET bruger det i stor stil.
Ingen i Danmark interesserer sig for dataaflæsning, hverken politikere eller journalister. Efter 15 år med dataaflæsning var det måske en idé med en evaluering? Kunne man mene, hvis man synes evidens-baseret politik er en god ting. Men nej, ikke i Danmark.
Når man hører dansk politi udtale sig om logning, ANPG og anden masseovervågning, virker det som om, at kriminalitet kun kan opklares, hvis man har adgang til en database med oplysninger om hvor alle danskere har befundet sig tilbage i tiden. Længere tilbage i tiden end du selv kan huske.
Men det er altså en relativt ny ting, at det er teknisk muligt at opbygge sådanne databaser. For 25 år siden var der meget få personer, som rendte rundt med et tracking device, som konstant rapporterede til en central database hvor personen var i det fysiske rum (aka en mobiltelefon). Forbrydelser blev imidlertid også opklaret for 25 år siden.
Og lad ikke glemme: efter europæiske lov er det ulovligt at pålægge teleselskaberne en lagringspligt (logning) med konstante lokationsoplysninger for alle abonnenter. Det gør desværre ikke noget indtryk på landets justitsminister.
Jeg synes faktisk ikke at det er så svært at vælge. Sålænge staterne fortager masseovervågning (ovenikøbet ulovligt og på trods af alle mulige forskellige konventioner), er den eneste beskyttelse kryptering - på alle mulige leder og kanter.
Netop.
Der er mange, der har travlt med at fortælle en historie om at den tekniske udvikling har gjort det sværere at opklare forbrydelser.
Virkeligheden er den stik modsatte.
I gamle dage planlagde man forbrydelser på skumle værtshuse. Man brugte mønttelefoner, sendte papirbreve, som blev sorteret helt manuelt, osv. Og man kunne også kryptere dengang.
Nu ved man hvor alle er hele tiden, hvis de har deres mobiltelefon med. Man ved hvem der snakker med hvem. Man kan følge med i folks privatliv på facebook. Man kan se på vores vand- og elmålere, hvornår vi er hjemme.
Det her er bare en fortsættelse af den gamle TIA program. Total Information Awareness. De er ikke bekymrede for at de får adgang til mindre af vores privatliv. De vil bare have det hele
Man tror man ved det! - Og "man" forsøger i praksis at anvende det som fakta/bevis. Dvs. at bevisbyrden ligepludselig er blevet overført til den sigtede eller anklagede! Det skriger til himlen...
Nej det er der ikke, men lige nu bliver vi kørt helt ud i den ene lejr af IT-liberalisternes "Krypter det hele!" kampagne, hvilket næsten med garanti fører til at vi bliver kastet over i den anden grøft med magt.
Så hvordan var det nu lige at Laurits Betjent efterforskede Phishing dengang ?
Det der gøres idag, eller fokuseres på at komme frem til er set med mine øjne at ALLE uanset er mistænkte, hvilket er det modsatte af grundlaget for de fleste vestlige landes retssystemer (jeg ved ikke med sikkerhed om alle vestlige lande har et system der bygger på) du er USKYLDIG til det modsatte er bevist !!!!!
Det er IKKE den måde det offentlige fungerer på ret mange steder mere, ALLE er skyldige, udfra måderne der overvåges på, og udfra bekæmpelsen af enhver form for "privatlivets fred og frihed", der er masser af brud på dette, og vi har en back-log af eksempler, som jeg ved af over de sidste 50 år, (mange af dem er brud som vi alle kan være aldeles enige om er gode, men det er squ stadigt brud), f.eks. vold mod børn, vold mod partner, incest og mange andre, vi mangler dog at få psykisk vold med i de pakker. Vi har tilmed sat systemet op til at børn skal kunne melde egne forældre, (det ville jeg squ gerne have haft for 50 år siden, for så var de endt i KZ-lejr) !
Jeg ser en konstant, lang og vedvarende erosion af af alt PRIVAT, men den håbløse undskyldning man benytter til overvågningens-helvedet, at skulle fange en mikroskopisk fraktion af en promille kriminelle (som man ikke KAN fange sådan, for de skider på lov og ret, plus hvis de kriminelle føler det mindste pres fra "ordensmagten" har de allerede 100 andre løsninger klar. "Ordensmagten" er HÅBLØST agter ud sejlet, og har været det tæt på altid, de eneste de "kan" fange er de få der en sjælden gang strejfer over grænsen få gange !
Jeg frygte dog den dag hvor flertallet af regeringer fordækt samles om at afslutte enhver form for PRIVAT (big brother 1984), de af jer der ikke har læst den, aner ikke hvad i taler om ift ultimativ topstyring og kontrol, helt ned i sproget, det er ikke en "tyk" bog, men hvert ord i bogen medføre 1000vis, hvis du går dybt !
