Poul-Henning Kamp: »HTTPS-over-det-hele vil tvinge regeringerne til at reagere«

Begejstring for kryptering kan ende med at betyde, at kraftig kryptering bliver svækket ved lov, mener Poul-Henning Kamp.

De facto ubrydelig kryptering så mange steder muligt kan ende med at svække folks mulighed for privatliv.

Det mener Version2-blogger Poul-Henning Kamp, der blandt andet også har deltaget i privacy-debatten i kølvandet på Edward Snowdens afsløringer.

Debatten om brug af stærk kryptering, som på den ene side kan beskytte folks privatliv, men på den anden side kan gøre politimæssigt efterforskningsarbejde særdeles vanskeligt, popper jævnligt op.

Eksempelvis da The Register sidst i juni bragte et interview med den finske sikkerhedsforsker Mikko Hyppönen fra F-Secure.

Interviewet kom blandt andet omkring et politisk ønske fra flere sider om at begrænse brugen af kryptering. Her anførte Hyppönen, at et forbud mod at bruge stærk kryptering kun vil ramme lovlydige mennesker, mens kriminelle vil være ligeglade. Og derfor vil sådan et forbud ifølge Hyppönen ikke fungere.

Desuden sagde han at, »katten er ude af sækken« og henviste til, at kryptering bygger på grundlæggende matematik.

»Du kan gå ind på et vilkårligt bibliotek og skaffe en bog, der forklarer dig, hvordan du implementerer ubrydelig kryptering,« sagde Hyppönen i interviewet med The Register.

Australsk lov frem for matematikkens

I den modsatte lejr, så kunne The Guardian forleden fortælle om den australske premierminister Malcolm Turnbull, som fastslog, at »matematikkens love er meget prisværdige, men de eneste love, der gælder i Australien er Australiens lov.«

Det skete i forbindelse med den australske regerings planer om at indføre lovgivning, der skal tvinge tech-virksomheder som Google og Facebook til at give politimyndigheder adgang til krypterede beskeder i efterforskningsøjemed.

Både historien med Hyppönen og den med Turnbull har skabt en del debat her på Version2.

Modsat mange andre debattører på Version2, så mener mener Poul-Henning Kamp ikke, at ubrydelig kryptering er ubetinget godt - heller ikke i forhold til at sikre folks privatliv.

Faktisk mener han, at kryptering bør være hovedreglen, eksempelvis for at undgå Se&Hør-lignende sager.

»Men skal det altid være ubrydelig kryptering ? Bestemt ikke,« skriver han i et mail-interview.

HTTPS

Som eksempel på udbredt kryptering, der ikke uden videre lader sig bryde, og som har vundet indpas mange steder, nævner Poul-Henning Kamp TLS/SSL, der som bekendt sætter S’et på HTTP.

Udover at kryptere trafikken mellem server og klient, så den ikke kan læses af en man-in-the-middle, så har SSL også flere andre egenskaber.

Blandt andet tjener den 'grønne hængelås' som en garanti for, at når der står www.netbank.dk i browserens adressefelt, så er det faktisk også netbanken, brugeren kommunikerer med og ikke cyberkriminel.com

Men i udgangspunktet krypterer SSL altså også trafikken, og det er ikke nødvendigvis hensigtsmæssigt, mener Poul-Henning Kamp.

»En børshandel er f.eks ikke hemmelig, tværtimod faktisk, og derfor har den ikke brug for secrecy, men den har i allerhøjeste grad brug for anti-reply og authentication.«

Han nævner også en medie-hjemmeside, der vil kunne nyde godt af den garanti, SSL kan give i forhold til, at det faktisk er den rigtige hjemmeside og det rigtige indhold, brugeren læser, og ikke eksempelvis et fake-news-site.

Derimod mener Poul-Henning Kamp ikke, det er nødvendigt med kryptering af indholdet, der transporteres mellem klient og server på eksempelvis en medie-hjemmeside.

It-liberalister

Netop SSL har de senere år fundet vej ind på rigtigt mange hjemmesider, så trafikken altså i udgangspunktet bliver sendt krypteret, så heller ikke politimyndigheder har mulighed for at lytte med på linjen.

Som bannerfører for udbredelsen af kryptering fremhæver Poul-Henning Kamp en gruppe, han kalder 'it-liberalister'.

»Personligt mener jeg f.eks at politiet skal have mulighed for at efterforske og retsforfølge trusler om mord, vold, lemlæstelse og voldtægt, indenfor nogle af samfundet fastsatte rimelige rammer,« skriver han og fortsætter:

»Dem jeg kalder it-liberalisterne mener ikke, det er vigtigt om politiet kan det, de affejer det som en detalje. Politiet må klare sig som bedst de kan 'med andre midler', privatlivet og retten til stærk kryptering skal være absolut.«

Den mediane it-liberalist definerer Poul Henning-Kamp som hvid, hankøn, højtlønnet og barnløs, og som en, der »formodentlig ikke sig selv som it-liberalist eller for den sags skyld som involveret i samfundsforandrende menneskeretsaktivisme.«

»HTTPS-over-det-hele vil tvinge regeringerne til at reagere«

Efterhånden som SSL-kryptering finder vej ind på alverdens web-tjenester, så vil det også tvinge stater til at reagere, mener Poul-Henning Kamp.

»Netop HTTPS-over-det-hele vil tvinge regeringerne til a gøre noget ved kryptering, for du kan som politiker ikke overleve, hvis du siger til den brede befolkning at politiet intet kan gøre, når en teenagepige modtager trusler om mord/lemlæstelse eller voldtægt.«

Hvad Poul-Henning Kamp beskriver som »IT-liberalisternes kompromisløshed og ansvarsløshed« vil ifølge ham - og paradoksalt nok - føre til mindre privacy.

Det hænger sammen med, at stater vil begynde på sådan noget som at presse al datatrafik gennem en firewall (med overvågning for øje), forbyde services og/eller insistere på at udstede rodcertifikater, så det bliver muligt at lave man-in-the-middle-angreb.

»I sidste ende får vi formodentlig mindre elektronisk privatliv tilbage som resultat af denne politiske naivitet ...,« skriver Poul-Henning Kamp med henvisning til de såkaldte it-liberalister.

Poul-Henning Kamp har i øvrigt også tidligere været ude med riven efter SSL over det hele. Blandt andet her i forbindelse med et indlæg offentliggjort på varnish-cache.org om, hvorfor cache-serveren Varnish ikke har indbygget SSL-understøttelse. Her argumenterer han også for, hvorfor allestedsnærværende SSL ikke nødvendigvis er en god idé.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (162)
Jonas Finnemann Jensen

IT sikkerhed er og bliver en af de helt store udfordringer, ikke mindst på grund af manglende økonomiske incitamenter. Og for at lave et sikkert IT system skal man have flere uafhængige lag af sikkerhed.

  • HTTPS er et lag,
  • Netværks sikkerhed er et andet lag,

Selv hvis hverken min ISP eller regering er et problem. Så er der idag millioner af mennesker med kompromitterede wifi routers. Utallige krompromitterede devices på dit LAN netværk, etc...
Og rigtigt mange mennesker har en computer inficeret med diverse malware, og selv om lokal malware kan installere et rodcertifikat, så gør det stadig et angreb mere besværligt.

Mht. til at have en nedgraderet TLS spec der ikke er krypteret, men kun verificere kilden, så tror jeg nok det skib er sejlet. Desuden vil der unægteligt være tusindvis af dumme sikkerheds huller hvor kryptering vil begrænse skaden.

Note: børshandler, nyhedsmedier, etc, har alle login detaljer og cookies, for slet ikke at tale om meta-data fra børshandler/besøg som kan bruges til automatiske mod handler (at vise interesse får prisen til at stige).

Der er mange grunde til at ville have HTTPS alle steder, det er ikke kun it-liberalister.
Flere uafhængige lag af sikkerhed er nødvendigt, i dag har alt for mange kritiske systemer kun et lag.

Martin Bøgelund

men de eneste love, der gælder i Australien er Australiens lov.«

Det er desværre den slags populisme der gør det umuligt at føre en rationel og fornuftsstyret politik.

Jeg opfordrer hermed Australiens regering og parlament til at lovgive om eksempelvis massetiltrækning, på en måde som er i modstrid med Newtons love - og så må vi jo se om Australien vitterligt trumfer Newton, eller det modsatte.

René Nielsen

Jeg opfatter først og fremmest denne artikel som en form for en prøveballon. PHK har fremsætter ofte provokerende og følelsesladede udsagn – som ikke altid er funderet i fakta.

Problemet med politiets og myndighedernes håndtering IT kriminelle er ikke kryptering – og det har heller ikke været et problem!

Problemet er derimod at politiet savner et blot overfladisk kendskab til opklaring af IT relateret kriminalitet.

Det er muligt at politiet over et årti er i stand til at fremfinde enkeltstående og højtprofilerede sager hvor kryptering MÅSKE spiller en rolle, men det bevis har politiet på INGEN MÅDE løftet.

Prøv at anmelde nogle af nedenstående forbrydelser på din lokale politistation;

1) Identitetstyveri (via nettet)
2) Tyveri af data (private billeder/Videoer)
3) Tyveri af mobiltelefon/Tablet/laptop (med indbygget GPS eller anden sporing)
4) Optagelse af ”falske lån”
5) Cybermobning
6) Køb på webshops via stjålne kreditkort.

Listen er på ingen måde udtømmende, men fælles for alle de nævnte eksempler er at offeret i reglen meget præcist kan udpege gerningsmanden.

Der er ingen kryptering og alligevel sker det at man stort set dagligt kan læse om at politiet pga. simpel uvidenhed – nægter at realitetsbehandle anmeldelserne (fordi politimanden ikke forstår IT). Vi taler om at en politibil kører ud til en bestemt lokation og på stedet udføre det fornødne politiarbejde.

At snakke om kryptering i den sammenhæng, svarer til at hører en 4. folkeskoleelev forklarer Einsteins generelle relativitetsteori.

Desuden kræver et krypteringsforbud formentlig en grundlovsændring – for enhver har ret til at kommunikerer uden at andre lytter med. Og det er vel PHK’s sande provokation.

Martin Bøgelund

Martin, du er offer for en sproglig detaljer her.

Hvis vi mere sprogligt korrekt havde kaldt dem "naturlovmæssigheder" ville du og andre ikke være forvirret på dette punkt.

Der er ingen tvivl om at Australiens premierminister med sit udsagn opsætter et modsætningsforhold mellem Australiens og matematikkens love - og at han mener at Australiens love trumfer alle andre lovmæssigheder, heriblandt matematikkens.

Jeg ser således frem til at Australien via lovgivning eksempelvis vender fortegnet på tyngdeaccelerationen, og dermed gør opsendelse af rumraketter en del lettere.

Men jeg synes ikke vi to skal spilde tid på at diskutere semantik, fordi den eneste af os to der må erkende egen forvirring i denne sag, er dig. Jeg er nemlig helt enig med dig - når lovgiverne finder ud af at man ikke uden videre kan lovgive i strid med naturlovmæssigheder, vil de naturligvis kaste sig over at lovgive om de ting det rent faktisk er muligt at lovgive omkring. Og her rammer du helt plet med din analyse omkring de negative konsekvenser vi vil se i kølvandet på dét.

Torben Hansen

For et årti siden skulle man være meget påpasselig med at lægge sine personlige oplysninger på nettet - Det kunne nemt blive misbrugt af en tredjepart.
Herudover kunne man være offer for personlige angreb og chikane, hvis man f.eks. delte sin adresse sit eller fulde navn.

Den del har ikke ændret sig, men folk er mere villige til at lægge deres identiteter online - Se Facebook, som bliver benyttet af de fleste.

Det kan så diskuteres, at denne information ikke bliver gengivet nok til de almene borgere, men det er et andet problem. Jeg er bange for, vi får lovgivning a la USA, hvor laveste fællesnævner bliver basis for samfundet,
fordi nogen ikke kan finde ud af det. (Læs: "Jeg må ikke putte min kat i mikrobølgeovnen")

Peter Jølving

»Personligt mener jeg f.eks at politiet skal have mulighed for at efterforske og retsforfølge trusler om mord, vold, lemlæstelse og voldtægt, indenfor nogle af samfundet fastsatte rimelige rammer«

Politiet har så rigelige muligheder for efterforskning, hvis de da magtede det. HTTPS termineres som bekendt et sted, enten hos medieudbyderen eller hos slutbrugere, der modtager truslen. Man kan jo passende starte efterforskningen der.
Det eneste du får ud af at krøble HTTPS og lignende, er muligheden for masseovervågning, og der har jeg endnu til gode at se argumenter, der står mål med indgrebet.

Poul-Henning Kamp Blogger

Politiet har så rigelige muligheder for efterforskning, hvis de da magtede det. HTTPS termineres som bekendt et sted, enten hos medieudbyderen eller hos slutbrugere, der modtager truslen. Man kan jo passende starte efterforskningen der.

Gider du forklare hvordan det virker i praksis ?

Lad os sige at der er fremsat en voldstrussel og src-IP nummeret viser at den kom ud af en Tor Exit-node i Ægypten.

Hvad er det så lige politiet gør nu ?

Morten Nissen

Jeg har virkeligt svært ved at se hvad politiets prioritering har med emnet her at gøre.

Det underliggende problem her er mere at vi har en begyndende manglende tillid til at funktionen IKKE bliver udnyttet.
Idag har politiet en del overvågningsværktøjer - herunder telefonaflytninger, hvilket (jeg i hvert tilfælde) er accepteret.

Modreaktionen på at vi ikke har en løsning der er acceptabel på begge sider ender med at myndigheder tilbageholder oplysninger omkring 0days - for at kunne få adgang til den ene ende af det krypterede data.

Jeg kan ikke se den gode løsning som det er nu. Men problemet med vores nuværende tilgang er tydelig.

Hvorfor er det ikke OK at politiet, med en dommerkendelse, kan tvinge en dekryptering af en disk eller lytte med på en SSL forbindelse?

Lars Skovlund

Lad os sige at der er fremsat en voldstrussel og src-IP nummeret viser at den kom ud af en Tor Exit-node i Ægypten.

Hvad er det så lige politiet gør nu ?


OK, tankeeksperiment. Tor bliver forbudt, og vi indfører rot26-Tor i stedet for. Src-IP nummeret viser at den kom ud af en rot26-Tor Exit-node i Ægypten. Hvad er det så lige politiet gør nu ?

Husk også på at jurisdiktionsproblemer eksisterer uafhængigt af kryptering.

Finn Glamhøj

»Poul-Henning Kamp har i øvrigt også tidligere været ude med riven efter SSL over det hele«

Ja, PHK har tidligere fremført argumentet om at SSL Everywhere føre til mindre privatliv, men det bliver det jo ikke mere rigtigt af.

Det er, for mig at se, naivt at tro at politiker ikke vil søge at begrænse kryptering alligevel, omend det måske vil være med andre argumenter som eksempelvis det er jo kun nødvendigt at kryptere, hvis man har noget at skjule.

Mon ikke det i praksis vil være lettere at få begrænsningerne til at glide ned, hvis det kun er noget nogle få bruger? (jeg formoder de fleste almindelige mennesker ikke har sat sig ind i konsekvenserne og derfor er ligeglade).

Og så lige en sidebemærkning. At sætte mærkater på folk der ikke er enige i ens egen holdninger vidner i min opfattelse ofte om at man ikke selv har synderlige gode argumenter på hånden.

Så jeg vil opfordre PHK (og version2) til ikke at bruget udtryk som IT-liberalister, bodega dumme og andet i samme boldgade da det ikke tilføre debatten noget positivt.

Finn Glamhøj

Politiet har i et antal sager måtte give op overfor krypterede diske. De taler af gode grunde ikke ret højt om det i offentligheden, for de skulle give folk gode ideer.

Hvordan løser et forbud det problem? Hvis nogen har noget at skjule så kryptere de disken og så må politiet jo stadigvæk give op.

At begrænse kryptering kan maksimalt fange de små fisk som jeg formoder man vil fange alligevel (hvis man overhovedet bruger ressourcer på det), hvorimod de tunge drenge udmærket ved at de skal kryptere disken og for dem har politiet nok stadigvæk de samme problemer før og efter en begrænsning er indført.

Finn Glamhøj

Hvorfor er det ikke OK at politiet, med en dommerkendelse, kan tvinge en dekryptering af en disk eller lytte med på en SSL forbindelse?

I princippet synes jeg det er helt ok, at politiet med en dommerkendelse kan gøre noget sådan.

Spørgsmålet er for mig at se, hvordan man give politiet denne mulighed uden at man samtidige åbner op for at det kan misbruges af kriminelle, men også af myndighederne?

Peter Jølving

Som Lars Skovlund ganske rigtig pointere, vil et forbud aldrig stoppe en sofistikeret modstander. De vil altid tage kapløbet op, og med al sandsynlighed vinde det.
Man kan indvende at teknologier som Tor kræver en vis infrastruktur at få til at fungere. Den dag man har fået resten af verdenen med på et forbud og håndhævelse af samme, bliver det et gangbart argument.

Når man argumenterer pro kryptering-allevegne handler det både om privatliv, men i lige så høj grad om at de eneste, man reelt rammer med "løsningerne" er uskyldige borgere uden nævneværdige IT-kompetencer.

Poul-Henning Kamp Blogger

Som Lars Skovlund ganske rigtig pointere, vil et forbud aldrig stoppe en sofistikeret modstander.

Og med "sofistikeret modstander" mener du stort set alle hormonforstyrrede teenage-drenge, der lider af den vrangforstilling at pigerne bare skal makke ret?

Hvis vi skal have et civilt samfund, vil jeg mene at vi skal op i Riskjær/Bagger klassen før vi trækker på skulderen og sukker "sofistikeret modstander" ?

Claus Juul

Politiet skal have retten til at forsøge, men retten til at afkræve dig din viden om password/Kryptonøgle dur ikke for det vil være det samme som at kræve at du skal udtale dig i forhør, altså potentialt skade din egen sag.

René Nielsen

Politiet har i et antal sager måtte give op overfor krypterede diske. De taler af gode grunde ikke ret højt om det i offentligheden, for de skulle give folk gode ideer.

Det er jo ikke noget nyt juridisk problem, at mistænkte ikke vil samarbejde med politiet. Det problem opstod allerede, da man opfandt politiet. Det har altid været sådan, at politiet nogle gange ikke kunne få adgang til alt informationen og at mistænkte tilbageholdt information som kunne betyde merstraf.

Og dit eksempel er jo netop kernen i politiets IT (in-kompetence). Har man fat i selve harddisken - har man jo nok også selve computeren, samt et mistankegrundlag baseret på andre dele end netop harddisken. Det kaldes politiarbejde at man må arbejde for at opklare sagen.

Det kan ikke passe, at alt er klinisk renset for "fingeraftryk". Via computerens internetforbindelse må det være muligt at få f.eks. dens IP adresse og derfra via dommerkendelse dens Google søgninger, facebook, email konti og lignende.

Men har mistænkte brugt fulldisk encryption og en skarp krypteret forbindelse, så udstiller det blot PHK's forslag. For den mand som opsætter en sådan PC - ville aldrig overholde en lov som forbyder kryptering (uden bagdøre).

