Rusland skyfrit ?

Krypteringskrigen spidser til mellem "IT-liberalisterne" og regeringerne.

Konventionel visdom blandt "IT-liberalister" er at "Ingen regering tør/kan/vil lukke for Google/Amazon/Twitter/...", men gæt hvad ? Rusland gjorde det igår.

Sporten helt kort: En russisk domstol har beordret noget trafik dekrypteret, "IT-liberalist" firmaet grinede bare af ordren, hvorefter dommeren beordrede deres service blokeret i Rusland.

Og eftersom de kørte det meste af deres service i Amazons "cloud" service, er ret meget mange af Amazons IP-numre nu blokeret i Rusland.

Det er ikke helt klart i hvor stort omfang Apples og Googles app-stores også er/vil blive blokeret, indtil den nu i Rusland ulovlige app er fjernet.

Ifølge "IT-liberalisterne" varer det ikke mange timer "før Rusland bliver klogere".

Ingen af dem nævner om Google, Apple eller Amazon også bliver klogere ?

De store IT-giganter taler ved festlige lejligheder floromvundet om yttringsfrihed og åbenhed og menneskerettigheder, men hver evige eneste minut af hver evige eneste dag tænker de på deres regnskabstal.

For andre lande end Rusland og Kina og for andre regeringer i USA end den nuværende, kunne IT-giganterne måske have fået USAs regering til at lægge press på det formastelige lands regering, hvis det var vigtigt nok for dem. (Se også: Hvorfor Danmark køber F-35 fly.)

Men hvis prisen for at lave business i Rusland er at man skal droppe en enkelt kunde, så har den kunde nok ikke de store chancer for uforbeholden støtte, specielt ikke når PR-afdelingen kan nøjes med at gentage de sædvanlige to løgne: "Vi overholder naturligvis lovgivningen og vi blander os ikke i politik."

Og selvom Rusland utvivlsomt opnår nogle erfaringer, bliver Rusland næppe "klogere" på den måde "IT-liberalisterne" tror, for kogt helt ind til benet handler det her om retten til at håndhæve landets love i landets territorium, hvilket lærebøger i international ret understreger "er selve definitionen på at være en selvstændig stat."

phk

Kommentarer (30)
Bjarne Nielsen

...kan man lave et sådant forbud. Og det er der vist ikke mange, som har bestridt. Synspunktet er, at det er uforeneligt med at frit og åbent samfund. Man kan ikke have begge dele.

Man kan også forbyde uregistrerede skrivemaskiner, og det skete også her og der tidligere. Det fik man så en ganske særligt type samfund ud af, som viste sig ikke at være værd at samle på.

I øvrigt er forbuddet efter sigende kommet en del bag på store dele af statsapparatet i Rusland ... man mener at have brug for den slags løsninger og brugte faktisk Telegram, så man er hastigt på vej over på Viper o.lign. i stedet. Så handlingen er nok mest af alt symbolsk.

PS: Sammenlign i øvrigt med https://www.theregister.co.uk/2018/04/17/france_government_messaging_app/ - det kan nemt være første skridt i retning "vi må godt, du må ikke". Frankrig har jo tidligere vist at borgerrettigheder ikke står højt på deres prioriteringsliste, så det kan være derfra, at du skal finde rygvind til dit synspunkt.

Dennis Krøger

Google plejer ikke at ryste på hånden. De har længe været blokeret i Kina, fordi de ikke ville spille med... At ens telefon så til tider æder sig igennem sit batteri på rekordtid, fordi apps ikke forstår at Googles servere er nede, er en ret irriterende bagside.

Jesper Lund

Og selvom Rusland utvivlsomt opnår nogle erfaringer, bliver Rusland næppe "klogere" på den måde "IT-liberalisterne" tror, for kogt helt ind til benet handler det her om retten til at håndhæve landets love i landets territorium, hvilket lærebøger i international ret understreger "er selve definitionen på at være en selvstændig stat."

Det er meget muligt at Rusland ikke bliver klogere, men Rusland under Putin er ikke en legitim statsmagt. Det er et undertrykkende regime, som eksempelvis med fuldt overlæg ignorerer domme fra den Europæiske Menneskerettighedsdomstol, selvom Rusland efter international ret, altså den moderne udgave der har udviklet sig efter Anden Verdenskrig, har forpligtet sig til at efterleve domme fra EMD mod Rusland (EMRK artikel 46).

Meget apropos Putin, og at Rusland ikke er en legitim statsmagt, har en politiker i det danske Folketing foreslået, angiveligt i ramme alvor (det var ikke 1. april), at Folketinget skal ignore domme, som de ikke bryder sig om (fx Tele2-dommen). Det burde virkelig bekymre borgerne i Danmark, hvis de ikke ønsker samme deroute som Rusland under Putin. Men det er en anden diskussion for en anden dag..