Det er den bog af alle, som det tog mig længst tid at læse, og jeg blev mere skræmt for hver side jeg vendte, MEN det samme er tilfældet med samfundet, og endnu værre fremtiden vi er på vej ind i !!
Men det er vel også klart nok.
For den paranoide vil "stor modstand" jo være lig med "Du har HELT sikkert noget at skjule og det gør dig interessant".
Tak for svar, Poul Henning Kamp.
Jeg har ikke læst hele tråden, har ikke tid/ork til at gøre det lige nu, så måske kunne jeg finde svar på mine spørgsmål der. Men jeg mangler under alle omstændigheder forudsætninger for at forstå mere teknisk rettede argumenter. Men hvis jeg forsøger at stille problemet lidt overskueligt op for mig selv, så ser det nogenlunde således ud:
Hvis vi undlader at kryptere, og indfører bagdøre/krav om bagdøre i alle kommunikationsmidler:
Ja, vi har visse i loven indbyggede garantier ift. myndigheders uretmæssige udnyttelse af magtmidler- men de holder jo kun så længe, de stadig respekteres af myndighederne. Og som du selv bemærker, PHK:
Det er jo det, en del af os bliver rigtigt bekymrede over - politikere og skiftende ministre, som ikke mere udviser den store respekt for tidligere urørlige retssikkerhedsprincipper. Der bliver i øjeblikket sagt og gjort ting fra magthaveres side, som vi for 20 år siden ville have tabt næse og mund over. Og ingen ved deres fulde fem kan jo i øjeblikket påstå, at verden er et bare tilnærmelsesvis stabilt sted, hvor man kan stole nogenlunde på at kunne forudsige, hvad der vil ske - og det gælder jo desværre også eftehånden i Danmark. Det taler for kryptering.
Hvis vi krypterer alt og lukker for bagdøre:
Problemet er jo, at selv om vore egne myndigheder lige nu udviser bekymrende tendenser, så kan kup komme i mange former, forklædninger og mange steder fra - og der kan være situationer, hvor vi er nødt til at håbe på vore myndigheders indsats mod grupper, som i det skjulte kunne pønse på at indføre et helt andet og endnu mere ubehageligt system.
Det er den slags spørgsmål, jeg synes bør være afgørende - de overtrumfer langt problemet om efterforskning af almindelig kriminalitet.
Så det er jo et valg mellem pest og kolera - både kryptering og bagdøre eller mangel på samme kan misbruges af kræfter, vi ikke sympatiserer med, og som er en trussel mod menneskerettigheder, retssikkerhed og demokrati. Et ben i hver lejr stadigvæk - men lige nu er jeg mest bange for den udvikling, vi ser herhjemme fra vore politikeres side. De mentale barrierer, som tidligere beskyttede mod en totalitær udvikling herhjemme, ser for mig ud til at være væk - og det er meget skræmmende.
Hvis vore magtpolitikere og myndigheder i højere grad signalerede, at de faktisk går ind for menneskerettigheder og demokrati, retssikkerhed og ret til privatliv, så ville behovet for at beskytte sig mod deres måske/måske ikke snagen være mindre - det ville det i hvert fald for mit vedkommende. Lige nu opfatter jeg ikke kryptering som "selvtægt", men som selvforsvar mod totalitære overgreb. Men det betyder ikke, at jeg ikke kan se problemerne, som denne udvikling også fører med sig.
Så du siger at politiet og justitsministeren KUN vil bruge denne bagdør til at hjælpe med opklaringen af internet relaterede forbrydelser så som phishing og at de ingenlunde kunne finde på at benytte den til at opklare forbrydelser som Laurits Betjent i gamle dage opklarede uden denne bagdør ?
HVIS du er så naiv, så har jeg et Eiffel tårn jeg gerne vil sælge.
Holdningen syntes mere at være "Vi ved ikke hvem der i fremtiden kunne finde på at lave noget ulovligt, så den eneste måde at stoppe folk på er at overvåge alle folk hele tiden".
Vil du dermed hævde at politiet for alvor er begyndt at efterforske phishing!?
Man må vel fremføre de synspunkter man tror er rigtige. Uanset at det ikke altid kan betale sig.
Jeg vil jeg stå på min lille kasse og råbe op, når politikere prøver at forføre befolkningen, med frygt (for andre onde politikere) til at kravle ned ad stigen mod et totalitært samfund.
At opgive retten til privatliv, er sådant et trin.
Det her handler ikke nødvendigvis om masseovervågning. Men det er et godt spørgsmålt om hvorvidt det er overvågning hvis myndigheder kræver logning af information men hvor de kun kan komme til det loggede information med en fokusseret dommerkendelse? Jeg mener ikke det er overvågning - jeg ved at fx. Jesper Lund mener noget andet.