Det er ikke noget nyt, at kriminelle ser stort på loven.

Ib Larsen

"Hvorfor er det ikke OK at politiet, med en dommerkendelse, kan tvinge en dekryptering af en disk eller lytte med på en SSL forbindelse?"

I Danmark begrænser selvinkrimineringsprincippet politiets muligheder for at kræve dekryptering, hvis personen der evner at aflåse disken kan påberåbe sig retten til tavshed.

Det er ikke ok, heller ikke i de lande, hvor man i teorien kan tvinge selv en mistænkt til at hjælpe politiet, medmindre man i forvejen kan bevise, at vedkomne har evnen til at lukke op for politiet.

I Danmark er retten for en almindelig borger, der måtte være sigtet eller tiltalt meget klare.

Hvis man vil lave om på den tingenes tilstand, bare fordi teknologien gør det svært for politiet, skal man ærligt og redeligt sige, at det man ønsker er at ændre den del af Rertsplejeloven, der begrænser politiets og anklagemyndighedens magt.

Man behøver ikke være IT-liberalist for at holde fast ved de retsprincipper, som gælder idag.

  • Retsplejelovens regler om sigtedes og tiltaltes rettigheder er ret klare, og ville også gælde, hvis politiet havde sigtet en for mordet på Emmelie MMeng-sagen.

Kryptering ændrer intet ved problematikken.

Bevisbyrden må naturligvis ligge hos dem, der ønsker loven ændret.
Og her er det ikke nok bare at henvise til ukonkretiserede eksempler, som politiet ikke vil tale for højt om.

  • Forskellen på et funktionelt demokrati og på en politistat er, at man i en politistat lader tvivlen komme politiet til gode, når det hævder sig magtesløst.

Men det er ikke acceptabelt, at staten på den ene side kan forvente større magt, men på den anden side ikke vil uddybe i hvilke sager, at den gældende retstilstand på krypteringsområdet ikke er tilstrækkelig.

  • Så uden håndgribelige beviser ingen magt til staten.

Jeg ville personligt være mere imponeret af argumentationen for going dark problemet, hvis staten ærligt og åbent ville fremlægge al dokumentation - naturligvis med anonymisering af aktørerne.

Hvis det bedste argument for legal intercept og masseovervågning er Trust us, uden beviser, er der ingen grund til at nære nogen tiltro til staten.

I Tibetsagen har politiet løjet, angiveligt for at beskytte landets handelsinteresser, og så længe staten ikke kan holde sig for god til at lyve og ikke sikrer at borgerne er beskyttet med tilstrækkelige checks and balances, og på det punkt er Danmark en bananrepublik, er det ikke fornødent at give staten mere magt.

PHK hævder iøvrigt, at han ikke er for at begrænse privatpersoners ret til kryptering men kun ønsker at begrænse firmaers mulighed for at - for at bruge hans egne ord - sætte retssamfundet uden for døren.

Men samtidig med det, har han jo i en anden debat givet udtryk for, at man ikke har ret til at køre den software man vil, og at nationalstatens love er ok, fordi det er meningen med at have en nationalstat.

Poul-Henning Kamp Blogger

Så jeg vil opfordre PHK (og version2) til ikke at bruget udtryk som IT-liberalister

Jeg har opfundet begrebet IT-liberalister, netop for at kunne tale præcist og fordomsfrit om denne gruppe af personer.

Jeg ved godt at "neoliberalisterne" har smudset ordet "liberalist" til, men det faktisk præcist det ord vi har brug for her:

IT-liberalisterne argumenterer for bestemte personlig friheder og ser IT/kryptering som midlet og det er et helt legitimt politisk standpunkt at have.

Men det er vigtigt at forstå at det er et politisk standpunkt, det er ikke noget der følger som en matematisk nødvendighed, bare fordi kryptering er baseret på matematik.

Andre medborgere har andre holdninger og det er også legitime politiske standpunkter, specielt i et demokrati.

Hvad samfundets love bliver, handler om hvem der er bedst til at sælge sin politik, det er vilkårene i demokratier.

Specielt er menneskerettigheder altid genstand for stort politisk fokus. At tro at man kan snige en ind ad bagdøren ved at linke sin kode med -lssl er ikke alene naïvt, det bliver også næsten med garanti et selvmål.

Ib Larsen

"Politiet har i et antal sager måtte give op overfor krypterede diske. De taler af gode grunde ikke ret højt om det i offentligheden, for de skulle give
folk gode ideer."

Ok, og det skulle så være et argument for at overlade staten mere magt, at politiet der jo er blevet taget i at lyve (læs Tibetsagen) enten er for inkompetent eller uærligt til at fremlægge beviserne?

  • Hvis politiet ønsker flere beføjelser, må de naturligvis fremlægge dokumentatione, for ellers er det jo for let for magthaverne at vildlede befolkningen med postulater, som det vil være umulige at modbevise.

I sager, hvor politiet finder en person i besiddelse af data, som er uforståeligt, bør det nok betænkes, at politiet aldrig heller ikke før computeren juridisk har haft nogen "ret" til at kunne forstå dagbøger forfattet i kode.

En dagbog forfattet i en kode, der kun er kendt for forfatteren selv er den bedste analog til kryptering.

Medmindre man mener, at politiet skulle have nogen ret til at fortolke folks dagbøger, fordi disse er utydelige, er det et moot point, at teknologien sætter folk i stand til at forfatte sig på en måde, som myndighederne ikke kan forstå.

  • Staten har aldrig haft nogen ret til informatin, dvs. en ret til effektivt at kunne forstå hvad borgerne taler om.

En dommerkendelse giver kun staten ret til at gøre indgreb i meddelelseshemmeligheden eller i privatlivet men det er jo ikke det samme som at deraf følger nogen ret til effektivt at kunne fortolke det opfangede, eller en pligt for borgeren til at hjælpe staten.

Finn Glamhøj

Jeg har opfundet begrebet IT-liberalister, netop for at kunne tale præcist og fordomsfrit om denne gruppe af personer.

Jeg ved godt at "neoliberalisterne" har smudset ordet "liberalist" til, men det faktisk præcist det ord vi har brug for her:

Vi har på ingen måde brug for at sætte ord på personerne for at føre en sober debat og det er på ingen måde fordomsfrit at karakterisere folk på følgende måde:

»Den mediane it-liberalist definerer Poul Henning-Kamp som hvid, hankøn, højtlønnet og barnløs, og som en, der »formodentlig ikke sig selv som it-liberalist eller for den sags skyld som involveret i samfundsforandrende menneskeretsaktivisme.«

Hverken race, køn eller andet af den slags har nogen som helst betydning, men meninger har betydning for en ordentlig debat og en karakterisering af en person tjener kun det formål at fjerne fokus fra det relevante, nemlig holdningerne.

Ib Larsen

IT-liberalisterne argumenterer for bestemte personlig friheder og ser IT/kryptering som midlet og det er et helt legitimt politisk standpunkt at have.

Undskyld, men disse personlige frihedsrettigheder allerede indført, så det handler om at bevare dem og ikke at politisere dem.

Spørgsmålet er ikke, om man officielt er for eller imod disse, men om man mener, at teknologien skal medføre en indskrænkning af frihedsrettighederne, der skal kompensere staten for at teknologien på visse områder vanskeliggør dens opgaver.

Hvis Retsplejeloven siger et i dag om den sigtedes eller tiltaltes ret til ikke at være pligtige til at samarbejde med politiet, og staten ønsker at udvide politiets magt i en given række tilfælde, er det ret beset ikke IT-liberalisterne, men staten der ønsker ændringer i status quo.

  • Mange såkaldte IT-liberalister er vel mere konservative i klassisk forstand, fordi de ikke ønsker at hævdvundne (negative) frihedsrettigheder skal udhules af flere undtagelsestilfælde.

Man kan være lodret imod at staten regulerer på et område, eller man kan indtage det moderate standpunkt, at staten pga. dens forhistorie med at lyve og misbruge dens magt aldrig kan betroes større magt, før den har vist sig værdig dertil.

Der er så rigeligt med eksempler på, at politifolk og andre myndighedspersoner har misbrugt deres magt til at mange blot nægter at stole på at staten ikke vil misbruge endnu mere magt.

For mig at se er det spørgsmål, som fortalerne for legal intercept og masseovervågning ikke forholder sig til, hvorfor borgerne skulle give politi og andre myndigheder større magt, når disse ikke har demonstreret at de er modne til vores tillid.

Selv hvis man principielt ville give staten større magt, ville problemet med politisk misbrug, utro tjenere og fremtidigt regimeskift der kunne/ville misbruge borgernes data altid være uoverstigeligt.

Reaktionen om at skeptikeren bør lade politiet tvivlen komme til gode fordi kun dem uden rent mel i posen har noget at frygte, eller fordi vi bare skal tolerere lidt snyd, løgn og misbrug for at beskytte de stakkels børn holder ikke længere.

Morten Nissen

Det kan de også godt. Problemet er blot, at for at kunne aflytte, eller få fat på den ønskede information, vil de aflytte eller indsamle informationer af en række helt uskyldige personer.

Og hvor er forskellen i sammenlignet med telefonaflytninger eller stort set alle andre overvågningsmetoder?

Det er nødvendigt med kontrol af udført overvågning og at designe systemer således de tillader den acceptable overvågning.

Misbrug af et sådan system skal staffes hårdt - fordi det er et angreb på statens integritet (som eks. falskmøntneri mm)

Det er vel tilliden til systemet/samfundet det handler om.

Morten Nissen

For at have en tilnærmet analogi skal du sammenligne med, at fordi man ønsker et specifikt nummer aflyttet, bliver man nødt til at aflytte samtlige numre på en given central. Det, synes du, vel ikke er acceptabelt?

Nej nej nej....

For at kunne lytte et specifikt nummer bliver man nødt til at have et system hvor man kan aflytte alle numre.

Hvis der i debatten påstås at for at denne aflytning skal kunne finde sted bliver vi nød til at have en myndighed der gennemtravler alt. Så taler man enten mod bedre viden eller også har man misforstået emnet.

Rune Larsen

Det samme kunne man sige om håndvåben...


Hvordan forestiller du dig en våbenkontrol for krypteringsalgoritmer? Skal vi alle lobotomiseres, så vi ikke kan tænke selvstændige tanker? Eller skal alle tvinges til at tilbede en kommunistisk statsmagt med magtliderlige politikere i spidsen, der bestemmer hvilke ord, der er lovlige at ytre og hvilke der ligner ulovligt kodesprog?

Jesper Lund

Fra artiklen:

Derimod mener Poul-Henning Kamp ikke, det er nødvendigt med kryptering af indholdet, der transporteres mellem klient og server på eksempelvis en medie-hjemmeside.

Af alle argumenter mod kryptering er dette et af de mere besynderlige. Det er muligt at der er politiefterforskninger, som er blevet besværliggjort eller måske endda umuliggjort af en krypteret harddisk. Men jeg har godt nok aldrig hørt om en efterforskning, som er blevet spoleret, fordi politiet ikke kan se om mistænkte har læst en bestemt artikel (via MiTM angreb på krypteret web-trafik).

Derimod ved vi fra Snowden afsløringerne, at de skumle efterretningstjenesterne (NSA, GCHQ og sikkert også FE) opbygger virtuelle sagsmapper på hver eneste borger (baseret på en formodning om skyld), og at masseovervågning af HTTP-trafik med registrering af hver eneste URL indgår.

Konsekvensen af at nyhedsmedier er HTTP er derfor ganske enkelt, at hver eneste borgers læsevaner bliver registreret med en detaljeringsgrad som overgår hvad borgeren selv kan huske.

Brug af HTTPS sikrer derimod blot samme grad af privatliv som dengang vi læste papiraviser.

Og mere generelt end dette helt absurde eksempel: jeg forstår simpelthen ikke formålet med denne diskussion. Lovlydelige borgere skal begrænse brugen af kryptering, der beskytter dem mod kriminelle, fremmede efterretningstjenester og vores egen stat når den misbruger sine magtbeføjelser. For hvis lovlydige borgere ikke gør sig selv transparente overfor kriminelle og dem som er værre (de skumle efterretningstjenester), kommer staten med alle mulige indgreb, som vil gøre større skade på samfundet og vores frihedsrettigheder end det som de kriminelle (og dem som er værre) kan finde på. Eller hvad??

Den eneste gruppe, som er fuldstændigt ligeglade med alt dette, er de kriminelle, hvis aktiviteter hele diskussionen officielt handler om (at "legal intercept" måske ikke er muligt en gang i mellem på grund af kryptering).

Men den officielle forklaring fra diverse regeringer giver altså ikke meget mening. Der er så mange andre efterforskningsmuligheder for politiet. Ingen taler om at Danmark siden 2002 har haft en af de mest vidtgående bestemmelser (i demokratiske lande) om statslig hacking (kaldet "dataaflæsning"). Der er lagt et totalt røgslør ud over dataaflæsning, i en sådan grad at mange medlemmer af Folketinget formentlig ikke kender bestemmelsen (§ 791 b i retsplejeloven). Selv om vi taler om et af de mest vidtgående indgreb i retten til privatliv, og selvom lovforslaget blev gennemført med stor hast (begravet i Terrorpakke I), er der aldrig lavet en evaluering af den "nye" hacking-bestemmelse. Politiet laver ikke statistik over brugen, og PET vil ikke sige noget som helst, end ikke aggregerede statistikker med f.eks. antal indgreb. Der er lidt information om dataaflæsning i bogen "Syv år for PET" af Morten Skjoldager, den bog som PET forresten ville forbyde os at læse.

Det giver langt mere mening, hvis denne diskussion om de såkaldte "problemer" ved kryptering slet ikke handler om "legal intercept" hos politiet, men om at de militære efterretningstjenesters masseovervågning er blevet vanskeligere, når AL web-trafik er HTTPS og AL port-25 kommunikation mellem mailservere brugere SMTP-TLS. Nu kan de skumle efterretningstjenester ikke længere opbygge sagsmapper på hver eneste borgere, hvor de registrerer hvad vi skriver i emails og hvilke URL'er vi besøger.

Yay! Encrypt all things.

Jesper Lund
Formand, IT-Politisk Forening

Ivo Santos

Naturligvis kan man ikke begrænse brugen af stærke krypterings former.
Dog vil hardwaren altid sætte en grænse for hvor stærk en kryptering algoritme man kan bruge.

Kriminelle er, og vil altid, være ligeglad med hvad loven siger, og her er håndvåben sådan set et meget godt eksempel. Selv hvis man i dag skulle finde på at forbyde krypterings algoritmer over f.eks. 128 bit vil kriminelle stadig bruge sådanne former ligesom vi ser det med bande medlemmer som render rundt med håndvåben, de er 100 procent ligeglade med loven.

I øvrigt, hvad så med alternative krypterings former??
Det sådan set også muligt at gemme en besked i en novelle eller anden tekst ved hjælp af diverse metoder. Det kunne være at hvis man udtrækker det første bogstav i hver sætning eller afsnit.
En anden metode kunne være en såkaldt 'pseudo' tilfældigheds nummer generator man kører igennem teksten og udtrækker det bogstav eller mellemrum som man så ender på. Denne metode kræver så at man ved hvad start nummeret.

Ib Larsen

For at kunne lytte et specifikt nummer bliver man nødt til at have et system hvor man kan aflytte alle numre.

Og det kan politiet også, de har en ret til at lytte inden for lovens rammer, men har de også en ret til at tvinge tredjeparter til at hjælpe med at oversætte indholdet af samtalen?

  • Eller sagt på en anden måde: Er det en tredjeparts pligt at indrette dets infrastruktur sådan, at politiet en gang i fremtiden måtte have behov for at kunne tyde samtalen?

  • Hvis det er en teleoperatør, der lejer eller låner fysiske kabler eller et radiospektrum som er en knap resource, kunne man måske godt pålægge dem at have legal intercept på det første fysiske lag dvs. at nationale myndigheder skal kunne aflytte den rå datastrøm, der passerer gennem kablerne.

Men fordi staten juridisk set har en ret til at gøre indgreb i meddelseshemmeligheden, er det ikke det samme som at den også har en ret til at forstå den aflyttede datastrøm.

Hvis legal intercept blot betyder, at staten kan tappe kablet, er det i orden, men operatører - private eller kommercielle - der blot sender bits over kablerne, men ikke ejer/låner dem, har vel ingen pligt til at hjælpe staten, lige så lidt som en hardware producent skulle være pligtig til at bygge dens udstyr på en sådan måde. at en statsaktør altid kan overtrumpfe den private kundes lås.

Indgreb i meddelseshemmeligheden har aldrig betydet, at staten havde nogen udvidet ret til andet end at lytte med - eller til at tvinge private aktører til at tale på en sådan måde, at det på forhånd var muligt at forstå for politiet.

Hvis der i debatten påstås at for at denne aflytning skal kunne finde sted bliver vi nød til at have en myndighed der gennemtravler alt. Så taler man enten
mod bedre viden eller også har man misforstået emnet.

Kritikken går ikke på, at myndighederne gennemtravler al kommunikation, men at kravet til private aktører om at de på forhånd skal indrette deres systemer så det bliver fremkommeligt for myndighederne at gøre indgreb i meddelelseshemmeligheden i sig selv krænker borgernes privatliv.

  • Det er en krænkelse af ens privatliv, hvis staten tvinger enhver til at udtrykke sig på en måde, så det kan aflyttes, også selv om staten ikke her og nu gør brug af eller kigger på ens kommunikation.

  • Det svarer til mandatory data retention, som CJEU netop fandt udgjorde en krænkelse af borgernes rettigheder garanteret ved EU-charteret.

Indgrebet sker i det øjeblik, at staten tvinger ISP'erne til at logge alles IP-adresser, og så er det uden betydning, at staten ikke har rettet mistanken mod enen konkret person.

Bemærk at det som EU-domstolen fandt problematisk ved telelogning var at indsamlingen af alles IP-adresser var indiscriminate dvs. ikke begrænset til personer, der måtte være mistænkt for serious crime.

Henrik Eriksen

Næh, vi ser at det ikke er muligt at begrænse kryptering for "the bad guys", kun for "the good guys". Dem man ikke ønskede at ramme i første omgang.

Det samme kunne man sige om håndvåben...

Præcis. I dag er det også kun forbrydere som har håndvåben, og lovlydige borgere har ikke en chance for at forsvare sig selv hvis de bliver overfaldet eller truet af en forbryder med sådan et.

(Det er jeg godt klar over at der er mange som synes er helt i orden, men det synes jeg så ikke.)

Ib Larsen

Derimod mener Poul-Henning Kamp ikke, det er nødvendigt med kryptering af indholdet, der transporteres mellem klient og server på eksempelvis en medie-hjemmeside.

Mange mediesider har debat og kommentarfunktion samt muligheden for at udveksle private beskeder mellem registrerede medlemmer.

Ingen kryptering ville gøre det umuligt at deltage i debatter uden at tredjeparter kunne afsløre ens politiske, religiøse eller seksuelle interesser - for slet ikke at tale om retten til anonym kommunikation om følsomme emner.

Interessant at nogle kan være så f--ing ligeglade med om dissidenter fra udemokratiske nationer i videre omfang udsættes for forfølgelse, fordi deres lokale regeringer pludselig vil få lettere ved at ryge oppositionen ud.