Hvis vi analyserer et hypotetisk forbud mod kryptering, eller et krav om bagdøre, efter international ret, som i Danmark inkluderer EMRK, EU-Charteret, EU-traktaterne m.v. (flere af disse har direkte forrang over for dansk ret fordi den danske stat har afgivet suverænitet efter grundlovens bestemmelser herom), så må det være ubestridt at der er tale om et indgreb i retten til privatliv, retten til beskyttelsen af personlige oplysninger, og formentlig også ytringsfriheden.

Dette indgreb vil endvidere være generelt og udifferentieret, idet det rammer al kommunikation uden nogen differentiering og uden at der er nogen objektiv sammenhæng mellem den kommunikation, som rammes, og alvorlig kriminalitet. Hele befolkningen sættes under en generel mistanke og får følelsen af at være under konstant overvågning.

Vi har fra international ret i Europa en del retspraksis vedrørende sådanne generelle og udifferentierede indgreb i retten til privatliv og andre grundlæggende rettigheder. For eksempel Tele2-dommen om logning. Eller S. and Marper v. UK, som sagde at staten ikke kan lave DNA-profil registre på generel og udiffentieret basis, bare fordi et flertal i et parlament måske synes at det er en god idé.

Denne diskussion har intet med "IT-liberalister" at gøre. Det handler om retsstaten og grundlæggende rettigheder, som skal beskytte borgeren mod staten. Borgerne har altså flere rettigheder end at vælge deres diktator hver 4. år.

Jesper Lund
Formand, IT-Politisk Forening

Poul-Henning Kamp Blogger

Denne diskussion har intet med "IT-liberalister" at gøre. Det handler om retsstaten og grundlæggende rettigheder, som skal beskytte borgeren mod staten. Borgerne har altså flere rettigheder end at vælge deres diktator hver 4. år.

Borgerne har præcis de rettigheder som de er villige til at kæmpe for og/eller som de kan forhindre erosion af, f.eks ved at skrive dem i en grundlov som politikerne, despoter og idioter ikke kan lave om på.

Og jo, det handler i allerhøjeste grad om "IT-liberalister" der tror at bare de bruger kryptering nok og har data-donorer nok i deres startup bliver de hævet over politik.

Bare fordi man aldrig har lavet en systemanalyse på folkeretten betyder det ikke at man kan ignorere den.

Jesper Lund

Og jo, det handler i allerhøjeste grad om "IT-liberalister" der tror at bare de bruger kryptering nok og har data-donorer nok i deres startup bliver de hævet over politik.

Hvis "IT-liberalister" inkluderer virksomheden Telegram (?), har de i øvrigt gjort andet end at påpege de faktuelle forhold ved sagen, herunder at Telegram ikke kan udlevere indholdet af kommunikationen i dekrypteret form, fordi krypteringen er end-to-end og.. sikker.

Telegram har også indgivet en klage til den Europæiske Menneskerettighedsdomstol.

Hvis der er nogen som har et problem med retsstaten, er det ikke de såkaldte "IT-liberalister" (hvem det så end er), men regeringer/stater som eksempelvis opretholder en masseovervågning, som en domstol har dømt klart ulovlig (udover Putin: ingen nævnt, ingen glemt).

Poul-Henning Kamp Blogger

Hvis "IT-liberalister" inkluderer virksomheden Telegram (?)

Lad os se hvad de selv siger på deres FAQ side:

"The Telegram team had to leave Russia due to local IT regulations and has tried a number of locations as its base, including Berlin, London and Singapore. We’re currently happy with Dubai, although are ready to relocate again if local regulations change."

"Big internet companies like Facebook or Google have effectively hijacked the privacy discourse in the recent years. Their marketers managed to convince the public [...]"

Yup, det er tydeligvis IT-bros der mener at deres "vision" er højt hævet over alle andre hensyn.

Finn Olsen

EUs databeskyttelsesforordning artikel 32 stk. 1:

Behandlingssikkerhed
1.Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
a) pseudonymisering og kryptering af personoplysninger
b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

Svært at krybe udenom kryptering, hvis man vil sikre vedvarende fortrolighed

Jesper Ravn

@PHK, det du beskriver i din blog, kan koges ned til rendyrket censur.
Det er også censur, når Putin lukker aviser og uafhængige medier, når de ikke vil udlevere deres kilder eller skriver noget, der går mod regimet.

Du har godt nok en dårlig sag, når du benytter diktaturstaten Rusland, som løftestang for at fremme dine argumenter mod Cloud/IT Tech giganterne/IT-liberalisterne.

Hvad er i øvrigt definitionen på en IT-liberalist?