Vågn op! Frankrig havde næsten 2 år med undtagelsestilstand fra 2015 til 2017. EMRK og EU-traktaten vil blive ændret eller nyfortolket. Myndighederne er bekymrede for deres mulighed for at holde samfundet sikkert. Der kommer ændringer på dette område - spørgsmålet er hvordan vi kan få det indrettet sådan at det både tilgodeser borgernes behov for privacy og myndighedernes behov for at efterforske kriminalitet.
Jeg er ganske enig med at det skal være tilladt at skjule ting, fx. ved at kryptere kommunikation. Spørgsmålet er om virksomheder skal hjælpe dig med det. For indblandingen af en virksomhed tillader ansvaret at blive udvandet. Man kan fx. ikke sætte en virksomhed i fængslet.
Det har ikke noget med kryptering og overvågning at gøre.
I praksis er man nødt til at stole på domstolene, politiet og myndighederne i forening. Vi skal ikke stole på enkeltpersoner i disse enheder eller enkelte afdelinger, men på at magtdelingen sikrer mod misbrug. Hvis man ikke stoler på dette, så kan man lige så godt give op på forhånd. Så kan staten fratage os ejendom, fængsle os på fiktive anklager, undertrykke frie medier, etc. Den behøver ikke IT eller brudt kryptering til den slags.
I øvrigt er staten så stærk, at såfremt den overtræder loven så vil den kunne infiltrere virksomheder og kræve bagdøre helt uden et lovgrundlag. Jeg vil hellere have at disse ting sker på et retsmæssigt grundlag, hvor magtensdelingen respekteres.
"I øvrigt er staten så stærk, at såfremt den overtræder loven så vil den kunne infiltrere virksomheder og kræve bagdøre helt uden et lovgrundlag. "
Hvorfor er den så bange for terrorister og egne borger ?
"helt uden et lovgrundlag"
Ja et diktatur kan gøre hvad det vil, men i et demokrati må også staten overholde lovene. Ellers vil EU nok træde til
OG DU HAR STADIG IKKE BESVARET SPRØGSMÅLET
Hvordan sikrer du dig, at kun de gode kan få adgang, og hvem er de gode ?
Hvad hvis du en dag bliver anklaget for et mord, på baggrund af stærke data indicier, begået mens du sad alene hjemme og læse en bog?
(F.eks. ved klonet telefon, stjålet id og biometrik, baseret på din måske ikke helt gennemsnitlige personlighedsprofil. dvs. data politiet kunne høste, har en AI eller doven betjent, udpeget dig som den mest sandsynlige gerningsmand... du kan selv finde på mere)
Du skal nu i gang med bevise din uskyld, men vel at mærke, fra indersiden af din nye celle!
Det er frygten der taler. Den tænkning er en glidebane hvor vi giver afkald på den ene demokratiske eller borgerlige rettighed efter den anden, afhængigt af den aktuelle frygt.
Jeg vil hellere have at det ikke sker.
Ja, men et demokrati i dag kan blive til et diktatur i morgen.
Vi må aldrig glemme hvad der skete den 23 marts 1933!
Eller bare noget så banalt som fejlbehæftede mastedata:
https://www.information.dk/moti/2015/08/vidste-uskyldig
(desværre bag betalingsmur)
11 måneders varetægtsfængsling og sølle 500KKr i erstatning for et traumatiseret liv og en ødelagt økonomi.
Baseret på fejlbehæftede mastedata!!
Og så er der tilsvarende nummerplade kloning:
https://www.theguardian.com/money/2016/feb/27/number-plate-cloning-drive...
Det er hamrende vigtigt at huske, at hver gang man giver politiet et nyt stykke legetøj, giver det forbryderne et nyt værktøj!
Min pointe er at man ikke kan bruge demokratisk vedtagne love til at beskytte borgerne i en fremtidig situation hvor staten er blevet et diktatur. Diktaturet vil overtræde lovene sådan at de er ligegyldige. Lovene laves til en verden hvor staten i det store perspektiv overholder loven.
Det er en lang historie. Men kort fortalt så krypterer man data og opbevarer nøglerne hos en eller flere 3. parter. Det kunne fx. være i IT politisk forenings pengeskab, hos dronningen og i et gennemsigtigt pengeskab på rådhuspladsen. Sådan at man skal bruge mange nøgler for at dekryptere en log. Med lovgivning der gør nøgleholderne ansvarlige for sikkerheden og gør det strafbart at udlevere nøgler uden en dommerkendelse.
Naturligvis skal domstole forstå hvad et givet bevis kan bruges til. Fx. at en IP adresse eller et billede af en nummerplade ikke er noget specielt sikkert bevis. De har i øvrigt samme opgave med ikke digitale beviser.