  • Ingen kryptering på mediesider, ingen whistleblowing eller mennesker der tør komme ud af skabet uden øget risiko for gengældelse.

No problem, legal intercept tjener nationalstatens håndhævelse af dens love, og det er jo ok, fordi det ifølge PHK er meningen med en nationalstat.

Ok, man kunne så måske lave en international aftale, der kun lod demokratiske nationer samt deres allierede bruge legal intercept, og det ville jo være et fedt for dissidenter i Tyrkiet eller korrupte østeuropæiske/østasiatiske regimer.

Jesper Louis Andersen

Det der gør den australske politikers udtalelse så morsom er at hvis du tager den at-face-value, så siger han rask væk at matematikkens love ikke gælder i den virkelige verden. Selvfølgelig gælder de. Men det er ikke det han mener. Han mener at hvis du skal have et retssamfund, så skal du definere at lovgivningen står over alt andet. Problemet, der kan diskuteres, er om det er muligt at lave og håndhæve sådan en lov. Typisk taktik ville være at smide en person i fængsel indtil de oplyser et kodeord. Men der er 2 problemer med dette: i et GBDE lignende system kan man påberåbe sig plausible deniability, og man kan vitterligt have glemt et kodeord til en harddisk. Dels rokker den lovgivning voldsomt ved selvinkrimineringsprincippet.

I praksis er en lov nødt til at indføre "jagttegn" for krypterede diske, med en eller anden strafferamme hvis man besidder en krypteret disk mod forventning. Der er oplagt en række problemer med at fastsætte denne strafferamme. Det lyder fuldstændigt sindsygt hvis man kan tilbageholdes på ubestemt tid i et moderne retsssystem, så den køber jeg stort set ikke.

HTTPS-spørgsmålet er reelt set noget man kunne løse anderledes end det vi gør nu. F.eks ved at sikre integriteten af det overførte data, således at diverse ISP'er ikke er i stand til at manipulere din datastrøm. Men det skal så følges op af streng lovgivning mod at læse de data der bevæger sig gennem netværket så du ikke profileres af selvsamme ISP. En god lov på dette område må i den grad tilgodese den enkelte borgers behov, hvis du giver afkald på privatliv.

Det vi stort set er vidne til lige nu er et samfundsmæssigt problem hvor jura er nødt til at møde internet. Det har nogen konsekvenser for begge dele. Fordi vi har ignoreret internet fra jura og jura fra internet, så skaber det en masse problemer fremadrettet. Det siger sig selv at man skal have gang i den proces, for vi er allerede ca. 20 år bagud på point og det kan ikke blive ved. Personligt er jeg af den opfattelse at overvågningens guldalder er overstået. Det gik fra telefonens opfindelse over anden verdenskrig til ca 2013 og Snowdens afsløringer. Nu skal kriminalitet igen løses via andre metoder.

Og bemærk at loven ikke siger noget som helst om hormonforstyrrede teenagedrenge der mener at pigerne bare skal makke ret. Den holdning står dig frit af have i et moderne retssamfund, om end konsekvenserne af den holdning er at nogen af pigerne måske ikke ligefrem er villige til at følge trop.

Og hvis du mener en hormonforstyrret teenagedreng har begået kriminalitet, så er bevisbyrden altså på dine skuldre. Drengen skal sq ikke inkrimere sig selv. Der er en chance for at en eventuel retssag leder til frifindelse, selv om vedkommende i virkeligheden er skyldig. Og det princip leder tilbage til William Blackstone, om end princippet har historiske aner længere tilbage og kan findes i visse muslimske skrifter fra omkring år 800-900.

Jesper Lund

HTTPS-spørgsmålet er reelt set noget man kunne løse anderledes end det vi gør nu. F.eks ved at sikre integriteten af det overførte data, således at diverse ISP'er ikke er i stand til at manipulere din datastrøm. Men det skal så følges op af streng lovgivning mod at læse de data der bevæger sig gennem netværket så du ikke profileres af selvsamme ISP. En god lov på dette område må i den grad tilgodese den enkelte borgers behov, hvis du giver afkald på privatliv.

Vi har en simpel og robust teknisk løsning, som virker i demokratier og autoritære regimer: end-to-end kryptering. Det løser to problemer på en gang: sikring mod at bitstrømmen (indholdet) ikke modificeres og sikring mod at andre ikke overvåget indholdet.

Idéen om en stram lovgivning som forhindrer ethvert misbrug lader sig ikke gøre i praksis. Det gælder ikke bare lande som Kina, Saudi Arabien og Tyrkiet; men også Danmark.

Danmark er i øvrigt et land med decideret elendige kontrolforanstaltninger i forhold til statens overvågningsbeføjelser. Så der er al mulig grund til at kryptere ALT i et land som Danmark.

Poul-Henning Kamp Blogger

Jeg har aldrig hørt om et tilfælde hvor et land kan designe en bagdør i et håndvåben

Bagdøre er helt klart den absolut dummeste måde at løse problemet på, og det ved politikerne godt.

Politikernes problem er at IT-liberalisterne gør hvad de kan for at udelukke alle andre mulige løsningsmodeller.

Den helt simple løsning hedder (partial) key-escrow.

Med en dommerkendelse i hånden kan politiet kræve at udleveret (mindst) Nkey-a bits af din nøgle - også selv om du ikke er tilstede/ved bevidsthed/i live.

De sidste 'a' bits må de selv skaffe sig ved brute-force.

På den måde har det en konkret omkostning i tid og eletricitet for politiet at snage i folks data, men når det er vigtigt nok, kan de gøre det.

For flertallet af danskere kan dette implementeres fuldautomatisk i NemID/DigSig og de vil aldrig have brug for at tænke på det.

Alternativt kan man deponere sin del-nøgle hos en advokat af eget valg og i et eller andet register skriver man at hvis man skal bruge PHK's delnøgle, skal man henvende sig til Advokat J. Cheever Loophole.

Det løser sådan set alle relevante problemer, pånær et: Hvad skal straffen være for ikke at deponere sin nøgle.

Her kunne en passende analog være straffene for ulovlige/uregistrerede skydevåben.

(/me henter pop-corn og afventer de IT-liberales blodstyrtninger over dette blasfemiske forslag...)

Jesper Lund

Det er et af de punkter hvor USAs retssystem har en god detalje man passende kunne importere: Beviser der er fremskaffet ulovligt smides automatisk ud af retssalen.

Overvågningsstatens løsning på det problem hedder parallel construction.

De ulovligt fremskaffede beviser vises aldrig frem og bruges ikke direkte. De bruges alene til at finde de rigtige beviser, hvorefter statens agenter i retssagen vil lyve om at de skam fandt disse beviser helt tilfældigt. Eller lidt mere kløgtigt sørger man for, at de personer som skal vidne i retsagen reelt er uvidende om hvor beviserne kommer fra.

I Danmark behøver magthaverne ikke smudse sig til på den ufine måde, idet retsplejelovens § 729 c giver en meget vidtgående mulighed for at hemmeligholde politiets efterforskningsmetoder over for den anklagede og dennes forsvarer.

I Danmark er der ikke i retsplejeloven nogen hjemmel til at bruge IMSI catchers. Dvs. brugen af IMSI catchers vil være direkte ulovlig. På trods af dette har Justitsministeriet udtalt i en konkret afgørelse (om aktindsigt), at hvis politiet havde brugt IMSI catchers i en efterforskning, ville dette blive hemmeligholdt over for den anklagede og dennes forsvarer med henvisning til § 729 c.

Den danske retsstat i en nøddeskal.

Og så undrer politikerne sig over at borgerne krypterer..

Poul-Henning Kamp Blogger

Konsekvensen af at nyhedsmedier er HTTP er derfor ganske enkelt, at hver eneste borgers læsevaner bliver registreret med en detaljeringsgrad som overgår hvad borgeren selv kan huske.

Det gør de også med HTTPS.

Jeg spurgte en bekendt på et medie der har verdens største historiske arkiv af elektroniske artikler om hvor unikke artiklernes længde er, målt i bytes-on-the-wire.

Svaret var at hvis du ved hvor mange bytes der er overført, ved du også hvilken artikel der bliver læst.

Først når medier begynder at pad'e artiklerne, til et fåtal af længder, eller til randomiserede længder vil HTTPS beskytte dine læsevaner.

(Og hvis man ikke pad'er kompetent risikerer man at en admiral gør noget dumt. Bonuspoint til den første der kender/finder referencen.)

Poul-Henning Kamp Blogger

Præcis. I dag er det også kun forbrydere som har håndvåben, og lovlydige borgere har ikke en chance for at forsvare sig selv hvis de bliver overfaldet eller truet af en forbryder med sådan et.

Til gengæld giver det en simpel sort/hvid test for hvem der er forbryderen og en helt simpelt kriterie for at øge straffen for en given forbrydelse væsentligt.

Og hvad enten du kan lide det eller ej, så viser vådeskudsstatistikken for USA imod stort set hele resten af verden at det er en god ide at forbeholde lovlige skydevåben for folk der har forstand og interesser nok til at bruge dem.

(Kan forresten varmt anbefale Kyle Cassidys bog "Armed America")

Poul-Henning Kamp Blogger

Overvågningsstatens løsning på det problem hedder parallel construction.

Parallel construction er også ulovligt, det er derfor politiet med alle midler har prøvet at holde det hemmeligt.

(Der er vist nok en sag på vej til USAs højesteret om det, men de fleste forventer at SCOTUS ikke engang gider høre den, men bare sender den retur med en henvisning til forskellige dele af grundloven.)

Det her er et punkt hvor IT-nørder og Ingeniørtyper generelt har et problem: Hvis problemet er brådne kar i politistyrken, er løsningen ikke at lave reglerne mere indviklede, med eller uden computere og AI, men derimod at sørge for at de brådne kar bliver verfet ud med fuld musik som virker preventivt for fremtiden.

På det punkt er politianklagemyndigheden i Danmark slet ikke skarp og skrap nok.

Niels-Arne Nørgaard Knudsen

lige præcis den med krypterede diske får de absolut sværest ved at gøre noget ved. jeg gør det af princip... og vane.

er det en hjemmeside (eller nettet i det hele taget) har de rigtig mange muligheder med en dommerkendelse og lidt fiflen med min trafik. kan pet ikke finde min isp og dumpe min datastrøm og så gøre noget ved den derfra er der noget galt.

er det en disk? forget it. de kan ikke forhindre nogen i at anvende fuld disk kryptering medmindre de kan forhindre folk i at installere programmer på computeren.

det mest ironiske scenarie ville være hvis den kryptering de ikke kan bryde er den de selv anvender, fremkommet ved et læk.

Poul-Henning Kamp Blogger

I praksis er en lov nødt til at indføre "jagttegn" for krypterede diske,

Det har jeg selv foreslået tidligere.

Uanset hvilken teknologi samfundet regulerer, er der (næsten) altid en lille kattelem hvor man kan få lov til at have det som hobby, forudsat man bedømmes kompetent dertil og har ansvarsforsikringen i orden.

(De fleste har glemt at "automobilfremførsel" oprindelig blev tilladt på det grundlag og stadig reguleres således.)

Poul-Henning Kamp Blogger

Og bemærk at loven ikke siger noget som helst om hormonforstyrrede teenagedrenge der mener at pigerne bare skal makke ret. Den holdning står dig frit af have i et moderne retssamfund

Helt enig.

Men den holdning giver dig ikke et frikort fra strafflovens regler om trusler.

Hvis vi skal skære sagen helt ind til benet, så vil totalt ureguleret anvendelse af kryptering medføre en defakto mulighed for anonymitet som domstolene ikke kan afmaskere.

Det er ikke noget nyt, det problem har man kæmpet med i et antal sager, hvor smarte og omhyggelige forbrydere er sluppet afsted med det.

Det nye er at enhver hormon-forstyrret teenager har domstol-sikker anonymitet indenfor rækkevidde på sin smartphone.

Kan vi bygge et velfungerende samfund på hvis det er tilfældet ?

Jesper Lund

Bagdøre er helt klart den absolut dummeste måde at løse problemet på, og det ved politikerne godt.

Politikernes problem er at IT-liberalisterne gør hvad de kan for at udelukke alle andre mulige løsningsmodeller.

Den helt simple løsning hedder (partial) key-escrow.

Med en dommerkendelse i hånden kan politiet kræve at udleveret (mindst) Nkey-a bits af din nøgle - også selv om du ikke er tilstede/ved bevidsthed/i live.

Denne "helt simple" løsning har været diskuteret i 20-25 år uden at nogen gjort forsøg på at gennemføre den. Hvis problemet defineres som manglende adgang til "legal intercept" (aflytning, dekryptering af diske, m.v.) i sager om alvorlig kriminalitet, vil løsningen ikke virke.

De smarte kriminelle vil bruge deres egen sikre kryptering bag den lovlige, usikre (partial) backdoor'ed kryptering. Det betyder at manglende overholdelse af lovgivningen først konstateres på det tidspunkt, hvor der gennemføres et "legal intercept" indgreb mod de mistænkte forbrydere med dommerkendelse. Og så vil de nægte at udlevere den rigtige nøgle med henvisning til forbuddet mod selv-inkriminering, eller de vil påstå at have glemt nøglen.

Der opnås intet, absolut INTET, ved at tvinge escrow systemer ned over borgerne. Til gengæld bliver alle de lovlydige borgere frataget muligheden for sikker kommunikation, fordi de skal acceptere en teknisk løsning med bagdøre der kan misbruges af staten, eller bagdøre der hackes af kriminelle eller efterretningstjenester.

Og ja, NemID er et eksempel på et sådant escrow system. Men helt ærligt, hvem bruger det latterlige system, hvis de ikke er tvunget til det? (kommunikation med staten).

Som nævnt har key escrow været diskuteret i 20-25 år, og der er intet nyt fremkommet i den aktuelle diskussion.

Det eneste nye indspark til debatten i de senere år er at udbredelsen af HTTPS og SMTP-TLS efter Snowdens heltemodige gerning reelt begynder at true de skumle efterretningstjenesters muligheder for at overvåge, profilere og opbygge sagsmapper på hele verdens befolkning. Og det skal vi glæde os over! Hver dag, mens vi krypterer mere og mere!!

Jesper Lund

Det her er et punkt hvor IT-nørder og Ingeniørtyper generelt har et problem: Hvis problemet er brådne kar i politistyrken, er løsningen ikke at lave reglerne mere indviklede, med eller uden computere og AI, men derimod at sørge for at de brådne kar bliver verfet ud med fuld musik som virker preventivt for fremtiden.

Her er det tankevækkende at se på hvad et meget stort flertal i Folketinget gjorde, da det i maj 2016 kom frem, at de brådne kar i PET ikke slettede oplysninger, som PET ikke længere havde brug for...

Folketinget legaliserede simpelthen PETs ulovlige praksis. Man kunne da ikke besvære PET med at skulle overholde de retsgarantier, som selvsamme politikere godt nok tidligere havde fremhævet overfor borgerne..

Ib Larsen

Hvis vi skal skære sagen helt ind til benet, så vil totalt ureguleret anvendelse af kryptering medføre en defakto mulighed for anonymitet som domstolene
ikke kan afmaskere.

Så længe private kan bruge den opensource kryptering, de ønsker vil det kun være muligt at komme anonymitet til livs ved at indføre en Stasi agtig politistat, der logger alt helt ned på husstandsniveau.

  • Det er tanken bag Justitsministeriets notat om personlogning ved internetadgang.

Bekæmpelse af usporlig anonymitet vil ikke kun kræve forbud mod kommercielle kryptotjenester eller key escrow men vil også nødvendigvis kræve en udvidelse af internetlogning, skærpede bevisbyrderegler eller fobud mod åbne trådløse netværk og i sidste instans indgreb i folks ret til at køre deres egen software på deres maskiner.

Selv hvis man godtog eksistensen af problemet ville prisen for at "løse" det være alt for høj og ville medføre så mange brud med hævdvundne rettigheder, som ville bryde med hvad der ellers gælder i den ikke-digitale verden.

Ib Larsen

Det er et af de punkter hvor USAs retssystem har en god detalje man passende kunne importere: Beviser der er fremskaffet ulovligt smides automatisk ud
af retssalen.

Det er nødvendigt med kontrol af udført overvågning og at designe systemer således de tillader den acceptable overvågning.

Misbrug af et sådan system skal staffes hårdt - fordi det er et angreb på statens integritet (som eks. falskmøntneri mm)

Ok, lad os så få indført disse regler mod misbrug i alle de lande, hvor myndighederne kunne tænke sig kryptering og anonymitet begrænset, så kan man tage debatten om hvilket (ekstra) beføjelser staten skal have i forhold til kryptering.

Men indtil de regler faktisk er på plads, skal staten ikke have en lillefinger, og så længe politiet ikke er under kontrol (Læs Tibetsagen)er det helt malplaceret overhovedet at overveje at give staten større magt.

Som det er idag, er det jo ikke sådan, at de regeringer der vil have kryptobagdører og masseovervågning er for mere gennemsigtighed og bedre checks and balances, tværtimod, så det må naturligvis være en pligt at sige klart nej til staten, indtil den kontrollerer sig selv.

Det er ikke individet eller IT-liberalisterne, der skal overbevise andre om, hvorfor staten ikke fortjener større magt, men staten der sl overbevise borgerne om, hvorfor den har vist sig værdig til den magt den har idag + den magt som den måtte ønske sig i fremtiden.

Peter Christiansen

https over det hele vil tvinge regeringer til at reagere, lidt ligesom det tvang dem til at reagere mod al den hvisken folk indlod sig i, i den analoge verden, for at kommunikere uden statens viden.

Synes det er lidt af en and den her.

Finn Glamhøj

Politikernes problem er at IT-liberalisterne gør hvad de kan for at udelukke alle andre mulige løsningsmodeller.

At de løsningsforslag nogen (politikker) fremkommer med ikke bliver vurderet tilstrækkelig gode til at de bør ophæves til lov, betyder ikke, at modstanderne af de pågældende forslag forsøger at udelukke alle andre løsningsmodeller. Det betyder bare, at modstanderne ikke anser dem for at være tilstrækkelig gode til at de bør ophæves til lov og længere er den ikke.

(/me henter pop-corn og afventer de IT-liberales blodstyrtninger over dette blasfemiske forslag...)

Tror du i virkeligheden ikke rigtigt på dine egne argumenter siden du stadigvæk fremturer med den slags?

Den helt simple løsning hedder (partial) key-escrow.

Med en dommerkendelse i hånden kan politiet kræve at udleveret (mindst) Nkey-a bits af din nøgle - også selv om du ikke er tilstede/ved bevidsthed/i live.

De sidste 'a' bits må de selv skaffe sig ved brute-force.

Hvem skal rent faktisk stå for håndteringen af denne key-escrow? Hvem er det man kan have den nødvendige tillid til er i stand til at sikre denne del af nøglen? Og hvor få bit skal vi så have lov at gemme selv? (det skulle jo nødigt være for svært for politiet)

Når man skal indføre lovgivning bør politikkerne altid overveje om formålet med lovgivningen kan opnås og om fordelen står mål med ulemperne for godt nok forventer jeg at det er de færreste der får brug for retssikkerhedsgarantierne i dette land, men retssikkerhedsgarantier er jo netop til for de få som rent faktisk har brug for dem og det mener jeg er værd at bemærke.