Maciej Szeliga

Det er med censur som med terrorister: den ene mands frihedskæmper er en anden mands terrorist.

Vi kan på samme måde påstå at der er censur i vesten når hjemmesider blokeres på baggrund af en lov i et vestligt land.

I Tyskland må man f.eks. ikke sprede nazistisk propaganda og bruge nazismens symboler, jeg er helt sikker på at tyske nazister vil elske din approach til censur.

Poul-Henning Kamp Blogger

@PHK, det du beskriver i din blog, kan koges ned til rendyrket censur.

Helt klart.

Men det er sådan set en ligegyldig detalje i denne sammenhæng, det kunne lige så godt være franskmændenes sproglige hang-ups, tysklands forståelige holdning til holcaust-benægtere, schweiz' bankhemmelighed,
city-of-london's skattely eller et hvilket som helst nationalt prestigeprojekt hvor som helst på jorden.

Det centrale spørgsmål er om Cloud-services er så uundværlige at de udgør et forhandlingsinstrument i mellemfolkelig politik.

Ruslands klare svar var "Ikke engang tæt på"

Thomas Toft

I stedet for at sige "når der er to Onsdage i en uge" må det snart blive "den dag PHK kan skrive et indlæg som trolls ikke misforstår med vilje".

Kom nu ind i kampen drenge og gå efter bolden i stedet for manden. Det her er diskussion på lavt plan. I ved udmærket hvad PHK mener, så diskuter da det i stedet for at prøve at pille eksemplet i stykker.

At råbe PUTIN eller TRUMP må være 2018's version af Godwin's lov.

Michael Cederberg

Det centrale spørgsmål er om Cloud-services er så uundværlige at de udgør et forhandlingsinstrument i mellemfolkelig politik.

Ruslands klare svar var "Ikke engang tæt på"

Og det kan ikke overraske nogen. Lande som Rusland og Kina har styrken til selv at lave disse services. På sigt vil det også blive billigt for alle andre at lave det samme.

Hvis "IT-liberalister" inkluderer virksomheden Telegram (?), har de i øvrigt gjort andet end at påpege de faktuelle forhold ved sagen, herunder at Telegram ikke kan udlevere indholdet af kommunikationen i dekrypteret form, fordi krypteringen er end-to-end og.. sikker.

Den russiske regering er i sin gode ret til at beslutte at den service som Telegram udbyder er ulovlig. Brugere udenfor Rusland er i deres gode ret til at vælge en udbyder der leverer end-to-end kryptering i det omfang det er tilgængeligt i deres område. Brugere i Rusland må leve med det diktatoriske og kleptokratiske regime de er endt med. IT er ikke et quickfix til rå magtpolitik.

Maciej Szeliga

Det retfærdiggøre på ingen måde denne sag i Rusland.
Two wrongs don't make a right.


Når man selv sidder i en gylletank skal man ikke beklage sig over andres lort.

I gamle dage var det dejligt nemt: Vest var de gode som støttede friheden, Øst var de grimme kommunister som gjorde alle til slaver.
Nu er det lidt ligegyldigt hvor man er for alle politikere er idioter og vi andre er idioter i anden potens fordi vi lader os styre af dem.

Hans Nielsen

Michael har du set mit spørgsmål til dig, i den anden tråd.
Det har også lidt med det her at gøre.

https://www.version2.dk/comment/375300#comment-375300

Du svarede ikke på hvordan man kunne lave en sikker bagdør, hvor kun de "gode" kunne få adgang. Du mente det var nemt og simpelt ?

Hvis du har taget munden lidt for fuld, så er det helt ok, man kan ikke vide alt. -
Men så bør du også bare indrømme, at der ikke findes en måde hvor kun de gode får adgang. Og man ikke samtidigt sætter alle andre sikkerhed over styr, som i ALLE. Også længe at det er sådan, så er menings mands selvforsvar, mod overgreb mod menneskerettigheder som retten til et privatliv. Kryptering.

Kurt Friis Hansen

Poul-Henning Kamp er inde på noget centralt for fremtidens udvikling. Ikke bare i Kina, Rusland og lignende, men generelt for alle andre (u)civiliserede nationer i verden. I dag kan ingen dansk minister belære en udenlandsk regering med et "uforbederlig syn" på de borgerlige friheder. Ret sørgeligt, ik'?

Politikerne benytter argumenter som terroristbekæmpelse, kamp mod kriminalitet osv. Altsammen agtværdige formål, men... kender du en ledende politiker, der IKKE tænker på egen fordel før ALT andet? De mange personlige data, der i dag flyder rundt i skyen, er et rent syretrip for en politiker i vedvarende jagt på effektiv valgflæsk. Hvilke meninger skal man have, for at opnå størst chance for (gen)valg? Befolkningens sikkerhed og sundhed kommer i bedste fald langt nede på listen.