Nej, det er det ikke. Det handler om at man ikke indretter lovgivningen sådan at den forhindrer et fremtidigt diktatur i at gøre slemme ting. For diktaturet vil gøre den slags alligevel. Vi skal indrette lovgivningen sådan at myndighederne kan løse deres opgaver og sådan at vi forhindrer diktaturet i at opstå i første omgang.
I den forbindelse er det værd at være opmærksom på at de mest succesfulde diktaturer er kommet til magten fordi borgerne var bange for kaos. Putin efter Jeltsins kaos. Erdogan efter skiftende militærdiktaturere og en følelse af undergravende værdier i det tyrkiske samfund. Hitler ....
IT-liberalisterne kan påberåbe sig menneskerettigheder, EU traktaten, etc. så meget de vil. Hvis folk oplever at terrorrister, børnepornopsykopater, narkohandlere, bander, voldelige ekstremister, simple net svindlere og alle mulige andre kriminelle bruger digital kommunikation til at understøtte deres kriminalitet. Så vil befolkningen acceptere ganske drakoniske love og måske anti demokratiske tiltag (for dag ikke fejl: de flertallet af russere, tyrkere, måske polakker og ungarere accepterer antidemokratiske tiltag fordi de er bange).
Jeg vil hellere have lovgivning der er balanceret. Lovgivning der beskytter individet mod de digitale overgreb de realistisk løber ind i. Lovgivning der sikrer at individer har mulighed for at forsvare sig mod anklager (fx. er ideen om at man kan fængsles for ikke at udlevere krypteringskoder vanvittig).
Er det ikke netop derfor at der er en grundlov, der er meget svær at ændre? (Ok den er ret elendig i Danmark, og sikre ikke tredeling af magten, men alligevel...)
Du kan have ret i at et befolkningspres vil udhule de grundlæggende demokratiske rettigheder, men det bedste middel er vel ikke at give langsom efter?
Staten (Danmark) er ikke en selvstændig modstander, men et bæst, skabt at strømninger i befolkningen, hvoraf en stor del, ikke reflekterer dybt over tingenes tilstand. Hvis man gør den demokratiske stat til en modstander, er man også på en glidebane, for så er der ingen legitime måder at få indflydelse på.
En bedre mulighed end at gå populister i møde, er aktivt at omformulerer den negative retorik, og blotlægge hvad konsekvenserne er:
- at vi skal til at kunne bevise vores uskyld
- at vi åbner op for en ladeport af spionage og kriminalitet
- at vi risikerer massiv selvcensur, monokultur, tankekontrol og manipulation af befolkningen.
- at den frihed og økonomiske velstand vi har nydt, og som vores forfædre kæmpet for, ikke nødvendigvis bliver den sejrende kultur.
- at hullet kryptering, gavner masseovervågning meget mere end det at fange forbrydere, som man jo som bekendt også kan fange på andre måder.
Jeg kan ikke se at det er et problem at vi får hjælp af virksomheder, der vil give os (gratis) den kryptering vi ønsker.
Skal beskyttelse af personlige eller hemmelige oplysninger kun være for store firmaer, IT nørder og terrorister?
Jo ... den er designet til at hjælpe med til at vi ikke ender med diktatur. Men i sidste ende er det befolkningen der bestemmer. USA har en meget stærk grundlov og alligevel tillod den at sorte og kommunister gennem tiden er blevet forfulgt. Kapitlet Trump og retsstaten er ikke skrevet endnu. Grundloven betyder meget lidt. Befolkningens vilje til demokrati, magtens tredeling, retsstaten, etc. betyder alt.
Det er jeg ganske enig i. Af samme grund ønsker jeg at de mekanismer som beskytter os er funderet i retsstaten.
Helt enig.
Ikke hvis vi er kloge. Lad os sige at det er log filer vi skal gemme. På rådhuspladsen opstiller vi et gennemsigtigt pengeskab. I dette pengeskab står en public-private key generator. Den private nøgle gemmes i pengeskabet. Den offentlige nøgle sendes til firmaet der skal logge. Nu er muligheden for at komme til det loggede betinget af at bryde ind i pengeskabet (dette kan ses for alle der har lyst). Vi laver samme scheme og gemmer nøglerne i nationalbanken og endnu engang samme scheme hvor nøglerne ligger hos direktøren for kommunikationsfirmaet.
Nu er muligheden for spionage og kriminalitet begrænset. Mange forskellige enheder skal være involveret hvis dette skal omgås og retsstaten har adgang under domstolskontrol.
Risikerer vi det fordi vi ved at vores politi kan læse vores kommunikation såfremt de får en dommerkendelse? Politiet kan i dag få en dommerkendelse der tillader dem at hacke vores computere ... giver det selvcensur?
Jeg er ganske enig i man ikke bare skal lade staten læse alt - også selvom man ikke har gjort noget galt. Men at staten under domstolskontrol kan få adgang kan jeg ikke se noget problematisk i. Det er ikke anderledes end i dag, men hvis er bekymret kan man evt. hæve kravene til beviser.