Poul-Henning Kamp Blogger

Denne "helt simple" løsning har været diskuteret i 20-25 år uden at nogen gjort forsøg på at gennemføre den.

Det passer ikke.

Clipper-chippen var f.eks baseret på partial-key-escrow.

Dengang USA begrænsede "export-nøgler" til 40 bits var det effektivt set gjort ved partial-key-escrow: De resterende bits var enten statiske eller trivielt udregnelige fra de 40 bits der skulle brute-forces.

Folketinget legaliserede simpelthen PETs ulovlige praksis.

Ja, det er jo det der sker når ellers intelligente medborgere siger "jeg er for fin til at blive smudset til af politik"...

"A democracy - if you can keep it!"

Peter Jølving

Ikke nødvendigvis bedre politikere (selvom det ville være rart), men politikker - løsninger. Hvis en af de mest højlydte eksperter ikke kommer med gode nok løsningsforslag, kan man vel ikke forvente at en politiker gør det...

Key eschrow er ikke god nok af alle de årsager Jesper og Finn nævner. I tillæg må vi kræve at der ikke er tale om én nøgle per person, men en per person per session, så man kun udleverer netop de data dommerkendelsen omhandler - og så er det ikke længere noget simpelt system at administrere, hvis det da nogensinde var det.

Jan Ullerup

Man bør huske på at det er HELT korrekt at alle kan lave kryptering der er ubrydelig med en passende indsats - men at det samme gør sig gældende for en lang række andre ulovlige ting.

"Hvorfor har vi en regel om hvor langt bladet må være på knive man går rundt med? Folk kan jo bare købe en god køkkenkniv - så det er jo kun DE USKYLDIGE der bliver ramt" ville jo heller ikke holde som argument.

Reglerne om hvorvidt noget kan håndhæves effektivt er heller ikke voldsomt interessant - der er mange ulovligheder som ligeledes er svære at håndhæve - se eks. på moms-reglerne.

Jeg er selv i tvivl om hvad der er det rigtige at gøre i den her sag - men lad os starte med at finde ud af hvad vi ønsker at opnå - og så lave den lovgivning der opnår det (og ikke mere eller mindre)

Poul-Henning Kamp Blogger

Key eschrow er ikke god nok [...]

Det er din og nogle andre IT-liberales holdning og I har mange gode argumenter for jeres holdning.

Desværre har I totalt forsømt at blande jer i politik der hvor lovene vedtages og da det en ren politisk beslutning on key-escrow/bagdøre/krypto-forbud er den mindst ringe løsning på hvad der opfattes som et alvorligt problem for retsstater, er I for alle praktiske formål uden for indflydelse.

Når I ikke engagerer jer i politik og når I ikke er villige til nogen som helst form for kompromis, er det i praksis "alt eller intet" der er tale om.

Mit råd er at få fingeren ud og komme ind i politik, eller begynde at vænne jer til "intet", som resultat, for hvor meget jeg end leder, kan jeg ikke finde skyggen af demokratisk opbakning eller lovgivende flertal der deler jeres ultimative holdninger.

Finn Glamhøj

"De kriminelle gør det alligevel"-argumentet

Er ikke i sig selv et godt argument, men er konsekvenserne af en lov noget der rammer uskyldige/hæderligere mennesker uden at det har nævneværdig betydning for de kriminelle, så kan De kriminelle gør det alligevel jo godt være en del af et sagligt argument.

"Hvorfor har vi en regel om hvor langt bladet må være på knive man går rundt med? Folk kan jo bare købe en god køkkenkniv - så det er jo kun DE USKYLDIGE der bliver ramt" ville jo heller ikke holde som argument.

Jeg er ikke helt sikker på hvad du mener her, men man må ikke rende rundt med (køkken)knive i nattelivet så der er ingen uskyldige det bliver ramt (af lovgivningen selvfølgelig).

De første udgave af kniv-loven havde som jeg husker det den uacceptable bivirkning at folk med en legitimt grund til at være i besiddelse af en kniv (dog var det vist ikke i nattelivet) blev ramt af lovgivningen og lovgivningen blev efterfølgende justeret.

men lad os starte med at finde ud af hvad vi ønsker at opnå - og så lave den lovgivning der opnår det (og ikke mere eller mindre)

Lige præcis, sådan skal man (politikkerne) altid gribe det an.

Rune Larsen

Hvorvidt noget kan håndhæves effektivt er heller ikke voldsomt interessant


Jo, det er det nede i den virkelige verden hvor politifolk og domstole arbejder! Ikke-implementerbar lovgivning er ligegyldig symbolpolitik og bør stoppes inden det vedtages.

Momsregler kan være komplicerede, men du kan altid få en domsstol til at tage stilling til, om de er fulgt.
Du kan ikke få en domsstol til at tage stilling til, om man har glemt et password, eller ikke vil udlevere det. Måske kan tortur, løgnedetektorer og sandhedsserum give svaret. Er det de næste naturlige magtbeføjelser i PHKs stærke stat? En stat som han åbenbart mener har ret til at vide alt om alle.

Finn Glamhøj

Det må jo så være fordi vi har brug for nogle bedre politikere.

Det er jeg ikke uenig i, spørgsmålet er bare hvor skal de komme fra?

er I for alle praktiske formål uden for indflydelse.

Det er jeg desværre nødsaget til at give dig ret i, men hvordan man så skal kunne søge indflydelsen har jeg beklageligvis ingen ide om.

hvor meget jeg end leder, kan jeg ikke finde skyggen af demokratisk opbakning eller lovgivende flertal der deler jeres ultimative holdninger.

Igen er jeg beklageligvis nødsaget til at giver dig (delvis) ret her.

Jeg kan heller ikke se skyggen af demokratisk opbakning på nuværende tidspunkt, men at der skulle være tale om ultimative holdninger er jeg bestemt ikke enig i.

Det er i min opfattelse ikke et udtryk for ultimative holdninger at afvise de forslag der ligger på bordet på et givent tidspunkt, men udelukkende en afvisning af de pågældende forslag.

Poul-Henning Kamp Blogger

Du kan ikke få en domsstol til at tage stilling til, om man har glemt et password, eller ikke vil udlevere det. Måske kan tortur, løgnedetektorer og sandhedsserum give svaret. Er det de næste naturlige magtbeføjelser i PHKs stærke stat?

Det er det scenarie jeg personligt opfatter som worst case:

"Du varetægtsfængsles indtil du fremskaffe de dekrypterede data, dog ikke lægnere end den maksimale straframme for de forbrydelser du er anklaget for."

Jesper Lund

Når I ikke engagerer jer i politik og når I ikke er villige til nogen som helst form for kompromis, er det i praksis "alt eller intet" der er tale om.

Jeg har en principiel modvilje mod at hjælpe staten med at udvikle tiltag, som vil øge statens magt over borgerne. Så hvis jeg sad med det ultimative kompromis løsningsforslag i forhold til kryptering, ville jeg holde det for mig selv. Men indgreb mod kryptering er reelt "alt eller intet", fordi det er svært at lave et målrettet indgreb (og endnu sværere at håndhæve det, jf. tidligere indlæg).

Og i øvrigt har jeg heller ikke nogle løsningsforslag at gemme på..

Jeg kan sagtens forstå de problemer, som den legitime del af retshåndhævelsessystemet har med kryptering (til gengæld har jeg ingen sympati for den illegitime masseovervågning som NSA, GCHQ, FE og de andre skumle tjenester står for). Der er bare ikke noget at gøre ved det. Alle forslag, som har været bragt på banen for at løse kryptering "problemet", har masser af ulemper, og reelt ingen fordele.

Kryptering beskytter først og fremmest den meget store majoritet af lovlydige borgere og virksomheder mod kriminelle, industrispionage, fremmede statslige aktører (og deres efterretningstjenester), samt vores egen stat når den begår overgreb mod borgerne. Og det sker desværre... hele tiden. GCHQ blev for et par år siden taget i at aflytte borgere/organisationer, som ikke havde gjort andet end at sagsøge staten. Det omfattede selvfølgelig også kommunikationen med deres advokater. I Danmark ville den slags aldrig komme frem, fordi borgerne ikke får besked, hvis de bliver ulovligt aflyttet af FE (den mulighed giver lovgivningen i UK trods alt).

Og selv hvis nogen hypotetisk set kunne komme med et eller andet NemID/Clipper inspireret key escrow forslag, som måske i en snæver vending kunne semi-fungere i Danmark med en naiv befolkning, som for det meste tror på staten (indtil vi får en dansk Trump som statsminister), så ville systemet stadig ikke være brugbart i den virkelige verden.

Internettet er globalt, og kommunikationsløsninger på internettet tilbydes hele verden. Og i store dele af "hele verden" er det altså et spørgsmål om liv eller død at statsmagten ikke bare kan udpege systemkritikerne og aflytte deres kommunikation ved at misbruge et key escrow system.

Vi kan ikke indrette hele verden efter Danmarks behov.

USA forestillede sig måske engang, at USA skulle være key escrow nøglecenter for hele verden. Det kommer ikke til at ske, takket være først NSA og nu Trump.

Jeg ved godt (alt for godt), at der er en politisk mantra om at når nogen har sagt "der må gøres noget", så skal politikerne nærmest per automatik vælge en eller anden løsning, hvor de kan sige "dette er noget". Og ja, det kan der komme rigtigt mange katastrofer ud af (logning, PNR, terrorpakker, etc etc).

Men lige præcist i denne sag er jeg for en gangs skyld mest af alt fortrøstningsfuld.

Jeg tror ikke på det store indgreb mod kryptering, som PHK taler om. Det er desværre ikke fordi jeg tror, at politikerne pludselig begynder at bekymre sig om menneskerettighederne eller undertrykte borgere i Saudi Arabien.

Nej, det er fordi der blandt de mange hemmeligt stemplede rapporter fra embedsværket i EU-landene utvivlsomt ligger nogle notater med nøgterne analyser, der konkluderer at et indgreb mod kryptering vil have meget begrænset effekt i forhold til alvorlig kriminalitet og terror SAMT at et altomfattende indgreb mod kryptering med forbud mod visse softwareløsninger vil have uoverskuelige konsekvenser for den digitale økonomi.

Det "gode" ved mange af de forslag, som PHK har nævnt, er det indbyggede element af Mutually Assured Destruction. Måske stoppes enkelte kriminelle, men prisen er at den digitale økonomi smadres. Det er galt nok i dag med den usikkerhed, som kriminelle hackere skaber, men hvis politikerne oven i det undergraver tilliden til det eneste, som kan beskytte os, nemlig kryptering, vil der komme permanent skade på den digitale økonomi.

Frygten for dette digitale ragnerok skal nok holde politikerne fra at eksperimenter ala Clipper-chippen og andre key escrow systemer.

Disse vurderinger er udtryk for IT-pragmatisme, ikke IT-liberalisme (derudover nægter jeg at deltage i den "isme"-diskussion, som PHK insisterer på at trække ind i debatten).

Jesper Lund
Formand, IT-Politisk Forening

Jan Ullerup

... er konsekvenserne af en lov noget der rammer uskyldige/hæderligere mennesker uden at det har nævneværdig betydning for de kriminelle, så kan

Hvordan er det at det NØDVENDIGVIS rammer uskyldige/hæderlige mennesker ?

Hvis vi bor i et land hvor ordensmagten misbruger deres overvågnings-evner og de deponerede nøgler (hvis vi nu gik den vej) ville det give mening at kræve at vi skulle have fri kryptering.
Hvis ikke - så ville konsekvensen for den almindelige borger blot være at ordensmagten kunne ransage din computer efter samme regler som hvis de ransagede dit hus. Endnu et element af det som anarkister så malerisk kalder "voldsmonopolet" - men som jo faktisk holder vores samfund sundt.

Så det forudsætter en ordensmagt der faktisk kan finde ud af at opbevare nøgler sikkert og som kan gøre borgerne trygge ved at de ikke misbruger den magt som disse nøgler giver dem. Er det sådan en ordensmagt vi har? Nok ikke - og det er for mig det stærkeste modargument.

De kriminelle gør det alligevel jo godt være en del af et sagligt argument.

Hvis de kriminelle gør det alligevel er det jo så i SIG SELV en forbrydelse der er strafbar. Ligesom folk kan dømmes for ulovlig våbenbesiddelse - fordi vi som samfund har valgt at det ikke er OK at gå med våben.

(Ovenstående kan godt gøres uden nøgledepoter - i så fald ville man "blot" gøre det strafbart ikke at dekryptere materiale hvor man formodes at have nøglen i situationer hvor politiet har en dommerkendelse)

Michael Cederberg

Jeg er stort set enig med PHK i denne diskussion bortset fra nogle få teknikaliteter. Problemet med IT-liberalisterne er at deres forsøg på ultimativ privacy er at det tvinger retsstaten til modforanstaltninger. Nogle af disse er idiotiske og meget indskrænkende af vores frihedsrettigheder. Men uden guidance fra os, så ender vi med håbløse løsninger. Et eksempel på den slags er fx hvis man krævede at alle computere i Danmark skulle have installeret et FE root-certificat (set i udlandet). Dette kan til en hvis grad kompromittere HTTPS (hvis man samtidigt laver en Danmarks-proxy).

Et andet problem er når samme IT-liberalister nægter at stole på retsstatens institutioner, som fx politi og domstole. Konsekvensen af ikke at stole på disse må være at vi ender med private militser, for hvis man ikke kan stole på politi og domstole når det gælder privacy, hvordan kan man så stole på samme når det gælder ejendomsret og personlig sikkerhed.

Nogle af de samme personer har også en udbredt mistillid til demokratiet og en tro på at politikeres har en enorm interesse i kontrollere os alle. Politikere er almindelige mennesker valgt af befolkningen – det giver ingen mening hvis deres interesser skulle være markant anderledes end resten af befolkningen.

Sidst er det vigtigt at erkende at man hverken kan eller bør putte kryptering tilbage i flasken. Man kan ikke forhindre frihedselskende personer eller kriminelle i at udveksle data i krypteret form. Det er også håbløst at tro at man kan generelt kan indbygge svagheder i software eller hardware som kun kan udnyttes af retskafne myndigheder (selvom løsninger som Dual_EC_DRBG er sikre hvis de håndteres fornuftigt).

Men man kan lave løsninger der gør det sværere at lave krypteret kommunikation mellem parter som hverken kender eller stoler på hinanden. Både UK og Australien har (lidt ubehjælpsomt) talt om restriktioner på hvad private firmaer må gøre omkring kryptering. Den slags regler kan man godt introducere og de vil have stor betydning. Men så længe de fleste privacy interesserede nægter alle indskrænkninger så ender vi med løsninger som er både drakoniske og usikre. Som jeg har skrevet om i tidligere tråde om dette emne, så mener jeg man godt kan lave en balanceret løsning.

Jesper Lund

Et andet problem er når samme IT-liberalister nægter at stole på retsstatens institutioner, som fx politi og domstole.

Hvad er det for institutioner i retsstaten som beskytter mig mod eksempelvis NSA og FE?

Og apropos retsstaten i Danmark, så mener vores justitsminister at have en særlig undtagelse, således at den ULOVLIGE logning bare kan videreføres indtil der er lavet en erstatning, som tilfredsstiller politiet og PET..

Michael Cederberg

Hvad er det for institutioner i retsstaten som beskytter mig mod eksempelvis NSA og FE?

Det der beskytter dig mod FE er at FE skal overholde dansk lov. Dem der er ansat hos FE er danskere som elsker det danske samfund lige så meget som dig og mig. Hvis FE systematisk overtrådte dansk lov, så vil det komme frem.

NSA kan de ikke beskytte dig mod i den nuværende situation. Men såfremt danske myndigheder ikke behøvede at rende til NSA for hjælp til alting, så vil de også have en interesse i at bremse NSA. For det faktum at NSA ved alt om næsten alle personer udenfor USA er et problem (og det er jeg sikker på at diverse Justitsministre også forstår). Men som situationen er i dag er vi afhængige af USA.

Og apropos retsstaten i Danmark, så mener vores justitsminister at have en særlig undtagelse, således at den ULOVLIGE logning bare kan videreføres indtil der er lavet en erstatning, som tilfredsstiller politiet og PET..

Åbenbart mener justitsministeren at have hjelm i dansk lovgivning til at gøre som han gør. Men for netop at sikre at retsstaten fungerer så skal en løsning have flere sikkerhedsmekanismer end den lovløse situation vi har i dag. Herunder involvere private firmaer som borgere kan sagsøge for at overtræde reglerne og fængselsstraf til personer der medvirker.

Michael Cederberg

Det er kommet frem..

Så virker systemet jo. Vi kan se når der er noget galt.

Lad os så sammen lave et system som gør at der skal en dommerkendelse og andre ting til før at FE faktisk kan få fat i data. Med straf til overtræderne.

Som jeg ser situationen lige nu så hænge FE og PET i med neglene og bruger enhver usikkerhed omkring lovgrundlaget til at få fat i data. Det kan jeg godt forstå, såfremt det er den eneste mulighed for at holde landet sikkert.

Poul-Henning Kamp Blogger

Den holder ikke i Strassbourg.

England har allerede en sådan lov, bortset fra at den ikke automatisk terminerer med straframmen: De kan i princippet bure dig inde i 10 år mens de venter på passwordet, for en forbrydelse der max kan give dig en dagbøde.

Det kritiske spørgsmål vil formodentlig være, som vi diskuterede i forrige debat, om forbrydelsen er bevist på anden vis og dekrypteringen alene tjener til sagens fulde oplysning (= Formodentlig OK i Strassbourg), eller om dekrypteringen er en fiskeexpedition fordi de har dig mistænkt for at have ugler i mosen (= Næppe OK i Strassbourg)

Jesper Lund

Så virker systemet jo. Vi kan se når der er noget galt.

Ja, systemer "virker" på den måde, at regeringen begraver rapporten indtil sommerferien, således at kritik fra oppositionen begrænses.

Og i øvrigt kan det nærmest være lige meget, for det gør ingen forskel om FE overholder eller overtræder dansk lov. Efter Folketingets eksplicitte ønske har Tilsynet med Efterretningstjenesterne reelt ingen beføjelser for at stoppe ulovligheder.

I 2016 var situationen dog alligevel blevet så grel med PETs lovovertrædelser, at Justitsministeren var "nødt" til at fremsætte et lovforslag, som meget præcist legaliserede PETs ulovligheder. Det betød godt nok et opgør med retsgarantier, som selvsamme Justitsminister et år forinden havde fremhævet i forbindelse med et lovforslag, som gav PET adgang til endnu flere oplysninger om borgerne. Men hvad gør man ikke for PET..

Finn Glamhøj

Hvordan er det at det NØDVENDIGVIS rammer uskyldige/hæderlige mennesker ?

Hvorvidt et givent lovforslag rammer uskyldige/hæderlige mennesker afhænger af lovforslaget, men det kan være at et givent lovforslag gør (jeg har ikke sagt at det nødvendigvis gør).

I de tilfælde hvor man svækker sikkerheden ved at åbne angrebsvektorer i systemer som kriminelle så bare undgår, har man kun opnået at svækket sikkerheden for alle uskyldige/hæderlige mennesker uden at få noget for det til gengæld.