Når milliarder af mennesker gladeligt publicerer de mest intime detaljer i deres liv til Facebook, Google, LinkedIn osv., frit tilgængeligt for deres “bisiddere” fra app-butikkerne, er det uhyre svært til umuligt at argumentere for, at stater ikke skal have en form for “bagdør”. Især når sky-giganterne allerede har illustreret værdien af data i praksis i det politiske domæne.

På en måde vil politikernes bestræbelser kunne levere større sikkerhed. Næppe bevidst - helt sikkert en uventet bivirkning - men i deres forsøg på at monopolisere - nationalisere - data og adgangen tilsat misbrug af oplysningerne til personlig vinding, kan resultatet blive større sikkerhed for den enkelte. Ikke mod overgreb, og vilkårlighed fra politi og stat, men i hverdagen. Hvor er forskellen til dagens Danmark - senest efter Tibet- og overvågnings-skandalerne?

Den helt store synder er måden, vi har indrettet vor data infrastruktur på. Vi har maksimeret sårbarheden. Alle går rundt med “data i hånden”. I op til flere udgaver, der vedligeholdes (sync) via skyen (hvor data lagres ukrypteret i de fleste tilfælde) på notebook, tablet og mobil, der hver udstyres med en kopi. I stedet for at basere dagligdagen omkring “data ved hånden”, hvor data opbevares i en sikker enklave, måske endda i en national sky (den moderne “mainframe” omgivelse). Data, der tilgås via en simpel communicator (en moderne “terminal-løsning”), der i princippet ikke laver meget andet end at streame skærmopdateringer og kommandoer. Men ingen kritiske data. Kun resultaterne overføres. Alene lidt spil, evt. udvalgte bøger og anden underholdning, behøver at findes i den lokale, særligt “sårbare” zone.

Apple, Samsung, Huawei og alle de andre producenter med “data i hånden” som forretningsmodel er næppe vilde med “data ved hånden” løsningen. Den er ikke nær så profitabel.

Lad mig beskrive et vanvidscenario (glem et øjeblik petitesser som datamængde, fang i stedet pointen :-). Forestil dig at alle medarbejdere i en virksomhed altid futter rundt med en mere eller mindre komplet kopi af alle data og programmer, der er nødvendige for det daglige arbejde. Inklusive alle nødvendige passwords til - for eksempel - virksomhedens kommunikation med bank, myndigheder, organisationer og komplette kundedata. Data i hånden, der holdes synkroniserede via skyen for alle firmaets ansatte og deres totale “gearpark”.

Enhver kan se vanviddet. Skal data være tilgængelige - data ved hånden - uden for virksomhedens rent fysiske omgivelser, sker det typisk med kontrolleret adgang via en eller anden udgave af et fjernskrivebord, der kan ledes til sikrede omgivelser. Om virksomhedens data findes i skyen eller i et lokalt datacenter gør ikke nødvendigvis den helt store forskel. I praksis. Langfredag eller nytårs nat eller... er de fleste firmaers fysiske datacentre minimalt bevogtede. Gulvkosmetikerbranchens ansatte kan også råde over uventede kvalifikationer.

For den almindelige bruger er kun skyen en løsning, hvis (når?) det grundlæggende princip skal ændres fra “data i hånden” til “data ved hånden” og bevægeligheden stadig bevares. Med delte resourcer for sikkerhed, backup og alt det løse. Samt mulighed for en simplere “communicator” i mange sammenhænge. På farten er faren for de helt store datakatastrofer - f. eks. grundet tab eller tyveri - begrænset, idet kritiske data slet ikke eksisterer “i hånden”, og adgangen til “data ved hånden” kan hurtigt og enkelt blokeres via et simpelt telefonopkald - typisk inden for få minutter. Stort set overalt på kloden. Sikkert længe før adgangskoden er brudt.

Ser vi bort fra “staters rubber hose afdelinger”, kan der for den almindelige bruger være en betragtelig gevinst i sikkerhed i dagligdagen.

Kunsten består i at hindre direkte misbrug fra især politikere, myndigheder og deres ansatte. Det gælder i princippet allerede for de data, rigtigt, rigtigt mange mennesker frivilligt og helt ukontrolleret smider på Facebook. Vi ved med sikkerhed, at når der er penge på bordet, er Facebooks reaktion ikke til at skelne fra en grisk levebrødspolitiker i konstant pengenød. Var Facebook en politiker, ville det være skoleeksemplet på korruption.