Men her mener jeg stadig et en Lex Hitler er ret så relevant.
For teknisk set lykkedes det jo Hitler at kuppe sig (bevares godt hjulpet på vej af diverse intimideringer mv.) til magten i et demokrati, for efterfølgende at demontere det.
Det kan sagtens ske i mange andre demokratier, vi skal på ingen måde føle os for sikre, men der er ingen grund til efterfølgende at servere logningsdata på et sølvfad for diktaturet - og det er deri den rigtig store fare består, nemlig at vi ved ikke hvad fremtiden bringer, derfor bør vi allerede i dag sørge for at der ikke ligger kompromitterende (i dag fuldt ud lovligt og måske endda ikke specielt kontroversielt) data, som i morgen kan bruges til en udrenselsesproces.
Det er umådeligt vigtigt at systemet i dets forhippelse over at ville overvåge alt og alle, og logge alt om alt og alle, ikke går hen og bliver historieløs!
Men det er "vi" jo ikke - Trine Bramsen er f.eks et stjerneeksempel.
Ja den tanke er god nok; gennemsigtighed i forvaltningen, ordensmagtens og ikke mindst efterretningstjenesters overordnet virke. (inklusiv diverse derivater heraf)
Vores egen regering er dog, sammen med bl.a. de 5 nævnte, gået i spidsen og har klart vist hvor de står på gennemsigtighed.
Alene derfor falder hele præmissen, for at give lettere adgang til at krænke privatlivet.
Jeg er overbevist om at Poul-Henning Kamp har ret i at vi er nødt til at finde modeller som vi alle vil kunne acceptere og som vil være den bedste løsning for et velfungerende demokratisk samfund.
Og i den forbindelse tænker jeg om noget ala nedenstående kunne være en mulighed...?
Vi skal gør det muligt for alle borger og virksomheder i samfundet at kommunikere privat med hindanden uden at nogen kan lytte med - ikke engang udbyderen må kunne lytte med - dog undtagen dommer godkendte aflytninger. Altså tvinges kommunikations udbyderne til at skabe en sikker adgang indtil deres kommunikations løsning, der gør aflytning muligt med dommerkendelse og ikke andre uvedkommende.
Alt kommunikation bliver logget og lagret i krypteret form op til f.eks 12 måneder tilbage i tid - og i en form der kun gør det muligt med dommer godkendelse at foretage nøje begrænsede godkendte søgninger i disse data.
Udbud af eller udførelse af digital/fjern kommunikation, der umuliggøre aflytning med dommerkendelse skal være forbudt og strafbart.
Kommunikations løsninger til privat kommunikation der tilbydes til offentlig afbenyttelse må ikke kunne aflyttes af selve udbyderen.
"der gør aflytning muligt med dommerkendelse og ikke andre uvedkommende."'
Men du har ikke forstået problemet, hvordan sikrer du dig at det kun er de gode som lytter med, og hvem er de gode ?
Når nøglen mistes, ikke vis, så har man adgang til samlet kommunikation i et år. Hvordan vil du sikre at det ikke sker ?
Hvordan sikre du dig, når et sådan system først er lavet. At man så ikke synes det vil være bedre at beholder data i 2 år, 10 år eller for evigt ?
Hvordan vil du hindre terrorister, pædofile, eller bare mennesker som synes de har ret til et privatliv. I at bruge noget andet end dit system.
Vil du sætte dem i fængsel som ikke bruger dit system ?
Kan du finde et godt svar på noget af overordnet, der også holder i mere end byretten rent juridisk, samtidigt med at det også teknisk kan lade sig gøre, uden risiko for at blive hacket ?
OGSÅ har du glemt det vigtigste. Du taler om at "lytte med" på samtaler ?
- Hvad med de hjemmesider du besøge de skal vel også logges.
- Din telefons position data skal vel også gemmes.
- Din bils som nok også snart ved lige så meget om dig som google. Dens data skal vel også gemmes. - så kan du også få alle de bøder hvor du har kørt for stærkt.
- Alle dine mail og breve, skal vel også gemmes.
- Dine smarte enheder i hjemmet, El måler og alle dine egen som Sirri, Alexa og Google. Samt smart enheder som lamper, temperaturføler, kontakter, Mikrofonen fra dit smart tv, og meget andet.
Hvis du ikke har taget din telefon med, så du overholde loven. Skal det give en automatisk straf, første gang kun bøde. Men du har helt sikkert glemt din telefon for at gøre noget kriminelt. Så anden gang fængselsstraf ?
Hvis vi skal holde fokus på diskussionen om den bedste løsning for et velfungerende demokratisk samfund
> til det tænker jeg svaret er helt klart ja - men ingen har sagt at det er nemt.