Hvis de kriminelle gør det alligevel er det jo så i SIG SELV en forbrydelse der er strafbar. Ligesom folk kan dømmes for ulovlig våbenbesiddelse - fordi vi som samfund har valgt at det ikke er OK at gå med våben.

Hvis kryptering ikke er underlagt restriktioner er det naturligvis heller ikke ulovligt at kryptere for kriminelle, men det de krypterer kan selvfølgelig godt være ulovligt og pointen er i øvrigt, at der skal være tilstrækkelig gavnlig virkning at opnå førend man indføre restriktioner der begrænser vores muligheder som borger i dette land (og i andre retsstater for den sags skyld).

Jonas Finnemann Jensen

Jeg synes lige vi skal huske at der her handler om IT sikkerhed.

definerer Poul Henning-Kamp som hvid, hankøn, højtlønnet og barnløs

Det samme kunne man sige om håndvåben...

Giftige paralleler til højreorienterede Trumpere i Amerikansk politik er ikke passende her, håndvåben er ikke det samme som hemmelige samtaler... Der er mange andre farlige/dumme/skadelige former for ytringer som vi glædeligt lader aviserne printe.

Ib Larsen

Et andet problem er når samme IT-liberalister nægter at stole på retsstatens institutioner, som fx politi og domstole. Konsekvensen af ikke at stole på
disse må være at vi ender med private militser, for hvis man ikke kan stole på politi og domstole når det gælder privacy, hvordan kan man så stole på samme
når det gælder ejendomsret og personlig sikkerhed.

Det er en forfærdelig stråmand, som ville være et alt-right/fascistisk/islamistisk regime værdigt.

  • At man ikke ønsker at overlade staten en magt i et givent tilfælde, behøver ikke være fordi man per definition er imod staten, men fordi man har god grund til at antage, at staten - hvadenten det er the deep state eller politikerne - er for inkompetente eller uværdige til at bruge den nye magt.

  • En grund til ikke at betro staten mere magt kunne udspringe af at staten jo i flere tilfælde er blevet taget i eller endda dømt for at overtræde menneskerettighederne (extradiordinary renditions, tortur, Tibetsagen or whatever) og i at forsøge på at dække over sandheden senere - enten ulovligt eller ved at påberåbe sig gummiundtagelser til frihedsrettighederne så som nødret, national sikkerhed eller hvaddsomhelst andet til at undgå placering af ansvar.

Uden empirisk grundlag for at formode, at der i enhver ny magtoverdragelse til staten vil indgå tilstrækkeligt med checks and balances, er det ikke borgerne der er fanatiske fordi de afviser at lade tvivlen komme staten til gode.

Det er statstilhængerne, dvs. dem der plæderer for at tvivl skal komme myndighederne til gode, hvis de blot vifter med luftige begrundelser uden at fremlægge alle beviser.

Din argumentation falder til jorden, for mange nærer jo netop i forvejen mistillid til statens respekt for borgernes frihedsrettigheder.

Om man læser 180grader eller Information er ikke væsentligt for, om man bare ikke mener at staten på IT-området skal have større magt til at tilsidesætte borgernes hævdvundne rettigheder.

  • Hvis man er venstreorienteret, vil man kunne fremdrage eksempler på statens magtmisbrug og inkompetence (tortur, CIA renditions eller den borgerlige regerings ministerløgne), og hvis man er højreorienteret vil man sikkert kunne fremdrage lige så gode eksempler på, at staten har løjet og misbrugt dens magt (retsløshed i skattesager).

Man behøver ikke være IT-liberalist for at mene at staten i forvejen har for stor magt og - om ikke andet skal have tungtvejende grund til at få overdraget mere.

  • Det kan være nok grund at modsætte sig statens ønsker i kryptodebatten at se på hvordan staten i forvejen forvalter vores retssikkerhed.

I øvrigt er personlig sikkerhed ikke et mål i sig selv - uden frihedsrettigheder som ikke blot kan tilsidesættes med gummiundtagelser som nødret, national sikkerhed eller - det er for svært at overholde loven (læs myndighedernes straffrihed i sager om skødesløs omgang med borgernes persondata) er personlig sikkerhed intet værd.

Under khalifadet var der også personlig sikkerhed, og i Rusland sikrer Hr. Putin at borgerne kan leve uden frygt for terror ved at forbyde vpn-tjenester uden bagdør, men mistillid til staten er altså sund, hvis den er underbygget af tilstrækkeligt mange eksempler.

Nogle af de samme personer har også en udbredt mistillid til demokratiet og en tro på at politikeres har en enorm interesse i kontrollere os alle. Politikere
er almindelige mennesker valgt af befolkningen – det giver ingen mening hvis deres interesser skulle være markant anderledes end resten af befolkningen.

Politikerne i danmark er underlagt færre checks and balances end det er tilfældet i mange andre lande.

Vores grundlov er forældet og ville blive kritiseret som udemokratisk og utilstrækkelig i dens værn af frihedsrettighederne, hvis den blev indført i et nyt demokrati i Østeuropa eller i den tredje verden.

Din tiltro til at politikerne, fordi de er valgt af befolkningen, ikke vil misbruge deres magt er overfladisk og naiv.

  • Der er utallige eksempler på demokratisk tilbagefald, dvs. at et system med fri valg enten overtages eller influeres af onde aktører, der bruger et flertal til at dæmonisere og marginalisere minoriteter ved hjælp af statens institutioner f.x Tyrkiet,Ungarn, Polen og Rusland.

Og selv i ældre vestlige demokratier er der eksempler på at dårlige aktører har misbrugt deres magt til at undergrave dissidenter eller til at berige sig selv på uetisk vis.

Jeg mener grundlæggende set ikke, at Danmark eller vestlige demokratier er forskellige fra Polen, Ungarn eller Rusland på anden måde, end at vi indtil nu har været ret så heldige.

  • Det bedste argument imod masseovervågning og kryptobagdører er ikke nødvendigvis at politikerne lige nu kunne tænke sig at misbruge deres magt, men at et sådant system er for farligt, hvis der en gang skulle komme en Le Pen eller Trump til magten.

Med mindre man med absolut sikkerhed kan udelukke, at en bad actor skulle opnå magten via demokratiet, er der ganske enkelt visse magtbeføjelser som staten ikke må overlades.

I Holland havde man før anden verdenskrig indført et register over folks religiøse overbevisning - fordi det var bekvemt for staten og borgerne selv - men da nazisterne invaderede Holland i 1940 brugte de registret til at indfange landets jøder.

Ib Larsen

Lad os så sammen lave et system som gør at der skal en dommerkendelse og andre ting til før at FE faktisk kan få fat i data. Med straf til overtræderne.

Fint, og hvis disse kontrolforanstaltninger ikke bliver indført, skal staten naturligvis fratages denne magt.

Det vil forhåbentligt medføre, at overvågningstilhængerne ændrer holdning og erklærer at de er imod større magt til staten, men løftet om at masseovervågning altid skal være med kontrolforanstaltninger er stortset altid en vittighed.

Som jeg ser situationen lige nu så hænge FE og PET i med neglene og bruger enhver usikkerhed omkring lovgrundlaget til at få fat i data. Det kan jeg godt
forstå, såfremt det er den eneste mulighed for at holde landet sikkert.

Aha, så hvis borgerne udnytter et hul i loven til at unddrage sig staten, er det et problem ssom skal løses med mere overvågning og eventuel tvang, men hvis anonyme bureaukrater udnytter tvivl i loven eller et hul som politikerne har skabt for ikke at der skal kunne statueres et retsligt ansvar, så er det pludseligt forståeligt.

Problemet med et sådant ræsonnement er så, at man ikke aner, om efterretningstjenesterne kun bruger de indsamlede data til at forhindre angreb på Danmark; om de samarbejder med udenlandske efterretningstjenester, hvis regeringer kunne finde på at misbruge oplysningerne til at krænke deres egne borgeres menneskerettigheder; eller om data også siver til indflydelsesrige venner af den siddende regering til industrispionage.

Så længe man ikke kan få klart besked om hvad systemet bruges til, skal tvivlen ikke komme staten til gode.

Borgerne har ingen pligt til at antage, at myndigheder der udnytter en uklar lov er i god tro.

Ib Larsen

Det der beskytter dig mod FE er at FE skal overholde dansk lov. Dem der er ansat hos FE er danskere som elsker det danske samfund lige så meget som dig
og mig. Hvis FE systematisk overtrådte dansk lov, så vil det komme frem.

Haha, Hvis loven forbyder en myndighed at gøre noget, vil loven beskytte borgeren, fordi myndigheden skal overholde loven, og de ansatte i myndigheden elsker vores land.

Prøv at erstat FE med kommunen, skat eller en hvilken som helst anden myndighed, og post udsagnet på 180grader eller Information i en hvilken som helst debat om påstået eller reelt lovbrud fra en myndighed.

Folk har mindre tillid til kommunen, det almindelige politi eller til Skat, selv om disse er underlagt strengere kontrol.

At man skulle have større tiltro til FE end til kommunen er latterligt.

  • Hint: Skattemedarbejderne elsker sikkert deres land lige så meget som de ansatte i FE, så samme tillid skal naturligvis komme Skat til gode ;-)

I Danmark kan myndigheder slippe af sted med meget mere end i andre lande - ikke mindst fordi vi ikke har en rigtig forfatningsdomstol som i moderne demokratier.

Og så hersker der i DK en provinsialisme om at vi skulle være så forskellige fra amerikanere, tyskere eller andre der er mere skeptiske over for staten, fordi vi tror at vi er så tætte på hinanden.

Lars Skovlund

Her er det tankevækkende at se på hvad et meget stort flertal i Folketinget gjorde, da det i maj 2016 kom frem, at de brådne kar i PET ikke slettede oplysninger, som PET ikke længere havde brug for...


Ja, det er en anden ting. Jeg plejer at henvise til CPR-loven, der har en bestemmelse (§ 55) om bortskaffelse af data i tilfælde af krig og lign. Det var man forudseende nok til at tage med, da CPR blev indført i midten af tresserne. Ikke siden har man forsynet registre med tilsvarende bestemmelser, og disse registre er oplagte at gå efter som fjende i tilfælde af krig. Bestemmelsen i CPR-loven er nærmest ligemeget nu, da de samme data kan rekonstrueres ud fra disse andre registre.

Ib Larsen

England har allerede en sådan lov, bortset fra at den ikke automatisk terminerer med straframmen: De kan i princippet bure dig inde i 10 år mens de venter
på passwordet, for en forbrydelse der max kan give dig en dagbøde.

Idømmelse af straffesanktionen skal overholde de almindelige krav i straffesager, men foreløbig fængsling af en mistænkt kan sagtens iværksættes uden en straffesag.

Der er forskellige beviskrav til hvad man skal bevise for at give en person et pålæg om udlevering af nøglen og et andet for at idømme samme person en straf for bevidst at undlade at samarbejde.

At idømme mennesker en straffesanktion for ikke at samarbejde vil stille store beviskrav til staten, og i praksis har det vist sig at kun meget få personer er blevet dømt.

Det vil formentligt ikke være nok at staten mistænker en person for at have nøglen, der skal sandsynligtvis ret så håndgribelige beviser på bordet, før at den holder ved EMD.

EMDs bemærkninger i tidligere domme om fysiske beviser, der eksisterer uafhængigt af den anklagedes vilje vil således kun hjælpe staten i få sager, hvor en bestemt nøgle dekrypterer en bestemt datamængde.

Et kryptosystem, hvor dekryptering med forskellige nøgler fremkalder forskelligt indhold vil sætte selv en lov som RIPA til kort, medmindre staten i forvejen kender antallet af krypteringslag, og har en ide om hvilket indhold en given nøgle dekrypterer.

  • Et program som Jetico's Bestcrypt åbner f.x mulighed for flere lag deniable encryption, så selv hvis loven siger at man straffes for at give en forkert nøgle, vil det ikke hjælpe, hvis der er flere mulige nøgler, og staten ikke kan bevise andet end at man har benyttet et bestemt program.

En sådan lov vil heller ikke tage højde for delte computere i private husstande og beslægtedes ret til ikke at inkriminere hinanden.

  • Hvis blot personen plausibelt kan pege på, at han har delt computer med andre, og man ikke kan bevise, hvilken af brugerne har kendskab til koden, vil staten i mange tilfælde komme til kort.

Man kunne også forestille sig, at krypterede data er lagret i skyen evt. på en fjernserver, til hvilken flere personer har adgang.

  • Medmindre staten kan indhente IP logs fra alle udbyderne i kæden og rekonstruere adgangsforløbet og knytte alle mulige aktører til de krypterede data, vil der kunne sås alvorlig tvivl om statens bevisførelse.

Så for at sikre sig, at der ikke bliver for mange "huller" i statens mulighed for at håndhæve key escrow eller key disclosure, vil man i praksis være nødt til at udvide logning til et hidtil uset omfang og tvinge selv medlemmer af private husstande til at stikke og overvåge hinanden.

En sådan lov vil også bryde kraftigt med danske retsprincipper, og er man tilhænger af nationalstaten, er det mærkværdigt, om man foreslår noget så udansk som en indskrænkning af sigtedes og tiltaltes ret til at forholde sig tavs.

At forsvare den nuværende regel i Retsplejeloven er ikke IT-liberalisme eller fanatisme men et forsvar af danske hævdvundne retsprincipper.

  • Selvinkrimineringsprincippet har så dybe rødder i dansk tradition og er ikke blevet anfægtet heller ikke i politiske betændte sager om embedsmisbrug.

Alle de undersøgelseskomisioner der har undersøgt politiske skandaler har virket på den forståelse, at de indkaldte have en ret til ikke at udtale sig, hvis de derved ville inkriminere sig selv.

Princippet er teknologi neutralt og kom det til en afstemning i Folketinget, er det ret sikkert, at der ikke ville være flertal for at indskrænke det.

At indskrænke det med fodnoter, bare fordi problematikken er kryptering eller teknologi, det er for svært for politiet at bryde er inkonsekvent.

Hvis princippet er godt nok til at beskytte en, der begår lavteknologiske forbrydelser i den analoge (fysiske) verden, er det også godt nok til den der begår forbrydelser via en computer.

Ib Larsen

Ovenstående kan godt gøres uden nøgledepoter - i så fald ville man "blot" gøre det strafbart ikke at dekryptere materiale hvor man formodes at have nøglen
i situationer hvor politiet har en dommerkendelse)

Skulle man også kunne straffes for ikke at forklare politiet, hvordan de skal fortolke ens dagbog, hvis man er anklaget for mord?

Om dagbogen er på papir eller didigitaliseret bør ikke gøre nogen forskel på, om staten kan kræve at den anklagede hjælper dem med at fortolke den.

Hvis man har en ret til ikke at inkriminere sig selv ved at skulle hjælpe politiet med at tyde ens papir dagbog, er der ingen grund til at politiet skulle kunne kræve mere, blot fordi ens tanker er nedfældet i en digitaliseret dagbog.

Formodning om at have krypteret data bør heller ikke være nok, hvis konsekvensen af politiets formodninger er at man kan blive strafsanktioneret.

Hvis vi bor i et land hvor ordensmagten misbruger deres overvågnings-evner og de deponerede nøgler (hvis vi nu gik den vej) ville det give mening at kræve
at vi skulle have fri kryptering.

Det er vel ordensmagten der skal bevise et behov for indgreb i den personlige frihed og ikke borgerne, der skal retfærdiggøre et ønske om fri kryptering.

Nice to have har aldrig været (eller burde ikke være) grund til at begrænse borgernes frihed.

Og der er masser eksempler på enten inkompetence eller misbrug i ordensmagten - Tibetsagen, Flyttemandssagen og andre eksempler, hvor politiet har været ude af stand til at identificere ansatte, der blev klaget over.

Hvis ikke - så ville konsekvensen for den almindelige borger blot være at ordensmagten kunne ransage din computer efter samme regler som hvis de ransagede
dit hus.

Og at ordensmagten har en dommerkendelse har aldrig betydet, at den havde nogen ret til at kunne gøre brug af informationen.

Det er en velkendt stråmand, at fordi politiet har en dommerkendelse, at det også af den grund har en "ret" til at kunne sikre sig information af en vis kvalitet.

Det har dog aldrig været et krav, at borgerne som en betingelse for meddelelseshemmeligheden var pligtige til at indrette deres liv på en sådan vis, at staten ikke lagdes hindringer i vejen.

Poul-Henning Kamp Blogger

Det er der vist aldrig nogen af os, der har sagt. Rværtimod er indførelsen af nye regler som automatsvar på alt et rendyrket politikersyndrom.

Jo, det er der rigtig mange der har sagt, men de gør sig sjældent klart at det er det de siger.

Stort set alle nørder er skyldige i at foreslå teknologiske løsninger på sociale problemer.

F.eks at alting skal krypteres, fordi vi har ladet de forkerte folk komme til magten :-)

Lars Skovlund

Lighedstegnet mellem "at foreslå teknologiske løsninger på sociale problemer" og det at ønske mere indviklede regler er din egen opfindelse. Derfor kan du ikke gemme dig under en generaliserende formulering om "sociologiske segmenter". Du er ude i en stråmand, PHK. Slet og ret.

Lars Skovlund

Lighedstegnet mellem "at foreslå teknologiske løsninger på sociale problemer" og det at ønske mere indviklede regler er din egen opfindelse. Derfor kan du ikke gemme dig under en generaliserende formulering om "sociologiske segmenter". Du er ude i en stråmand, PHK. Slet og ret.


Dertil er selve den påstand om at vi specielt skulle "foreslå teknologiske løsninger på sociale problemer" jo forkert:

  • Det er ikke it-folk og ingeniører, der har råbt og skreget på DRM
  • Det er ikke it-folk og ingeniører, der har råbt og skreget på elektroniske valgsystemer
  • Det er ikke it-folk og ingeniører, der har foreslået NSA, at de skulle have bagdøre i kryptering

and so on and so forth

Poul-Henning Kamp Blogger

Lighedstegnet mellem "at foreslå teknologiske løsninger på sociale problemer" og det at ønske mere indviklede regler er din egen opfindelse.

Det er ikke et lighedstegn, det er et implikationstegn.

Måden vi løser sociale problemer på hedder 'Jura'.

Jura kan foreskrive teknologiske løsninger og nogen gange er det en rigtig god ide som gør livet lettere for alle.

Et godt eksempel er CPR nummeret. Alle der har prøvet at bo i USA har på egen krop oplevet hvor "dyrt" det er for borgerne ikke at have et CPR nummer.

Men at løse sociale problemer alene med teknologi, uden Jura og uden demokratisk debat er ikke muligt. Om ikke andet skal det jo bestemmes hvad der skal ske med dem der nægter at bruge vidunderteknologien.

Jesper Frimann

Jamen... jamen... det er jo ikke så længe side vi så, hvordan 'staten' behandler folk som ikke vil dekryptere.

Fra https://www.version2.dk/artikel/csc-anklaget-dansker-derfor-loeb-jeg-fra...

»Så du vil hellere sidde i fængsel end at hjælpe politiet med din computer?« spørger Maria Cingari med henvisning til det år, som JT har siddet varetægtsfængslet indtil videre.