Der kommer ændringer på området, som du er inde på. Politisk magtbrynde vil sandsynligvis føre til statslige og nationale sky-monopoler i en eller anden form. Om jeg, du eller vi kan lide det eller ej, får ingen betydning. Vi kan kun FORSØGE at opnå fornuftige løsninger, omend historien mere end antyder, at politisk stupiditet og kortsynethed med stor sandsynlighed vil vinde. I hvert fald i første omgang, og er vi heldige, bliver oprydningsarbejdet ikke alt for meget værre, end følgerne af tåbernes skabelse af grundlaget for den anden verdenskrig.

Som glad pensionist kan jeg måske være så heldig at kratte af, inden helvedet for alvor bryder løs og virkeligheden ubærlig for mange.

I dag er det per kongelig forordning indført Store Bededag, så lad os alle bede om et mirakel i form af fornuft!

Poul-Henning Kamp Blogger

Politikerne benytter argumenter som terroristbekæmpelse, kamp mod kriminalitet

Men 100% karakteristisk bruges den (ulovlige) masseovervågning ikke når det er "ordentlige mennesker" der laver kriminalitet.

Var det ellers ikke indlysende at alle jagte skatteålene med skattely-konti, kvotekongerne, sprøjtemiddelsmuglerne og ledelsen af Danske Bank ledelsen med deres baltiske møntvaskeri i telelogningen ?

Kurt Friis Hansen

Jeg er helt enig med dig.

Er det ikke besynderligt, at især de mere “kreative sjæle” med store, firmafinansierede tegnebøger - og ikke landsbytosserne fra medlemslisten - i årevis har kunnet drage nytte, af et komplet og vedvarende kuldsejlet skattesystem. Var det foregået i Italien, havde næppe nogen dansker været i tvivl om årsagen. På en række punkter, minder Danmarks tilstand forbavsende meget om Andreotti’s gode forbindelser med det ærværdige selskab fra - blandt andet - Sicilien.

Hovsa… Hvorfor er der egentlig så mange italienske selskaber involveret i danske projekter - lige fra tog til tiden (ahem) og opefter?

Jeg hørte i øvrigt et ganske underholdende spørgsmål i dag. En lille barsker til weekend’en: “Hvad giver størst dødelighed på hospitalerne? DJØF’ernes regneark eller en influenzaepidemi?”

Bjarne Nielsen

Du svarede ikke på hvordan man kunne lave en sikker bagdør, hvor kun de "gode" kunne få adgang. Du mente det var nemt og simpelt ?

Der er mange som mener, at det er nemt og simpelt, uden på overbevisende måde at kunne forklare hvorfor. De fleste undlader klogeligt at gå i detaljer, men nøjes med at understrege deres overbevisning.

I denne uge var Ray Ozzie ude med en "løsning", som han kalder for Clear (det er modigt at vælge et navn, som er så tæt på Clipper). Det er beskrevet i en artikel i Wired med titlen "Cracking the crypto war" og undertitlen: "Ray Ozzie thinks he has an approach for accessing encrypted devices that attains the impossible: It satisfies both law enforcement and privacy purists."

De mediane IT-liberalister (som vi, jfr. sædvanligvis velunderrettet kilde, ved typisk er "hvide, hankøn, højtlønnede og barnløse") var ikke sene til at pille det forslag fra hinanden: Ars Technica / ZDNet. Udover forvirring over antallet af nøglepar, så er den grundlæggende holdning, at Clear genbruger allerede kendte løsninger uden at adressere allerede kendte problemer. Gammel vin, nye flasker.

Nu har Michael jo ikke, som Ray Ozzie, stået bag Lotus Notes, eller været CTO i Microsoft (i hverfald ikke så vidt jeg ved), så jeg er sikker på, at han kan komme op med noget mere intelligent.

Michael Cederberg

Du svarede ikke på hvordan man kunne lave en sikker bagdør, hvor kun de "gode" kunne få adgang. Du mente det var nemt og simpelt ?

Jeg har ikke sagt det var nemt og simpelt. Men jeg har sagt at man godt kan lave noget der er sikkert nok og som samtidigt giver myndighederne mulighed for at lytte med når retssystemet giver lov.

Hvis du har taget munden lidt for fuld, så er det helt ok, man kan ikke vide alt.

Jeg ved ikke alt (kun næsten), men i dette tilfælde har jeg ikke taget mundet for fuld. Men jeg overvåger ikke alle tråde på version2.

Nu har Michael jo ikke, som Ray Ozzie, stået bag Lotus Notes, eller været CTO i Microsoft (i hverfald ikke så vidt jeg ved), så jeg er sikker på, at han kan komme op med noget mere intelligent.