Status nu er jo ikke andet end kaos ift. retten til privat kommunikation. De aller fleste (>99%) borger i samfundet har ikke mulighed for privat kommunikation - end ikke når de står lige ved siden af hinanden uden at andre er tilstede :-(
Ved at designe systemet sådan - bl.a. vha kryptografiske teknologier.
de gode = retsstaten - en kombination af grundloven, ordensmagten, dommerne, "ombudsmanden", relevant revision, og lovgiverne Altså i den sidste ende at et flertal i befolkningen som forstår at agere "ansvarligt" - når det virkeligt gælder ved diverse valg afhandlinger og demonstrationer.
Først og fremmest ved jeg ikke hvad der er nødvendigt/klogt valg af tidshorisont ift. nødvendig efterforskning af alvorlig kriminalitet - det må et større ekspertpanel vurdere. Resten overlader jeg trygt til grundloven (evt med nødvendige ændringer), til demokratiet og retsstaten. I mine øjne har vi desværre ingen bedre alternativer :-(
Det er desværre ikke mit system, men måske snarere vores system. Der burde være plads til flere udbyder og systemer man kan vælge at gør brug af. Der udover har jeg allerede skrevet: >>Udbud af eller udførelse af digital/fjern kommunikation, der umuliggøre aflytning med dommerkendelse skal være forbudt og strafbart.<<
Jeg kan ikke se noget juridisk problem. Under alle omstændigheder er der muligvis behov for at tilpasse grundloven og lovene.
procedure, processer, kontrol & revision, arkitektur, design, sikkerheds teknologier, udvikling, drift, fysisk sikkerhed og overvågning i sammenspil vil sikre en høj grad af garanti for at det hverken bliver hacket eller misbrugt.
Jeg mener allerede jeg har argumenteret for dette. Kommunikationen krypteres fra end point til service provideren og fra service provideren til det andet end point. Data vil kun i ganske kort tid være ukrypteret og det kan holdes inden i en lukket boks hos service provideren. Sikkerheden går således på hvorvidt service provideren har sådan en boks. Det synes ikke nogen håbløs opgave at lave og naturligvis skal lovginingen stille krav herom.
Det man normalt gør er at man skifter nøglen en gang i timen. Man kan også have flere nøgler i brug på samme tid, men så skal man finde en metode til at segmentere data. Det vil gå for langt at diskutere alle detaljerne men jeg har allerede ridset detaljerne op ovenfor.
Hvis de vil sætte deres eget private internet op, så skal de være hjerteligt velkomne. Hvis de vil lave deres eget private darknet så kan de gøre det. Det eneste de ikke kan er at blande en virksomhed ind nøgleformidling, kryptering, etc. Pointen er at den slags private netværk kan indfiltreres af myndighederne (hvis de har en dommerkendelse) og deltagerne er personligt ansvarlige for deres handlinger (modsat en virksomhed hvor ansvaret i praksis kan "fortyndes").
Fin stråmand.
Du og alle de andre IT-liberalister kan kæmpe så meget I vil, men hvis vi ikke finder nogle balancerede løsninger som både opfylder statens behov for efterforskning, sikkerhed og borgeres behov for privatliv, så sker tingene hen over hovedet på os.
Et godt eksempel er ANPG. Det er fuldstændigt vanvittigt big brother tiltag. Det kunne være indrettet sådan at politiet ikke vidste alt om alle men det blev det ikke. Desværre fik politiet meget lidt kvalificeret modspil og jeg mener at det var grunden til det slap igennem.
Kvalificeret modspil leveres ikke af dem der stiller sig op i et hjørne og nægter nogen former for kompromis. Specielt ikke når befolkningen råber på mere effektivt politi.
Eksempel: Hvis man vælger løsningen med det gennemsigtige pengeskab, så vil der stå en kasse på en hylde med alle koder for juli 2018. Lad os sige at data gemmes et år, så kunne man destruere koderne offentligt d. 1. Juli 2019. Uden koderne er det loggede data blot næsten tilfældige bits.
Pointen med det gennemsigtige pengeskab er netop at befolkningen kan følge med i hvad der sker ... uden at det loggede data dermed kompromiteres. Man kan følge med i når nøgler destrueres. Man kan følge med i hvornår og hvor mange nøgler udleveres til politiet og at der er en dommerkendelse.
Og fordi data er dobbeltkrypteret og man derfor skal bruge en eller flere nøgler der er gemt andre steder, så vil ingen have interesse i at bryde ind i pengeskabet alene (dette vil i øvrigt også være synligt for alle).
Jamen, det er da i alles egen interesse at bruge kryptering, for at undgå overvågning.
Vi er blot på vej væk fra en naiv verden, hvor man troede der ikke var nogen der lyttede.
Måske, måske ikke.
Uanset om det er, er det ikke OK at beslutningen om at alle skal kryptere er taget af en lille elite langt udenfor demokratisk kontrol.