»Hvis anklager vil lade min klient ud af fængslet, vil vi gerne give adgang til computeren,« lød det prompte forslag fra JT’s forsvarer, advokat Michael Juul Eriksen.

Jeg vil endda påstå, at man er godt naiv, hvis man ikke bruger sølvpapirs hat :)

// Jesper

Michael Cederberg

Ja, systemer "virker" på den måde, at regeringen begraver rapporten indtil sommerferien, således at kritik fra oppositionen begrænses.

Pointen er at det nytter ikke at indrette systemet efter situation hvor alt lovgivning er sat ud af kraft. For i så fald, så er vi alligevel endt i en situation á la Nordkorea og så betyder ingen regler vi har vedtaget i dag noget. I stedet skal vi designe systemet sådan at det kan håndtere når enkelt dele af systemet overtræder reglerne (sådan som du siger at regeringen og politiet gør i nogle tilfælde).

Dvs. vi skal sikre at hvis vi har en form for logning af følsom information, så skal det ikke være muligt at komme til informationen uden at involvere så mange mennesker og myndigheder at man i praksis kun kan overtræde reglerne i en situation hvor vi har undtagelsestilstand.

Din tiltro til at politikerne, fordi de er valgt af befolkningen, ikke vil misbruge deres magt er overfladisk og naiv.

Din mangel på tiltro på politikerne er overfladisk og latterlig. Mere seriøst vil jeg blot sige at en af de gode ting ved et demokratisk system er at regeringen altid ved at på et tidspunkt kommer oppositionen til. De ved også at de på et tidspunkt blot er almindelige borgere og skal leve under de regler de selv har lavet.

Jesper Lund

Pointen er at det nytter ikke at indrette systemet efter situation hvor alt lovgivning er sat ud af kraft. For i så fald, så er vi alligevel endt i en situation á la Nordkorea og så betyder ingen regler vi har vedtaget i dag noget.

Well.. det med Nordkorea, eller lad os som kompromis sige Tyrkiet under Erdogan for ikke at kunne blive beskyldt for urimelige konspirationsteorier, er på en del punkter faktisk en ret præcis beskrivelse af en situation, hvor meget lovgivning i praksis er sat ud af kraft for staten selv.

Dagens case:

Vi har for eksempel en ANPG bekendtgørelse, som kræver at registrering af non-hits sker på en måde, som er geografisk og tidsmæssig afgrænset, foruden at der skal være en politifaglig begrundelse for registreringen. Kravene er kumulative ("og"). Det var endvidere en klar forudsætning i drøftelserne mellem Datatilsynet og Rigspolitiet, at ikke alle non-hits måtte registreres.

Men guess what Rigspolitiet gør..
https://twitter.com/christianpanton/status/887666140427808768

Jeg havde hørt et rygte fra en EB-journalist om at politiet registrerede alle non-hits, men over for udenlandske kontakter, der spurgte til den danske ANPG ordning, har jeg altid understreget at det var et rygte, og at bekendtgørelsen altså sagde noget andet. Dumme mig, jeg troede at Rigspolitiet overholdt landets love..

Michael Cederberg

Well.. det med Nordkorea, eller lad os som kompromis sige Tyrkiet under Erdogan for ikke at kunne blive beskyldt for urimelige konspirationsteorier, er på en del punkter faktisk en ret præcis beskrivelse af en situation, hvor meget lovgivning i praksis er sat ud af kraft for staten selv.

Jeg er ganske enig i at retsstaten er ophørt med at eksistere i Tyrkiet. Af samme grund giver enhver diskussion af love og regler i Tyrkiet ingen mening. Der er kun en lov og det er Erdogans ord. Men vi kan godt sammensætte regler som virker mens retsstaten fungerer.

Vi har for eksempel en ANPG bekendtgørelse, som kræver at registrering af non-hits sker på en måde, som er geografisk og tidsmæssig afgrænset, foruden at der skal være en politifaglig begrundelse for registreringen.

Jeg skal på ingen måde forsvare ANPG – hverken som koncept eller i udførelse. Min pointe er at i mange tilfælde kan man godt både give politiet de muligheder de har brug for for at bekæmpe kriminalitet men også gøre det svært for myndigheder at omgå reglerne.

Eksemplet ANPG er godt. Jeg har ikke noget problem med at biler kører rundt med en ”hit”-liste og intet problem med hvad de gør med de matches der findes. Måske burde der kræves en dommerkendelse for at komme på hitlisten for de kriterier som kræver skøn. Måske.

Der hvor problemet opstår er når politiet logger no-hits. Jeg kan godt forstå at politiet kunne have en legitim interesse i at kunne gå tilbage i historien for at finde ud af hvilke biler der var i et område ANPG politibil kørte igennem for nogen tid siden. Men det er ganske klart at sådan som det er implementeret på nuværende tidspunkt så giver det politifolk ubegrænset adgang til meget kraftig overvågning af bilister.

Man kan godt fikse ANPG sådan at man skal involvere mange flere personer for at lave misbrug. Hvis man krypterede no-hits inden de blev logget og placerede koden hos en anden myndighed. Så kræves der at to myndigheder overtræder reglerne for at få fat i det loggede. Koden kunne også gemmes hos et privat firma som privatpersoner kunne sagsøge såfremt de overtrådte loven.

Hvis der ikke laves kompromisser som både sikrer myndighederne og borgernes behov, så ender vi med forkerte løsninger som den nuværende ANPG.

Finn Glamhøj
Jesper Lund

Men det er ganske klart at sådan som det er implementeret på nuværende tidspunkt så giver det politifolk ubegrænset adgang til meget kraftig overvågning af bilister.

Yep, et Google-søgeværktøj i alle danske bilisters adfærd og privatliv
https://www.b.dk/nationalt/politiets-nye-google-loesning-sendt-i-hoering

Jeg har set POL-INTEL demonstreret. Det blev ret interessant, da de ved demonstrationen som teaser sagde: "Hvordan ved vi hvem der sidder i bilerne..."

TIA.

Michael Cederberg

Bør man så ikke vente med at give myndighederne nye indgribende værktøjer førend ovenstående er en realitet?

Vi skal arbejde med myndighederne sådan at nye værktøjer får indbygget sikkerhedsmekanismer der gør at de bliver svære at misbruge. Så længe dem der ved noget om det her blot står i hjørnet og siger at de ikke vil være med til noget, så ender vi med vanvittige systemer som ANPG. Så længe man ikke erkender at myndighederne også har legitime grunde til at kunne overvåge elektronisk kommunikation og borgeres færden, så er man udenfor indflydelse.

Jeg har set POL-INTEL demonstreret. Det blev ret interessant, da de ved demonstrationen som teaser sagde: "Hvordan ved vi hvem der sidder i bilerne..."

Jeg har lige siden ANPG blev annonceret ment at det var en skandale. Når man kobler det med politiets notorisk dårlige IT sikkerhed, så har vi nu bygget et (endnu) system der tillader fremmede magter at indsamle kompromitterende oplysninger på landets borgere uden at sætte foden på dansk territorium.

Men med lidt hjælp så kunne det været blevet et fornuftigt system der hjalp politiet med at fange snydere, forbrydere og terrorister uden at kompromittere resten af befolkningen. Sad!

Nemlig at anklageren mere end antyder, at hvis den anklagede havde dekrypteret sin harddisk, så kunne han blive løsladt.

Men at det ikke var det anklageren mente ses også i artiklen. Den fortsætter nemlig:

»Hvis anklager vil lade min klient ud af fængslet, vil vi gerne give adgang til computeren,« lød det prompte forslag fra JT’s forsvarer, advokat Michael Juul Eriksen.
Ideen blev hurtigt afvist af Maria Cingari.

Faktum er at manden ikke var fængslet fordi han ikke ville dekryptere. Faktum er også at det heller ikke var grunden til at han ikke kom ud (på det tidspunkt).

Det står sådan rimeligt sort på hvidt.

Henrik Madsen

Når man kobler det med politiets notorisk dårlige IT sikkerhed, så har vi nu bygget et (endnu) system der tillader fremmede magter at indsamle kompromitterende oplysninger på landets borgere uden at sætte foden på dansk territorium.

Ja det er da et oplagt sted at forvente den næste "Se og Hør" skandale.

En korrupt medarbejder hos politiet eller dem der hoster ANPG systemet og vupti så er de kendte igen overvåget og der kan laves sladder historier på deres færden.

"Kendis X påstod at han var i X-by, men fortrolige kilder melder at hans bil er set i Y-By (Hvor der tilfældigvis er et stationært ANPG kamera)"

Finn Glamhøj

Vi skal arbejde med myndighederne sådan at nye værktøjer får indbygget sikkerhedsmekanismer der gør at de bliver svære at misbruge. Så længe dem der ved noget om det her blot står i hjørnet og siger at de ikke vil være med til noget, så ender vi med vanvittige systemer som ANPG.

Men det er jo ikke alle der bare står i hjørnet og siger at de ikke vil være med til noget, der er jo f.eks. både dig og PHK og alligevel så bliver dine tanker om systemdesign tilsyneladende ikke til noget i virkeligheden.
(Jeg har svært ved at forestille mig, at du mener, at alle IT-liberalisterne, som du og PHK så nedladende omtaler dem, skal konvertere til de kompromissøgendes rækker førend man kan forvente at politikkerne/embedsmændene lytter)

Så jeg bliver nød til at spørge igen, bør man så ikke undlade at give myndighederne nye indgribende værktøjer uden at de har de nødvendige indbygget sikkerhedsmekanismer?

Og så lige et tillægsspørgsmål. Hvordan arbejder vi med myndighederne om at sikre at de har det? (i praksis forstås, hvis nogen skulle være i tvivl)

Ib Larsen

Vi skal arbejde med myndighederne sådan at nye værktøjer får indbygget sikkerhedsmekanismer der gør at de bliver svære at misbruge. Så længe dem der ved
noget om det her blot står i hjørnet og siger at de ikke vil være med til noget, så ender vi med vanvittige systemer som ANPG. Så længe man ikke erkender
at myndighederne også har legitime grunde til at kunne overvåge elektronisk kommunikation og borgeres færden, så er man udenfor indflydelse.

Myndighederne har al mulig ret til at aflytte elektronisk kommunikation, det springende punkt er om de har en ret til at kræve at tredjeparter indretter sig sådan, at myndighederne får mulighed for at forstå/fortolke kommunikationen.

Myndighederne har aflytningsret - ikke fortolkningsret - og sså længe tilhængerne af at myndighederne skal have øget magt ikke ærligt vil sige, hvor langt deres ræsonnement skal udstrækkes - om private borgere skal have en pligt til at tale i et sprog som kan fortolkes af staten - er der en ubrydelig kløft mellem de to positioner.

Det er en stråmand at hævde, at modstanderne af masseovervågning ikke anerkender statens ret til at aflytte i konkrete tilfælde.
- Vi anerkender skam lige som EU-domstolen, at staten kan overvåge enkeltpersoner mod hvem der er individuel mistanke, men der er forskel på bagudrettet overvågning og på foranstaltninger, der tager sigte på at lovgive om at private aktører på forhånd skal indrette en bagdør til staten.

Der er kun en lov og det er Erdogans ord. Men vi kan godt sammensætte regler som virker mens retsstaten fungerer.

Det er jo et problem, da en nedbrydning af retsstaten ikke sker fra den ene dag til den anden.

  • Nogle vil jo hævde, at retsstaten allerede er brudt ned, hvis politiet og embedsmænd kan krænke borgernes ytringsfrihed og forsamlingsfrihed som i Tibetsagen uden at blive straffet og afskediget.

Det er også interessant, at fortalerne for mere statslig magt i denne tråd lægger så meget vægt på at retssamfundet skal have redskaber fordi håndhævelse af loven er et gode i sig selv, men enten er tavse om eller vil lade myndigheder tvivlen komme til gode, når de begår misbrug.

  • Eksempelvis er der en, der skriver, at systemet virker, hvis blot ulovligheder kommer for dagen, uagtet at ingen ansvarlig er blevet straffet.

Erdogan og Putin startede jo også i det små, med små indgreb i den personlige frihed, og retsstatsbrud som i begyndelsen kunne ligge i gråzonen og af tilhængerne blev retfærdiggjort med national sikkerhed, bekæmpelse af terrorisme og at kriminelle ikke skulle have lov til at unddrage sig staten, og at tvivlen skulle komme staten til gode.

Ethvert argument, der i dets udgangspunkt forudsætter, at vi har en pligt til at lade staten tvivlen komme til gode er ikke redeligt.

Poul-Henning Kamp Blogger

Bør man så ikke vente med at give myndighederne nye indgribende værktøjer førend ovenstående er en realitet?

Det er et holdningssspørgsmål. Der er ingen tvivl om at den hurtigste vej til forbedring er at lade være med at stemme på folk der ikke er jobbet værdige og voksne til næste folketingsvalg.

Hvordan danskerne overhovedet kan få sig til at genvælge politikere som folketinget har tildelt næser fatter jeg simpelthen ikke...

Ib Larsen

Pointen er at det nytter ikke at indrette systemet efter situation hvor alt lovgivning er sat ud af kraft. For i så fald, så er vi alligevel endt i en
situation á la Nordkorea og så betyder ingen regler vi har vedtaget i dag noget.

Nordkorea er det mest ekstreme eksempel, men at en autokrat valgt på demokratisk vis kunne bruge love med bredde magtmidler til at befæste sin magt er ganske realistisk.

  • En lov om at man kunne straffes for at nægte at inkriminere sig selv, eller for at bruge kryptering, som gjorde det vanskeligt eller umuligt for staten at fortolke en meddelelse, eller et forbud mod internetanonymiseringsværktøjer ville være et redskab for enhver demokratisk leder med autokratiske tilbøjeligheder.

Den tyrkiske lov om fornærmelse af republikken er blevet brugt af tidligere regeringer til at undertrykke omtale af det armenske folkemord, og det er jo en dejlig lov at have for enhver leder som vil give dissidenter mundkurv på.

Det som fortalerne for at give staten "redskaber" dvs. repressive magtmidler ikke vil svare på er, hvorfor vi skal overlade den mere magt, når politiet i mange tilfælde ikke er under effektiv kontro (Læs Tibetsagen).

Staten og politikerne har ingen automatisk ret til vores tillid, blot fordi vi skal antage at de vil os det bedste - det er udtryk for en naiv og provinsialistisk dansk holdning til statsmagten, som man ville grine ad i USA, hvor checks and balances og ikke tiltro er den bedste kur mod statens mulige backsliding i retning af tyranni.

Et argument for stærk kryptering og retten til internetanonymitet er, at der skal lægges så mange hindringer i vejen for, at der nogensinde kan udvikle sig en dyb stat (the deep state) eller en leder med autokratiske tendenser.

I et vist omfang har vi allerede the deep state dvs. embedsmænd som ikke er politisk valgte men alligevel har stor magt og stortset aldrig drages til ansvar.

En af embedsmændende i Tibetsagen havde også en fremtrædende rolle i Tamilsagen.

  • Så længe staten ikke kan/vil rydde op i dens eget hus, bør enhver debat om flere redskaber til politiet stoppe, ganske enkelt fordi statens ansatte er folkets tjenere.
Jesper Frimann

Faktum er at manden ikke var fængslet fordi han ikke ville dekryptere. Faktum er også at det heller ikke var grunden til at han ikke kom ud (på det tidspunkt).

Det står sådan rimeligt sort på hvidt.

Det jeg siger er at anklageren mere en antyder at det er grunden, til at JT sidder varetægtsfængslet.
Så en gang til for prins knud:

»Så du vil hellere sidde i fængsel end at hjælpe politiet med din computer?« spørger Maria Cingari med henvisning til det år, som JT har siddet varetægtsfængslet indtil videre.

Desuden så lægger dommeren i sagen mod JT også vægt på at JT ikke har ville hjælpe politiet i hans domsafsigelse
Fra:
https://www.version2.dk/artikel/live-foelg-afgoerelsen-i-danmarkshistori...

09:50: Dommer Kari Sørensen: JT har ikke ønsket at hjælpe politiet med adgang til krypterede dele af computer.

Det du citerer er forsvarens modtræk, til anklagerens udtalelse, at hvis han løslades så vil han gerne dekryptere.

// Jesper

Finn Glamhøj

Det er et holdningssspørgsmål. Der er ingen tvivl om at den hurtigste vej til forbedring er at lade være med at stemme på folk der ikke er jobbet værdige og voksne til næste folketingsvalg.

Det kan jeg kun være enig i, men hvem man så skal stemme på i stedet ligge ikke lige for.

Hvordan danskerne overhovedet kan få sig til at genvælge politikere som folketinget har tildelt næser fatter jeg simpelthen ikke...

Det har jeg heller aldrig forstået noget af, men det skyldes vel at mange (måske de fleste) bare stemmer som de plejer uden at interessere sig for den faktiske førte politik og så længe det er tilfældet vil de politiske partier genopstille den slags folk fordi de allerede er en del af indercirklen i partiet.

Michael Cederberg

Men det er jo ikke alle der bare står i hjørnet og siger at de ikke vil være med til noget, der er jo f.eks. både dig og PHK og alligevel så bliver dine tanker om systemdesign tilsyneladende ikke til noget i virkeligheden.

Hvis vi igen tager diskussionen omkring ANPG, så var der ingen diskussion i resten af samfundet omkring dette emne da det blev lagt frem af Søren Pind. Her på sitet var der en længere diskussion. Desværre er de fleste i ultra-liberalist hjørnet når det gælder privacy og så er det ikke så nemt at flytte noget. Så det føles en smule ensomt her midt på banen hvor vi har liberalisterne i den ene ende af banen og ingen i den anden ende fordi de ligger på sofaen. Jeg er ikke ubekendt med at have midt-i-mellem holdninger og jeg håber at jeg ligeså stille kan overbevise folk om behovet for balance.

(Jeg har svært ved at forestille mig, at du mener, at alle IT-liberalisterne, som du og PHK så nedladende omtaler dem, skal konvertere til de kompromissøgendes rækker førend man kan forvente at politikkerne/embedsmændene lytter)

Ordet liberalist er ikke ment nedsættende og er generelt en hædersbetegnelse. Det bliver først nedsættende når det trumfer alt andet. På samme måde som alle de andre ismer bliver forfærdelige når man ikke erkender at alle disse diskussioner handler om at finde et fornuftigt kompromis.

Og så lige et tillægsspørgsmål. Hvordan arbejder vi med myndighederne om at sikre at de har det? (i praksis forstås, hvis nogen skulle være i tvivl)

Jeg har ikke noget godt svar. Men jeg ved fra alle de forhandlinger jeg har deltaget i at man kun får noget hvis man giver noget.

Myndighederne har al mulig ret til at aflytte elektronisk kommunikation, det springende punkt er om de har en ret til at kræve at tredjeparter indretter sig sådan, at myndighederne får mulighed for at forstå/fortolke kommunikationen.

Traditionelt har vi indrettet samfundet sådan at bærerne af kommunikation har en pligt til at gøre det muligt aflytte kommunikationen. Det gælder breve og telefon kommunikation. Jeg kan ikke se det er anderledes med data kommunikation. Man kan selvfølgeligt ikke overføre lovgivningen direkte, fordi IP adresser er flygtige, WIFI er til en hvis grad anonymt, etc. Derfor bliver reglerne også noget anderledes.