Ha ha ha ... næh, men jeg har arbejdet for Microsoft for længe længe siden. Men Ray Ozzie forsøger at løse et helt andet (og sværere) problem. Han forsøger at løse problemet omkring devices hvor myndighederne har fysisk adgang. Han forsøger at opveje myndighedernes behov for at få adgang, mod leverandørernes krav om at en metode til adgang ikke kan genbruges til alle telefoner af samme mærke (som fx. hvis apple lavede en special version af iOS) og brugernes behov for at vide om nogen har haft adgang til deres telefon. Det er et andet problem end om man kan lytte med på kommunikation.

Basalt set går mit forslag ud på følgende:

  • Virksomheder må ikke hjælpe med til end-to-end krypteret kommunikation mellem parter hvor de ikke kender mindst en af modparterne
  • Private må kommunikere krypteret så meget de har lyst

I stedet for end-to-end krypteret kommunikation løses det med krypteret kommunikation mellem brugeren og formidleren (teleselskabet, Telegram, WhatsApp, etc.) sådan at formidleren har fat i kommunikationen i ukrypteret format.

Formidleren logger det nødvendige information (IP, timestamps, protocoller, whatever.). Det loggede krypteres med almindelig asymmetrisk kryptering hvor dekrypteringsnøglen gemmes hos 3. part hvor den kun kan fremskaffes med en dommerkendelse. Nøgleparrene genereres af 3. part, sådan at formidleren aldrig har fat i dekrypteringsnøglen.

På den måde vil det med dommerkendelse være muligt at overvåge kommunikation i realtime (det er ganske få imod ... det er som aflytning af telefonsamtaler i traditionel forstand). Man kan også gå tilbage i tid og se på det loggede, men her skal man have fat i en dommerkendelse og fat i 3. part for at se det loggede.

Jeg beskrev løsningen i flere indlæg i nedenstående tråd. https://www.version2.dk/blog/amber-rudd-uvidende-idiot-1074948

Hans Nielsen

"Basalt set går mit forslag ud på følgende:
Virksomheder må ikke hjælpe med til end-to-end krypteret kommunikation mellem parter hvor de ikke kender mindst en af modparterne
Private må kommunikere krypteret så meget de har lyst"

Hvordan vil du på basis af de 2 ting, sikrer dig at myndigheder kan få adgang til telefonen. Man må vel altid formode at virksomheden kender den ene part. Den som de sælger deres varer til ?

Eller mener du med "kender" at de skal have CPR, billede, DNA, mailkonto, bankkonto, telefon, Fingeraftryk og andre biologisk identifikationer
Hvis det er tilfældet, hvordan sikrer du dig så at de data ikke bliver hacket og misbrugt ?

Men selv om de kender deres kunder, hvordan sikrer du dig så at de ikke er terrorister, sælger deres ID ?

Men du har ikke svaret på det et af de vigtigste spørgsmål. Hvordan sikre du dig at "Nøgleparrene genereres af 3. part, sådan at formidleren aldrig har fat i dekrypteringsnøglen." at denne 3 part,
ikke bliver købt, hacket, sælger, bestjålet, mister deres data, eller bare har et brodne kar eller der er en ukendt fejl i deres system. Eller at den billigste udbyder, af en sådan tjeneste er oprettet og betalt af NSA eller lignende.

Når du har løst det, så skal du svare på hvem dommeren skal være, i hvilken land, efter hvilken love. Hvad hvis man finder noget andet ulovligt, end det man fik en dommerkendelse på. Hvad med data og billeder af personer telefonen som ikke har noget med personen som har brugt enheden/tjenesten, og sikkert mange andre gode spørgsmål. Som kommer ind under menneskerettigheder og andre love.

Og hvis du endeligt fik løst de 2 problemmer, så var der sikkert mange andre. Men det var stadig ikke noget der hindret at kriminelle, terrorister og andre udvekslet oplysninger. Mens det kun var ALLE andre lovlydig borger, som risikere indbrud, mistet data, stjålet identitet, .. På grund af en bagdør som ikke ville virke efter hensigten.

Men kom igen Michael har du bare en tilnærmelsesvis god metode eller ide, måde til at klare bare en af de 2 ting ?

beskyttelse af nøglen og adgangen til denne ?

Hans Nielsen

På den måde vil det med dommerkendelse være muligt at overvåge kommunikation i realtime


Hvordan vil du overvåge alt kommunikation i realtid ?

Hvis jeg logge ind på WOW og min figur løber enten til højre og venstre foran en anden online spiller (di-dar) hvordan vil du tokle dette. Udover det bare kan være lidt headslaming. Og jeg forstår stadig ikke hvorfor du finder det så vigtig at overvåge alt kommunikation, fra alle mennekser i verden. Hvis ikke,det er dem som er målet. ? Når skurkene nemt og simpelt kan komme uden om det. Hvilken tyv tager sin mobil med på arbejdet ?