Hvordan er det at alle bliver tvunget af et mindretal? Jeg er sikker på at du hjertens gerne må vælge at kommunikere så meget du vil, uden at kryptere, hvis bare du kan blive enige med modparten om det.
Tværtimod taler et elitært mindretal, som de facto er udenfor demokratisk kontrol (de har endda deres egne dommere og domstole!), for der for at alle som udgangspunkt skal forbydes at kryptere (pånær dem selv, forstås, for de skal kunne beskytte sig imod folket og deres beslutninger).
Jeg vil faktisk gerne have mulighed for at beskytte det, som jeg anser for at være værdifuldt for mig og mine, og jeg vil gerne have retten til ikke at udstille mig selv unødigt og uden grund - og slet ikke som default - er det for meget forlangt? Bare fordi at man ikke fryser på nettet, så giver det stadig mening at have tøj på.
PS: Og inden nogen begynder at trække infocaplypsens heste af stald, så er "Going Dark" en løgn. Vi er tværtimod i en gylden alder, hvad angår muligheder for overvågning og efterforskning - aldrig har det været så nemt at få så meget at vide om så mange.
Hej PHK - du har muligvis ret i at den omfattende kryptering betyder at myndigheder føler sig nødsaget til at vride armen rundt på hele systemet og nægte folk sit privatliv, men jeg synes ikke at den megen kryptering har været unødvendig eller uden resultater, fordi slut-resultatet bliver at myndighederne er nødt til at komme ud af busken og gøre "noget" - ideelt set bliver der en dialog med folket om dette her.
Jeg vil gerne lige lege djævlens advokat lidt, men det er ud fra helt snævre og egoistiske forudsætninger, nemlig at jeg mener det (i nogen sammenhænge, som jeg kommer ind på) er et uvæsen at browsere efterhånden kun accepterer https.
Mit problem er nemlig, at jeg laver nogle webprogrammer, som skal køre 110% lokalt, dvs. helt uden forbindelse til internettet.
I det spil er det utroligt smart at kunne lave min programmer på webserveren, og så lade vilkårlige enheder på lokalnettet, det være sig computere eller tablets, være klienter, som så udelukkende tilslutter sig serveren på IP adresse.
Og der er det så apita at browseren kommer med nagging, da det slet og ret ikke kan lade sig gøre at bruge https uden at være på internettet, og uden at have et kvalificeret domæne - og det vil der slet ikke være tale om i dette tilfælde (og nej Let's Encrypt er heller ikke en løsning).
Så jeg ville være rigtig glad hvis browsere som default ikke brokkede sig over brugen af plain http så længe vi talte om adresser i 192.168.X.X området.
Den gennemsnitlige læser af dette site, vil uden det store besvær kunne google sig til, hvordan man laver certifikater, som dækker lokalnetværket, og tilsvarende hvordan man får browsere (eller operativsystemet) til at stole på det.
Det er måske uvant, men det er altså ikke svært. Hvis man har en staniol-hat, så kan man endda lave sit efter PKI. YMMV.
Til gengæld sikrer det (i højere grad), at et vilkårligt hot-spot ikke lokker folk over på en lokal version af f.eks. gmail.
Jo det så sandelig det er - man kan ikke lave et certifikat for en given lokal IP adresse, det er nødvendigt med et kvalificeret domæne.
Endvidere, der er tale om netværk som er 100% lokalt, så der skal ikke en eneste bit ud at vende en tur på internettet!
Herudover er det ikke muligt/ønskeligt at gå ind og ændre opsætningerne for enhederne, eksempelvis tablets, så browseren skal altså kunne fungere default.
En lokal IP eller generelt en lokal host kan du ikke få et certifikat for.
Det er heller ikke nødvendigt.
Men hvis du sætter din egen lokale dns-server op, kan du give din server et fornuftigt navn uden at den er på internettet.
Dereftwer sætter du en server op med samme navn ude på det offentlige intermet, hvor du får dig et certifikat. Derfeter kopierer du nøgle og certifikat fra den offentlige server til din interne server.
Og vupti, du har https-adgang til din interne server uden at skulle ændre på dine klienter.
Alt er muligt, men ikke nødvedigvis ønskeligt ;-)
Hvis du laver et self-signed certifikat (kan også gøres på en IP), er der ingen anden udvej end at skulle installere dit root-certifikat på samtlige enheder som skal kunne bruges til at tilgå din server.
Hvad der passer dig bedst, kommer an på dine behov, men hvis der er tale om flere servere og/eller flere klienter, vil eg nok gå efter at kopiere et certifikat fra en global server ind på den interne server.
/Henning
Det er selvfølgelig en mulighed, men jeg ser så andre udfordringer i at skulle håndtere DNS siden, så hele nettet ikke pludselig er amputeret.