Ovenstående har fungeret godt for demokratiet indtil videre. Jeg er tilhænger af små justeringer når det gælder centrale mekanismer i vores samfund.

Det er jo et problem, da en nedbrydning af retsstaten ikke sker fra den ene dag til den anden.

Det eneste der kan forhindre nedbrygning af retsstaten er borgerne. Borgerne vil kun forsvare en retsstat som de oplever som fungerende. Selvom man kan stille spørgsmålstegn ved borgernes valg, så viser historien at folk ikke vil forsvare en stat som ikke beskytter dem. Trump, Erdogan og Putin er gode eksempler på hvad der sker når folk er bange.

Det er også interessant, at fortalerne for mere statslig magt i denne tråd lægger så meget vægt på at retssamfundet skal have redskaber fordi håndhævelse af loven er et gode i sig selv, men enten er tavse om eller vil lade myndigheder tvivlen komme til gode, når de begår misbrug.

Disse tråde bliver for lange hvis vi forsøger at bringer alt ind. Jeg mener vi skal straffe overtrædelser. I praksis ved jeg godt statsapparatet har en tendens til at beskytte sig selv. Derfor har jeg i flere omgange forslået løsninger som blander private virksomheder ind i situationen og som sikrer transparens. Virksomheder og personer som vi kan sagsøge. Fx bør det være strafbart for private virksomheder at udlevere logget teleinformation uden dommerkendelse.

Ethvert argument, der i dets udgangspunkt forudsætter, at vi har en pligt til at lade staten tvivlen komme til gode er ikke redeligt.

Enig.

Finn Glamhøj

Desværre er de fleste i ultra-liberalist hjørnet når det gælder privacy og så er det ikke så nemt at flytte noget.

Det er jeg ikke så sikker på du har ret i, hvis de forslag der bliver lagt på bordet ikke tilsidesatte privatlivsproblematikken i sådan en grad som det synes at være tilfældet og hvis politikker som f.eks. Søren Pind ville lytte bare en lille smule til de rimelige indvendinger som folk fremkommer med så var der måske en mulighed for et konstruktivt kompromis.

Når politikker som f.eks. Søren Pind (stort set) aldrig forholder sig til de argumenter der fremføres, men bare siger jeg kan tælle til 90 så er der vel ikke så meget at sige til at folk siger så vil jeg slet ikke være med til noget.

Så det føles en smule ensomt her midt på banen

Ja, jeg føler mig også lidt ensom her midt på banen engang i mellem, hvilket er interessant fordi vi begge betragter os som værende midt på banen, men kan dog stadigvæk ikke bliver enige.

For mig handler det om at skabe de bedste resultater, jeg er ikke drevet af ideologi.

Men jeg ved fra alle de forhandlinger jeg har deltaget i at man kun får noget hvis man giver noget.

Se det er måske en af de altovervejende årsager til problemerne. Man skal have noget for at give noget.
Hvis jeg kommer med en ide som jeg (naturligvis) selv synes er god og du så kommer med en anden ide som argumenterne tydeliggøre er bedre på alle parametre, så bakker jeg op om den ide du er kommet med, jeg behøver ikke at få noget.

Hvis den kun er bedre på nogle af parametrene så vil jeg søge at kombinere de to ideer således at det samlede resultat bliver bedst muligt.

Min pointe er, at i politik er det vigtigste at få noget, ikke at skabe de bedste resultater (hvilket er hovedårsagen til jeg ikke selv for alvor har overvejet at gå ind i politik).

Søren Dideriksen

Hvordan danskerne overhovedet kan få sig til at genvælge politikere som folketinget har tildelt næser fatter jeg simpelthen ikke...

Ja, det er underligt. Alligevel sker det i stor stil, også helt oppe i toppen, så det betyder nok mindre end man kunne ønske. Lars Løkke fik en næse i 2009 (godt nok ikke af folketinget, men af Statsrevisorerne). Kristian Jensen har fået 2 næser, Troels Lund Poulsen, Søren Gade, alle genvalgte. Poul Nyrup fik en (og blev genvalgt), Martin Lidegaard (også genvalgt) og så selvfølgelig Uffe Elleman med over 80 næser - som han selv kaldte "hædersnæser". Esben Lunde har lige fået en, han bliver måske nok ikke genvalgt.

Pelle Nielsen

Hvorfor skal dit og mit privatliv ofres for vores retsfølelse?

Eksistere der i dag en kryptering, som ikke kan brydes over tid med tilstrækkelige resurser?
Hvis denne "guddommelige" kryptering ikke eksistere, så bliver spørgsmålet ved hvor meget koster vores ret til privatliv.

Hvor meget vil staten, folkets tjener, så bruge på at sikre vore elektroniske liv, privatliv og retsfølelse.

Er der nogle forbrydelser, der er så slemme og så resurse krævende, at det koster alles, både tykke og små, ret til et privatliv?

Jesper Louis Andersen

Hvis vi skal skære sagen helt ind til benet, så vil totalt ureguleret anvendelse af kryptering medføre en defakto mulighed for anonymitet som domstolene ikke kan afmaskere.

Man kan, med god vilje, argumentere for at den moderne mobiltelefon er en udvidelse af ens hjernekapacitet. Vi har ikke chippen inde i hovedet endnu, men der er ikke langt før at det gælder et høreapparat. Du kan endnu ikke aflytte folks tanker. Det kunne godt være sådan at du definerer et bestemt system som værende helligt og/eller ukrænkeligt i samme stil, netop fordi krypteringen i praksis er umulig at bryde.

Det mest interessante spørgsmål er hvad der sker med småkriminalitet og diverse civile retssager. Jeg er ikke sikker på at det automatisk bliver sværere at dømme, givet man har en øget overvågningskapacitet i dag. Men det bliver formentlig heller ikke lettere. Og det kræver, som jeg har nævnt andetsteds, at man starter med at tage IT-kriminalitet seriøst. Det kræver flere penge til politiet og en masse optræning i at håndtere den slags sager ordentligt. Dommerstaben skal naturligvis også uddannes.

Apple lader ikke til at stoppe deres nuværende projekt som er at give kryptering og privatliv til folket, koste hvad det vil. De er heller ikke helt uden indflydelse fordi Apple-religiøse trods alt også ender i stemmeboksen på et tidspunkt. Og i et land som USA, hvor frihed er i højsædet, så tvivler jeg på at en model der laver indgreb i krypteringen går. Akkurat som at Strassbourg nok løser det i EU.

Leif Neland

Præcis. I dag er det også kun forbrydere som har håndvåben, og lovlydige borgere har ikke en chance for at forsvare sig selv hvis de bliver overfaldet eller truet af en forbryder med sådan et.

(Det er jeg godt klar over at der er mange som synes er helt i orden, men det synes jeg så ikke.)

Hvis det engelske politi kommer ud til en terrorsituation er det let: Skyd alle de, der har våben: Det er kun terrorister, der har våben, almindelige borgere har ikke.

Forbydes kryptering, er det let: Krypterer du din kommunikation, har du noget at skjule. Bur ham inde, til han tilstår et eller andet.

Jeg er ikke sikker på jeg er så glad for den tanke.

Gert Madsen

Prisen på lagring.
Registrering af nummerplader, var aldrig blevet et problem, hvis ikke det var latterligt billigt at gemme resultatet.
Det samme gælder sessionslogning.
De mange forslag til overdragelse af magt til embedsværket har været krydret med lagring til evig tid, selvom man har masser af erfaring for at det er ualmindeligt dumt.
Det viser et grundlæggende problem, i det nuværende politiske miljø, som absolut antyder at grundlaget for vores demokrati faktisk ikke er så solidt. Problemet bør selvfølgelig løses politisk, men jeg mener det er en alvorlig fejlslutning, at tildeling af større magt til myndighederne, skulle løse noget som helst.

Ib Larsen

Jeg har ikke noget godt svar. Men jeg ved fra alle de forhandlinger jeg har deltaget i at man kun får noget hvis man giver noget.

Politiet fik sessionslogning men det var jo ikke sådan, at det var nok. Der har bestandigt været udtrykt ønsker om at "hullerne" i den eksisterende masseovervågning skulle lukkes ved at der blev indført mere logning og krav til personidentifikation ved internetadgang.

  • Terrorpakke 1 og 2 blev solgt med appeller til lov og orden og terrorfrygt, uden at det blev tilkendegivet for den almindelige befolkning at disse tiltag ville blive brugt til meget andet end terrorbekæmpelse.

  • Hvis den anden part "forhandler" i ond tro og ikke vil fremlægge beviserne for, hvorfor den ønsker flere redskaber til overvågning, er det ikke IT-liberalisterne der skal kklantres for obstruktion.

Traditionelt har vi indrettet samfundet sådan at bærerne af kommunikation har en pligt til at gøre det muligt aflytte kommunikationen. Det gælder breve
og telefon kommunikation. Jeg kan ikke se det er anderledes med data kommunikation. Man kan selvfølgeligt ikke overføre lovgivningen direkte, fordi IP
adresser er flygtige, WIFI er til en hvis grad anonymt, etc. Derfor bliver reglerne også noget anderledes.

  • Nu hævder staten, at den bør have samme mulighed for at kunne foretage indgreb i meddelelseshemmeligheden og i privatlivet som i den fysiske verden.

Man kunne ud fra en analogislutning godt overveje at give staten samme muligheder for indgreb i elektronisk kommunikation som den har i den fysiske verden - men ingen større reel mulighed for at skulle kunne forstå den rå kommunikation.

Hvis staten allrede har hjemmel til at tappe det fysiske signal, gennem hvilket kommunikationen passerer, er det i orden at pålægge teleudbyderen en pligt til at lade staten lytte med.

Men en kommunikationstjeneste eller software eller hardware udvikler, der bare lader folk snakke burde ikke have større pligt til at hjælpe staten med at fortolke det som borgerne siger end en skrivemaskineproducent vil være pligtig til at hjælpe politiet med at fortolke det som kunderne skriver.

Hvis man ellers anerkender det fundamentale princip, at borgerne har en absolut ret til at tale i uforståeligt kodesprog, og at statens eneste ret er at forsøge at fortolke det sagte, er kryptering jo blot en udvidelse af borgerens ret til at udtrykke sig på en måde som ikke er umiddelbart forståelig.

Det har aldrig - heller ikke før computerens tidsalder - været en del af hjemlen til at foretage indgreb i meddelelseshemmeligheden, at staten havde nogen som helst ret til at kræve at tredjeparter skulle hjælpe den med at forklare hvad uforståelig tale måtte betyde.

Hvis staten ud fra en analogislutning skal have samme rettigheder som i den fysiske verden hvad angår digital kommunikation, skal den naturligvis også være underlagt samme handicap, for ellers vil der opstå en ubalance, hvor staten kræver mere og mere.
Og handicappet for staten har altid været, at den ikke var garanteret nogen mulighed for at tyde den kommunikation, der måtte åbenbares ved indgreb i meddelelseshemmeligheden.

At bryde med det princip, fordi teknologien en gang i mellem gør strafforfølgning vanskelig eller umulig er et så stort brud med gældende retsprincipper, at staten ikke bør have nogen ekstra magt, medmindre det står klart, hvad borgerne får til gengæld.

Og her er det jo ret så luftigt, hvor langt statens magt bør række: PHK har f.x i en anden tråd udtrykt, at borgerne kan gøre hvad de vil, fordi de politiske bestræbelser kun handler om at regulere firmaer,men samtidig er der jo i denne tråd tale om et jagttegn for krypterede diske, og forslag om at folk kan fængsles hvis de ikke inkriminerer sig selv, og en afvisning af usporlig anonymitet.

De mindre justeringer, som måske i begyndelsen kun vil omfatte firmaers pligter til at hjælpe staten vil jo være meningsløse, medmindre man justerer privatpersoners retsposition i forhold til staten i en lang række situationer (selvinkriminering, retten til at køre det opensource software man vil og en mulig pligt til at logge alt på ens hjemmenetværk).

Staten vil om et par år stå i præcis samme situation, og må nu enten opgive eller udvide forbuddet til opensource software og åbne trådløse netværk.

Det er ikke en usandsynlig glidebane eller paranoia men grunden til at Justitsministeriet har foreslået at "hullerne" i Logningsbekendtgørelsen skal lukkes ved at private husstande forpligtes til at logge og registrere brugerne.

vis man grundlæggende vil anonymitet til livs, er det ikke nok at regulere kryptotjenester - man må også straffe privatpersoner med åbne trådløse netværk og kræve at medlemmer af en husstand der deler computer og int internetforbindelse stikker og overvåger hinanden.

Disse tråde bliver for lange hvis vi forsøger at bringer alt ind. Jeg mener vi skal straffe overtrædelser. I praksis ved jeg godt statsapparatet har en
tendens til at beskytte sig selv. Derfor har jeg i flere omgange forslået løsninger som blander private virksomheder ind i situationen og som sikrer transparens.
Virksomheder og personer som vi kan sagsøge. Fx bør det være strafbart for private virksomheder at udlevere logget teleinformation uden dommerkendelse.

Det er desværre ret så relevant at se på, hvordan myndigheder bruger disses eksisterende magt idag i forhold til hvordan det er sandsynligt disse kunne finde på at bruge den i fremtiden.

Hvis politiet ikke kan administrere den magt de har idag, og der er jo ikke tale om, at politiet af ydmyghed af sig selv taler for mere kontrol og strengere straffe til utro ansatte, er det ikke på sin plads at give dem flere redskaber.

  • Hvis jeg låner nogen en sum penge, og han tiltrods for løfter ikke overholder en aftale om at betale tilbage, vil jeg være dum, hvis jeg låner ham flere penge, før han har bevist at han er en redelig partner i pengesager.

Så sager som Tibetsagen er desværre ikke irrelevante i en diskussion om hvorvidt politiet og myndigheder kan betroes større magt - eller om hævdvundne retsprincipper om selvinkriminering skal forsynes med en undtagelse i IT-sager.

En generel kontrol med politiet og myndigheder må gå forud for enhver anden diskussion om at overlade dem magt som vi ingen garanti har for ikke vil blive misbrugt.

Det eneste der kan forhindre nedbrygning af retsstaten er borgerne. Borgerne vil kun forsvare en retsstat som de oplever som fungerende. Selvom man kan
stille spørgsmålstegn ved borgernes valg, så viser historien at folk ikke vil forsvare en stat som ikke beskytter dem. Trump, Erdogan og Putin er gode
eksempler på hvad der sker når folk er bange.

Grunden til Putin, Erdogan og Trump er ikke manglen på statens beskyttelse men chauvinisme.

Man kan godt med god vilje i det indbefatte frygten for at staten ikke beskytter dem, men løsningen på det er ikke at give autokrater en større stat men at forsyne staten med så mange checks and balances at det bliver nærmest umuligt at tiltage sig totalitær magt.

USA har stadig deres Bill of Rights og føderalisme, men i et simpelt demokrati uden forfatning som Storbritanien eller et med en svag forfatningssikret frihed som i Danmark er det faktisk muligt at indføre diktatur med 5 50,1 % af vælgernes billigelse.

Jeg har ganske enkelt ingen tillid til at kontrolmekanismerne i det danske system er gode nok til at det vil være tilrådeligt at overlade staten en magt, som ikke vil kunne bruges mod dissidenter med et fremtidigt folketingsflertals billigelse.

Hele problematikken omkring onde aktører tages slet ikke alvorligt i Danmark på den måde som det gøres i den amerikanske debat.

Ib Larsen

Disse tråde bliver for lange hvis vi forsøger at bringer alt ind. Jeg mener vi skal straffe overtrædelser. I praksis ved jeg godt statsapparatet har en
tendens til at beskytte sig selv. Derfor har jeg i flere omgange forslået løsninger som blander private virksomheder ind i situationen og som sikrer transparens.

I Tibetsagen har nogle onde aktører groft overtrådt borgernes frihedsrettigheder.

Der må være tale om onde aktører med et helt uusædvanligt kendskabe til kommandoveje og en evne til at koordinere en aktion rettet mod borgeres frihedsrettigheder samt en fantastisk evne til at manipulere andre offentligt ansatte til at efterkomme en ordre til at slå ned på den grundlovssikrede frihed - uden at en eneste ansat lodret har nægtet at følge ordren.

Eller også er det muligt ovenfra politisk at beordre politiet til at slå ned på borgernes frihedsrettigheder, uden at en eneste ansat under planlægningen har fået dårlig samvittighed og har ladet nyheden sive til pressen.

Så enten er det danske politi infiltreret af uafhængige aktører, der krænker den grundlovssikrede frihed uden at det vækker mindste mistanke hos de almindelige ansatte, hvilket i sig selv er dybt foruroligende, eller også er dets interne kontrolmekanismer så svage, at det sår alvorligt tvivl om dets troskab over for Grundloven.

Det ville være den konklusion man ville drage, hvis det var sket i et østeuropæisk land, at selve grundlaget for borgernes frihedsrettigheder var korrumperet, og hvis de ansvarlige ikke blev afsløret og straffet ville man med rette kalde landet en bananrepublik.

Spørgsmålet er, om det er et sådant politi og embedsværk borgerne skal stole på, når det beder om masseovervågning eller begrænsning af brugen af kryptering.

Tibetsagen beviser netop, at onde aktører har frit spil - og at et coverup er muligt, hvis det ikke fører til straf for de ansvarlige.

Michael Cederberg

Når politikker som f.eks. Søren Pind (stort set) aldrig forholder sig til de argumenter der fremføres, men bare siger jeg kan tælle til 90 så er der vel ikke så meget at sige til at folk siger så vil jeg slet ikke være med til noget.

Jeg forstår ikke Søren Pind i denne sag men jeg anser ham generelt som en fornuftig fyr. Jeg tror på at han og de andre på Christiansborg er noble mennesker der er interesseret i at beskytte borgerne i denne land samt at udvikle landet. I en sag som denne tror jeg problemet er at de muligheder han får serveret er: ANPS vs. Ingenting.

Min pointe er, at i politik er det vigtigste at få noget, ikke at skabe de bedste resultater (hvilket er hovedårsagen til jeg ikke selv for alvor har overvejet at gå ind i politik).

De politikere jeg har mødt i Danmark er kyniske når det gælder taktik men noble når det gælder strategi. Stort set alle dem jeg ikke er enig med respekterer jeg alligevel.

Terrorpakke 1 og 2 blev solgt med appeller til lov og orden og terrorfrygt, uden at det blev tilkendegivet for den almindelige befolkning at disse tiltag ville blive brugt til meget andet end terrorbekæmpelse.

Loven kigger primært på folks handlinger og i mindre grad på folks forsæt. Jeg kan ikke mindes nogen er dømt efter terrorpakkerne hvor jeg mente det var misbrug.

Nu hævder staten, at den bør have samme mulighed for at kunne foretage indgreb i meddelelseshemmeligheden og i privatlivet som i den fysiske verden.

Jeg er ikke helt sikker på at det er det staten kræver.

Men en kommunikationstjeneste eller software eller hardware udvikler, der bare lader folk snakke burde ikke have større pligt til at hjælpe staten med at fortolke det som borgerne siger end en skrivemaskineproducent vil være pligtig til at hjælpe politiet med at fortolke det som kunderne skriver.