Hvis man skulle bruge så mange ressourcer, hvorfor så ikke på noget mindre tåbeligt. Som at få kontoudtog, økonomisk transaktioner, køb salg af aktier og værdier i alle lande. Man må formode at normale mennesker som har en konti i udlandet er kriminelle, og hvis de ikke har noget at skjule, så betyder det jo ikke noget at oplysninger er frie og tilgængelige. De lande som ikke vil samarbejde, kan man pålægge en strafskat/told på alle varer og økonomiske transaktioner.

Appel, Amazons,... skatteunddragelse i EU kunne betale nogle hospitaler. Eller Shell og de andre olieselskabers manglende skattebetaling og korruption i 3 lande landene, kunne betale meget mad, skoler og andet udvikling i samfundet. I stedet for våben til magthaverne for at kunne holde sig til magten.

For lande og verden som helhed er skatteunddragelse, korruption og økonomiske kriminalitet langt være og farlige for samfundet. De store kriminelle og terrorister vil også blive ramt og stækket af et sådan tiltag. Hvorfor kæmper politikere og myndigheder ikke noget mere for det ?

Michael Cederberg

Hvordan vil du på basis af de 2 ting, sikrer dig at myndigheder kan få adgang til telefonen.

Mit forslag går på kommunikation mellem personer. Ikke på bagdøre i selve telefonen eller i andre computere. Den slags er for farligt. Ozzies metode krævede i det mindste at man rent fysisk har adgang til devicen.

at denne 3 part, ikke bliver købt, hacket, sælger, bestjålet, mister deres data, eller bare har et brodne kar eller der er en ukendt fejl i deres system. Eller at den billigste udbyder, af en sådan tjeneste er oprettet og betalt af NSA eller lignende.

For det første skal man hacke eller overtale både teleselskabet og 3. part. Som beskrevet i den anden tråd jeg linkede til, så kunne 3. part placere koderne i et gennemsigtigt pengeskab på Rådhuspladsen. På den måde ville offentligheden have en mulighed for at se hvor ofte nogen skulle i pengeskabet for at hente koder. Samtidigt kunne man kræve at alle indhentninger af koder skulle begrundes senest 6 måneder efter (evt. med en mulighed for at justitsministeren offentligt kunne begrunde en udskydelse hver 6. måned).

Når du har løst det, så skal du svare på hvem dommeren skal være, i hvilken land, efter hvilken love.

Dommeren er i det land tjenesten findes. Sådan som det er med alle andre internet tjenester.

Men det var stadig ikke noget der hindret at kriminelle, terrorister og andre udvekslet oplysninger.

Næh. Men jeg vil sikre at hvis kriminelle skal kommunikere krypteret, så skal de enten mødes rent fysisk eller bruge mindre sikre metoder til at aftale kommunikationen. Almindelige borgere vil være nødt til at stole på myndighederne i det land tjenesten udbydes i – hvis de ikke kan lide de myndigheder, så kan de finde en anden tjeneste i et andet land.

Hvordan vil du overvåge alt kommunikation i realtid ?

Nej. Men jeg ønsker at myndighederne kan komme til disse krypterede kommunikationskanaler med en dommerkendelse i hånden.

Hans Nielsen

Bare lige korte svar på nogle enkelte af dine.
"
Når du har løst det, så skal du svare på hvem dommeren skal være, i hvilken land, efter hvilken love.
> Dommeren er i det land tjenesten findes. Sådan som det er med alle andre internet tjenester.
"
Nu er det jo lidt svært nogle gange at sige hvor en tjeneste befinder sig. Den kan jo bare bestå af noget software på min telefon. Men hvis jeg så får f.eks har en tysk tjeneste, så vil du sandsynligvis ikke få udleveret noget som helst, eller kun i meget få tilfælde.

Hvad vil du f.eks. gøre ved https://tutanota.com/da/ ?

"Hvordan vil du overvåge alt kommunikation i realtid ?
> Nej. Men jeg ønsker at myndighederne kan komme til disse krypterede kommunikationskanaler med en dommerkendelse i hånden."

Hvordan kender du forskel på en krypteret tjeneste og støj ?
Hvordan finder du krypterede kommunikationskanaler i en VPN eller https forbindelse ?

"at denne 3 part, ikke bliver købt, hacket, sælger, bestjålet, mister deres data, eller bare har et brodne kar eller der er en ukendt fejl i deres system. Eller at den billigste udbyder, af en sådan tjeneste er oprettet og betalt af NSA eller lignende.