Mit ønske er at klienterne tilgår en given server rent lokalt via IP adresse (uden at blande internettet ind i sagen), men ikke nødvendigvis at de ikke også stadig skal kunne tilgå internettet i andre sammenhænge.
Det bliver en frygtelig masse krumspring der skal til for at kompensere for https tyranniet.
Hvilket ikke altid er muligt med mobile enheder.
Tilbage står jeg så med at jeg kan blive tvunget over i app tankegangen, men hvor det dog irriterende, når man faktisk kan lave ret elegante løsninger med HTML5.
Jeg forstod dine andre indlæg at du kørte rent LAN - dvs uden internet-forbindelse overhovedet.
Jeg har et par sites kørende delvis på samme måde. Mine data ligge blot på en server ude på nettet men data kan kun tilgåes via VPN.
Jeg har løst det ved at pågældende site kan tilgåes via både via en lokal ipv4 og en global ipv6 via VPN.
Lets-Encrypt kan så tilgå serveren via ipv6, men alle andre data på serveren kun kan tilgåes via vpn-forbindelsen.
En mulighed kunne sevfølgelig være at lukke op og i for ipv6-tunnellen i forbindelse med re-issue af certifikatet, så der kun er lukket op i de minutter hvor certifikatet fornyes. . Men det giver selvfølgelig lidt mere kompleksitet.
Ja sådan er livet jo.
Jeg har en masse ting kørende via VPN til diverse maskiner (alle klienter kører direkte vpn).
De har samme problem med https, selv om data allerede er krypteret en gang. Men så må man jo køre ssl over vpn ;-)
/Henning
Det var mere for at understrege pointen, nemlig at løsningen isoleret set ikke skal have noget med nettet at gøre, men ikke nødvendigvis at jeg kapper lokalnettets adgang til internettet i andre sammenhænge.
Rent konkret er det sådan at jeg vil kunne komme til en given kunde med en boks som er webserveren beregnet til min specifikke løsning, og det eneste jeg vil have lov til er at få en fast IP adresse på hans netværk.
Mine klienter skal så kunne koble sig op via en browser (igen HTML5 tilbyder faktisk ret meget), og brugeren skal så kunne udføre diverse handlinger på webserveren.
Løsningen skal være nem at bruge og installere uden at påvirke kundens netværk ellers, og da det kun kører lokalt, så er det op til mig, sammen med kunden, at acceptere at det "kun" er http, ikke https - den mulighed prøver Google et al i stor stil at sabotere, sikkert fordi deres dagsorden er at alt skal ud på internettet hvor de kan snage, og man sandelig ikke kan acceptere at folk kunne finde på at være så formastelige at lave lokale og private løsninger.
Ahh.
Det lugter lidt af setups jeg tidligere har lavet. Der har jeg så haft fjernadgang til maskinen til vedligehold, ved at maskinen har været på mit VPN. Dvs jeg har haft adgang ind til maskinen udefra, og derved ville kunne kopiere nye certifikater over på maskinen.
Alternativt er at kunden får et certifikat som holder i (meget) lang tid på hosten, så det er sjældent at det er nødvendigt at opdatere vertifikater.
/Henning
Ikke helt, for jeg har ikke nødvendigvis behov for at kunne tilgå serveren udefra (men det problem kan jeg så nok finde en løsning på, hvis det skulle være aktuelt).
Så det er mere, jeg kommer med en lille webserverboks (det kan for den sags skyld sagtens være en RPi, det er ikke noget der skal bruges i store organisationer) og brugerne kan så via en browser logge ind på webserveren, og eksempelvis opdatere den med lageroplysninger eller hvad det nu skal være.
Det er beregnet til mindre løsninger, nogen gange bare af ad-hoc karakter, sådan at det vitterlig bare er at tildele serveren en IP adresse, sætte stikket i, og så kører det hele ellers sit eget liv.
Men så er vi jo tilbage til at der også skal være navneserver, ellers så kan man ikke.
Bortset fra det, så sætter jeg pris på din tilbagemelding, for det er dejligt velreflekteret, og ikke bare den sædvanlige, det-kan-du-klare-med-Let's Encrypt.
Jeg synte det var et virkelig interessant indlæg, PHK.
Jeg ved ikke rigtig selv, hvor jeg står i forhold til den ene eller anden lejr.
Til gengæld, så har man historien i mod sig i forhold til misbrug af lawful intercept & access, både i form af adgang via software or hardware.
Tænkt blot på alle de sager igennem tiden, hvor der er lavet misbrug af værktøjer eller adgange designet til et "nobelt" formål.
Vi kan også bare tage TSA nøgler, som et godt eksempel på at baggdøre, bliver misbrugt, når de bliver fundet. (https://github.com/Xyl2k/TSA-Travel-Sentry-master-keys)
Så spørgsmålet er hvordan man vil sikre det?