>for det første skal man hacke eller overtale både teleselskabet og 3. part. Som beskrevet i den anden tråd jeg linkede til, så kunne 3. part placere koderne i et gennemsigtigt pengeskab på Rådhuspladsen. "
Nej du skal bare købe 2 personer, eller hacke begge selskaber. Hvis de bruger windows eller andre amerikanske produkter, så har NAS sikkert allerede adgang. Eller har ansat personale.
Nu er en fysik glasmontre på rådhuspladsen nok ikke egnet . Igen man kan ikke interpolere den fysiske virkelighed over i den virtuelle. Hvis vi skulle sammenligne med noget fra den virkelige verden. Så Rusiske doping prøver, i sikker rum i Sotsji.

Michael Cederberg

Den kan jo bare bestå af noget software på min telefon

Jeg er ligeglad med software på din telefon. Der er alligevel ikke noget man kan gøre ved det. Jeg interesserer mig kun for virksomheder der formidler krypteret end-to-end kommunikation.

Det jeg er efter er situationer hvor jeg kan "ringe" til nogen uden at jeg ved hvem de er, uden de ved hvem jeg er og hvor ingen kan lytte med. Specifikt er jeg interesseret i de situationer hvor en virksomhed udbyder sådan en service.

Når jeg er interesseret i den slags, så er det fordi kriminelle anonymt kan komme i kontakt med andre kriminelle på den måde. De kan gøre det uden risiko. Og fordi det er en virksomhed der udbyder servicen, så har "kunderne" en mulighed for at komme efter virksomheden hvis den bryder aftalen og virksomheden kan tabe sit indtægtsgrundlag. Ydermere vil kriminelles kommunikation blot være en dråbe i havet i forhold til almindelige menneskers kommunikation.

Hvis den kriminelle vælger en "community" service, så har han ingen anelse om hvem der driver servicen. Fx. har folk over årene postuleret at en del af Tor noderne drives af NSA og andre efterretningsservices. Det samme gælder en del VPN og andre services.

Hvis han fx vælger en service som fx terrorister anbefaler, så risikerer han enten at den blot er en honeypot eller at afsløre sig som potentiel kriminel blot ved valget af service.

Men hvis jeg så får f.eks har en tysk tjeneste, så vil du sandsynligvis ikke få udleveret noget som helst, eller kun i meget få tilfælde.

Måske. Tyskerne har også problemer med kriminalitet og holdningerne ændres langsomt. Man kunne selvfølgeligt vælge en service i Burundi … og på den måde påkalde sig myndighedernes søgelys. Under alle omstændigheder er de vestlige lande stærke nok til at få de fleste andre lande i verden til at makke ret. Dem vi ikke kan, har endnu mere drakoniske love.

Hvordan kender du forskel på en krypteret tjeneste og støj ?

Jeg er ligeglad. Hvis du selv krypterer end-to-end, så skal du aftale med modparten hvordan det skal ske og i skal selv udveksle nøgler. Hvis den ene er under overvågning så finder vi den anden.

Hvordan finder du krypterede kommunikationskanaler i en VPN eller https forbindelse ?

Jeg er ligeglad. Blot det ikke er virksomheder der faciliterer krypteret end-to-end kommunikation. Hvis du vælger en VPN service, så placerer du en pæn tillid i deres service … vil du gøre det som kriminel?

Nej du skal bare købe 2 personer, eller hacke begge selskaber. Hvis de bruger windows eller andre amerikanske produkter, så har NAS sikkert allerede adgang. Eller har ansat personale.

Det vil være relativt få personer der har adgang. Vi kan sprede nøglen ud over N parter hvor man skal have alle dele for at dekryptere data. Det kan gøres strafbart at udlevere disse nøgler og strafbart ikke at tage fornuftige foranstaltninger til at sikre dem. Det kan gøres arbitrært svært at komme til.

Nu er en fysik glasmontre på rådhuspladsen nok ikke egnet . Igen man kan ikke interpolere den fysiske virkelighed over i den virtuelle.

En gennemsigtigt pengeskab kan faktisk være meget stærkt. Formålet er at gøre det synligt at se hvor meget denne facilitet udnyttes af myndighederne. Hvis man er bange for sikkerheden af pengeskabet kan en del af nøglen gemmes i et rigtigt pengeskab - på den måde skal man både ind i det rigtige pengeskab og ind i glasskabet (hvilket vil være synligt for alle i landet).

Med hensyn til NSA og andre store efterretningstjenester, så tror jeg ikke almindelige mennesker kan beskytte sig mod dem med tekniske midler. Men vi kan gøre det sådan at det er dyrt for dem at skaffe sig adgang (sådan at de ikke gør det ofte) og sådan at det er synligt hvor ofte de gør det (sådan at vi kan se omfanget). NSA og andre er kun et problem for almindelige mennesker hvis de masseaflytter vores kommunikation. Så længe det kun sker i lille omfang vil målet være de værste forbrydere.

Log ind eller Opret konto for at kommentere