Mit forslag går på at folk må kryptere som de har lyst til, men at kommercielle virksomheder ikke må hjælpe med til at opsætte end-to-end kryptering mellem to parter hvor de ikke indgående kender mindst den eneste.

Dvs. at WhatsApp ikke må tilbyde end-to-end kryptering, men at meddelelser skal dekrypteres til klar-tekst hos WhatsApp. Hvis du som privat person eller virksomhed kan finde teknologi du stoler på samt kan finde ud af at udveksle nøgler, så kan du kryptere som du har lyst til. Du må gerne sende det du selv krypterer med WhatsApp.

Det sikrer at man kan kryptere hvis man vil. Det sikrer også at du ikke kan bruge fx WhatsApp til at kommunikere med IzNoGood uden at have fundet en måde at udveksle nøgler med vedkommende. WhatsApp må ikke hjælpe med udveksling af nøgler. Hvis du vælger en dansk pendant til WhatsApp, så må de kun udlevere logget information hvis der foreligger en dommerkendelse. Der er også krav til at virksomheden skal opbevare logget information på en sikker måde (det kan man godt). I mine øjne giver det en god balance mellem sikkerhed og privacy.

Hvis politiet ikke kan administrere den magt de har idag, og der er jo ikke tale om, at politiet af ydmyghed af sig selv taler for mere kontrol og strengere straffe til utro ansatte, er det ikke på sin plads at give dem flere redskaber.

Politiet er ikke fjenden. Blot fordi der er ting der ikke fungerer i dag, så skal man ikke stoppe deres muligheder for at efterforske. I eksemplet ANPS så kunne man kryptere det loggede med en nøgle som blev opbevaret af domstolene (eller andre vi stoler på). På den måde har man en løsning der giver politiet mulighed for at efterforske men som de ikke kan misbruge (uden at involvere andre myndigheder).

En generel kontrol med politiet og myndigheder må gå forud for enhver anden diskussion om at overlade dem magt som vi ingen garanti har for ikke vil blive misbrugt.

Man kan ikke kontrollere alt. I stedet bør man indrette systemerne sådan at det er svært at misbruge dem samt at det bliver opdaget hvis man gør det.

USA har stadig deres Bill of Rights og føderalisme, men i et simpelt demokrati uden forfatning som Storbritanien eller et med en svag forfatningssikret frihed som i Danmark er det faktisk muligt at indføre diktatur med 5 50,1 % af vælgernes billigelse.

Og alligevel havde amerikanerne Jim Crow laws, McCarthy tiden, Hoover’s afpresning, Bush tidens jagt på ”ikke-patrioter”, etc. Det er almindeligt anerkendt blandt demokrati forskere at ingen nok-så-god forfatning hjælper demokratiet hvis folk ikke tror på demokratiet. Derfor er det ekstra bekymrende at en stor del af amerikanerne i dag synes ligeglade med Trumps løgne og magtmisbrug.

Lars Skovlund

Hvordan danskerne overhovedet kan få sig til at genvælge politikere som folketinget har tildelt næser fatter jeg simpelthen ikke...


En del af det er det man kan kalde den plutokratiske dimension af det danske folkestyre: Kun hvis man har betalt til en partikasse (det vil sige man skal prioritere at have den udgift) er man berettiget til medindflydelse på hvem der må stille op. Omvendt, hvis man har betalt til en partikasse, så er det formentlig fordi man støtter partiets centrale skikkelser, dem som har fået næser. Catch-22 for folkestyret.

Alternativet til partisystemet er jo typer som Jacob Haugaard, der ikke har en kinamands chance for at "tælle til 90". Jeg vil mene, at partisystemet har fået for meget magt - og det er jo ikke engang nævnt i Grundloven.

Jesper Lund

Mit forslag går på at folk må kryptere som de har lyst til, men at kommercielle virksomheder ikke må hjælpe med til at opsætte end-to-end kryptering mellem to parter hvor de ikke indgående kender mindst den eneste.

Dvs. at WhatsApp ikke må tilbyde end-to-end kryptering, men at meddelelser skal dekrypteres til klar-tekst hos WhatsApp. Hvis du som privat person eller virksomhed kan finde teknologi du stoler på samt kan finde ud af at udveksle nøgler, så kan du kryptere som du har lyst til. Du må gerne sende det du selv krypterer med WhatsApp.

Det sikrer at man kan kryptere hvis man vil. Det sikrer også at du ikke kan bruge fx WhatsApp til at kommunikere med IzNoGood uden at have fundet en måde at udveksle nøgler med vedkommende. WhatsApp må ikke hjælpe med udveksling af nøgler. Hvis du vælger en dansk pendant til WhatsApp, så må de kun udlevere logget information hvis der foreligger en dommerkendelse. Der er også krav til at virksomheden skal opbevare logget information på en sikker måde (det kan man godt). I mine øjne giver det en god balance mellem sikkerhed og privacy.

Jeg fornemmer lidt inspiration fra "kend din kunde" i hvidvasklovgivningen, og et forsøg på at balancere hensyn til privatlivet med mulighederne for efterforskning inspireret af retsplejelovens kapitel 71.

Det kunne sikkert fungere fint, hvis Danmark var en øde ø isoleret fra resten af verden, eller hvis loven alene skal bruges på et nationalt kommunikationssystem ala telefonsystemet med den danske nummerplan.

Men vi har internettet, og vi har via internettet adgang til kommunikationstjenester fra hele verden. For danske borgere er det et spørgsmål om at vi kan få bedre og billigere tekniske løsninger end det, som TDC vil prakke os på. I Saudi Arabien er det et spørgsmål om liv eller død, at borgerne kan vælge en kommunikationsløsning fra et andet land via internettet. Tyrkiet og Rusland ligger et sted i mellem de to yderpunkter.

Hvordan skal det fungere?

Skal WhatsApp holde styr på lovgivningen i 200 lande, og behandle brugerne forskelligt afhængig af hvilket land de kommer fra. Og hvordan skal WhatsApp afgøre det. Forlange brug af den nationale NemID digital "signatur" løsning. Eller basere det på IP-adressen og filtrere dem fra, som bevidst prøver at snyde med VPN.

Hvordan skal kommunikation over en landegrænse sikres i denne løsning? Lovgivningen i afsenderlandet, modtagerlandet eller lavest mulige fællesnævner af beskyttelse?

Realistisk set kommer det ikke til at ske. Ingen kan eller ønsker at drive en forretning på det grundlag.

Der skal nok være lande, som vi prøve dit forslag. Et godt eksempel er UK med Investigatory Powers Act, hvis de såkaldte Technical Capability Notices (TCNs) kan presses til at tvinge WhatsApp til at indrette systemerne, så der altid kan gives adgang til indholdet af kommunikationen. Det er lidt uklart, og noget som tiden må vises.

Med hvad vil der ske når/hvis WhatsApp nægter at følge UK lovgivning. WhatsApp er måske ikke det bedste eksempel, da Facebook har en fysisk tilstedeværelse i UK. Men det har Openwhisper Systems (Signal) ikke, og jeg tror ikke at Moxie er venlig stemt over for Theresa May.

Så det ender ret hurtigt med at enten vil borgerne kunne få adgang til et antal udenlandske kommunikationstjenester, som ikke overholder de nationale krav om legal intercept muligheder, eller også skal de udenlandske kommunikationstjenester blokeres fordi de ikke overholder national lov.

Det bliver ret hurtigt enden på internettet, som vi kender det. I stedet vil der opstå nationale intranet, med begrænsede interfaces for at udveksle kommunikation hen over de nye digitale landegrænser.

I lande som Danmark og andre EU-lande taler vi blot om tab af en betydelig del af BNP fordi vi har smadret den digitale økonomi og det digitale indre marked (medmindre hele EU kan stå sammen som en føderation om denne lovgivning; men det bliver nok uden Danmark med retsforbeholdet).

Luksusproblemer, i hvert fald i den rige del af EU ("Region Nord").

I den autoritære del af verden, herunder visse dele af Europa, vil diktatorerne juble. Nu kan de for alvor kontrollere deres befolkning og finde alle de uønskede elementer. Ingen vil kunne kommunikere i fred for staten.

TL;DR Er de eventuelle problemer med kryptering i et land som Danmark, øvrige EU-lande eller USA virkelig så store, at vi skal smadre internettet og den internationale digitale økonomi? Og smadre enhver mulighed for at borgerne i undertrykkende regimer kan beskytte sig mod deres illegitime statsmagt?

Finn Glamhøj

Jeg forstår ikke Søren Pind i denne sag men jeg anser ham generelt som en fornuftig fyr. Jeg tror på at han og de andre på Christiansborg er noble mennesker der er interesseret i at beskytte borgerne i denne land samt at udvikle landet.

Det er jo en holdning. Desværre er det ikke en holdning jeg længere deler.

I en sag som denne tror jeg problemet er at de muligheder han får serveret er: ANPS vs. Ingenting.

Så må man som minister sige det er ikke godt nok, prøv igen. Det kan aldrig være en undskyldning, at der er hvad man har fået serveret.

De politikere jeg har mødt i Danmark er kyniske når det gælder taktik men noble når det gælder strategi. Stort set alle dem jeg ikke er enig med respekterer jeg alligevel.

Jeg kan ikke på nogen måde respektere en justitsminister som mener det er helt legitimt at lyve overfor et folketingsudvalg, eller en landbrugsminister der mener det er i orden, at undlade at give fyldestgørende information til folketinget så folketinget træffer beslutninger på et fejlagtigt grundlag, eller…. og sådan kunne jeg desværre bliver ved i en uendelighed.

Du har tilsyneladende stor tiltro til vores politikker og demokrati, jeg er desværre ved helt at have mistet min tiltro til selvsamme og hermed ender min deltagelse i denne debat (med mindre nye argumenter ser dagens lys).

Michael Cederberg

Det kunne sikkert fungere fint, hvis Danmark var en øde ø isoleret fra resten af verden, eller hvis loven alene skal bruges på et nationalt kommunikationssystem ala telefonsystemet med den danske nummerplan.

Jeg forventer alle vestlige lande vil vælge samme strategi. Når USA er villige til at bruge enorme ressourcer på at aflytte alt hvad der sker, så fordi der er værdi i oplysningerne. Krypteringen – specielt end-to-end kryptering – rammer også amerikanerne. Alle lande står med det her problem. Lige nu forleder de sig på at USA servicerer dem – prisen er at USA ved alt.

Skal WhatsApp holde styr på lovgivningen i 200 lande, og behandle brugerne forskelligt afhængig af hvilket land de kommer fra. Og hvordan skal WhatsApp afgøre det. Forlange brug af den nationale NemID digital "signatur" løsning. Eller basere det på IP-adressen og filtrere dem fra, som bevidst prøver at snyde med VPN.

I princippet er jeg ligeglad med hvilke problemer det skaber for WhatsApp. I praksis vil der nok blive ganske få variationer af lovgivning. Vigtigere, så forventer jeg at firmaer som WhatsApp lader være med at levere end-to-end kryptering. Og hvis man vælger en dansk udbyder at kommunikation, så er beskyttelsen ligeså god som beskyttelsen af ens private hjem.

Hvordan skal kommunikation over en landegrænse sikres i denne løsning? Lovgivningen i afsenderlandet, modtagerlandet eller lavest mulige fællesnævner af beskyttelse?
Realistisk set kommer det ikke til at ske. Ingen kan eller ønsker at drive en forretning på det grundlag.

Som sagt gætter jeg på at det ikke bliver så kompliceret. Men i princippet laveste fællesnævner. Sådan er det i øvrigt også i dag. Google kæmper for at forstå og overholde både amerikansk og diverse lokale lovgivninger. Med lov skal land bygges.

Med hvad vil der ske når/hvis WhatsApp nægter at følge UK lovgivning. WhatsApp er måske ikke det bedste eksempel, da Facebook har en fysisk tilstedeværelse i UK. Men det har Openwhisper Systems (Signal) ikke, og jeg tror ikke at Moxie er venlig stemt over for Theresa May.

Min klare forventning er at alle de vestlige lande ville vælge at gøre det samme. Som bruger kan du vælge en service udenfor disse lande. I praksis vælger du så også deres lovgivning og beskyttelse – hvad den så er.

Alt efter hvem du er så vil du sandsynligvis vælge forskellige udbydere:

  • Hvis du er almindelig dansker, så vil du vælge en europæisk service – der har du samme retsbeskyttelse som i dit hjem.
  • Hvis du er kriminel, så vælger du en service langt langt væk og håber på det ikke er et skalkeskjul for FBI (under alle omstændigheder tiltrække du opmærksomhed).
  • Hvis du er terrorist, så vælger du IzNoGoods service for potentielle martyrer (og tiltrækker opmærksomhed).
  • Hvis du er tyrkisk frihedskæmper og frygter for dit liv, så vælger du noget helt andet (og det bør du også gøre i dag).

Det bliver ret hurtigt enden på internettet, som vi kender det. I stedet vil der opstå nationale intranet, med begrænsede interfaces for at udveksle kommunikation hen over de nye digitale landegrænser.

I dag er det meste af denne type kommunikation ukrypterede emails. De fleste instant messaging services er også ukrypterede. Dette vil ikke ændre sønderligt ved internettet. Almindelige websites vil stadigvæk kunne kryptere så meget de har lyst til.

I den autoritære del af verden, herunder visse dele af Europa, vil diktatorerne juble. Nu kan de for alvor kontrollere deres befolkning og finde alle de uønskede elementer. Ingen vil kunne kommunikere i fred for staten.

Nej, fordi en Tyrkisk, Polsk eller Ungarsk frihedskæmper vil kunne vælge en dansk service i tiltro til den danske lovgivning. Danske domstole vil ikke give adgang til data uden valide grunde efter dansk ret. En klog frihedskæmper der frygter for sit liv, vælger både i dag og i fremtiden en anden service som han selv forstår og hvor han personligt kender dem der driver den. Under alle omstændigheder så gør diktatorerne hvad de kan for at lukke for services som Tor, WhatsUp, Signal, så de er ingen hjælp.

Er de eventuelle problemer med kryptering i et land som Danmark, øvrige EU-lande eller USA virkelig så store, at vi skal smadre internettet og den internationale digitale økonomi? Og smadre enhver mulighed for at borgerne i undertrykkende regimer kan beskytte sig mod deres illegitime statsmagt?

Ja. Vi har et stort problem. Resten er jeg uenig i at dette berører.

Poul-Henning Kamp Blogger

Forbydes kryptering, er det let: Krypterer du din kommunikation, har du noget at skjule. Bur ham inde, til han tilstår et eller andet.

Jeg er ikke sikker på jeg er så glad for den tanke.

For det første er der ingen der taler om at al kommunikation skal være i plaintext.

Partial Key Escrow tillader anvendelse af god og stærk kryptering, uden at du behøver give din private key til andre end en advokat du stoler på (se ovenfor).

Derudover kan man sagtens forestille sig en slags "våbentilladelse" til at anvende alternative/stærkere krypteringer, f.eks til menneskerets-aktivister, IT-nørder osv., som til gengæld for nogle (lette) byrder, giver fri skydning i det muntre kryptografiske køkken.

Hvad er det lige problemet er med den løsning, i forhold til retten til privatliv ?

Ib Larsen

Derudover kan man sagtens forestille sig en slags "våbentilladelse" til at anvende alternative/stærkere krypteringer, f.eks til menneskerets-aktivister,
IT-nørder osv., som til gengæld for nogle (lette) byrder, giver fri skydning i det muntre kryptografiske køkken.

Og de lette byrder samt glidebanen i at overlade til staten at indføre betingelser for i hvilket sprog man har ret til at tale med andre privatpersoner er jo det der kunne give anledning til tvivl.

  1. En lang række love har nationale sikkerhedsundtagelser, hvor efterretningstjenesten kan give afslag, uden at individet har adgang til beviserne.

Virksomhed som ikke er strafsanktioneret men som alligevel anses for en trussel mod national sikkerhed kunne danne grundlag for nægtelse af tilladelse.

  • Du har udtrykt dig på en måde offentligt, der ikke er strafbar men stadig kunne tolkes som sympati for en terrororganisation.

Ingen kryptolicens.

  1. En person er tidligere sigtet eller tiltalt men aldrig blevet dømt for f.x besiddelse af børneporno eller terrorisme, og vedkomne har nægtet at samarbejde med politiet og holder på sin ret jvf. Retsplejeloven § 854.
  • Ingen kryptolicens.
  1. Lige som ved varetægtsfængsling vil adfærd og hævdelse af rettigheder efter omstændighederne virke mistænkelig og kan danne grundlag for at nægte folk en kryptolicens, hvis blot der er den mindste nationale sikkerhedsundtagelse.

  2. En af de "lette byrder" som en licens til stærke kryptering ville pålægge indehaverne ville utvivlsomt være et krav om at indehaverne som en betingelse giver afkald på selvinkrimineringsprincippet og boligens ukrænkelighed såfremt man er mistænkt, sigtet eller endda tiltalt.

Uden et sådant afkald på princippet om selvinkriminering og et kontrolregime, der giver staten hjemmel til periodisk at iværksætte (uvarslet) kontrol af licensindehaveren og dennes bolig, ville et licenssystem være ubrugeligt.

Det er også sandsynligt, at et sådant kontrolsystem ville stille som betingelse af licensindehaveren, at vedkomne identificerer de personer med hvem der har været kommunikation samt hvilke krypteringsmidler og udstyr som der er i indehaverens besiddelse.

Uautoriseret brug og besiddelse af kryptoværktøjer herunder opensource software måtte være strafsanktioneret, ligesom indehavere der nægtede at gøre rede for mistænkelige transaktioner nødvendigvis måtte få inddraget deres licens.

  1. Da der ikke er et klart skel mellem steganografi og kryptering, ville et kontrolregime der strafsanktioner uautoriseret brug af stærk kryptering og de ledsagende bevisbyrderegler og forbud mod f.x uautoriseret brug af krypteringsmidler også i visse tilfælde ramme dem, der besidder eller benytter steganografi eller dual use teknologi der let kan benyttes til at camouflere eksistensen af krypterede data.

Man kunne selvfølgelig nøjes med at kriminalisere brugere, der benytter stærk kryptering uden at have ansøgt om licens, eller licensindehavere der ikke overholder kontrolregimet og lade dem, der blot besidder opensource software være fritaget for licenskravet.

Men det ville jo åbne en ladeport, fordi det ville være ulogisk at kriminalisere brug af stærk kryptering, hvis ikke også besiddelse af midlerne (softwaren) var kriminaliseret.

Kort sagt ville de byrder ikke være lette og ville medføre så mange indskrænkninger af folks rettigheder ad bagdøren (afkald på selvinkriminering, privatlivets fred, uanmeldte kontrolbesøg) at man lige så godt kunne forbyde privatpersoner at udvikle, besidde og at anvende stærk kryptering.

Og en krypteringslicense for privatpersoner overtræder også det fundamentale princip, at borgerne altid førhen har haft en ret til at tale i et uforståeligt sprog, uden at staten havde nogen automatisk fortolkningsret.

Problemet er kun opstået, fordi staten mener, at der med muligheden for at foretage indgreb i meddelelseshemmeligheden også følger et krav til at kunne forstå meddelelsen i videre omfang end blot at opfange den.

Så jo en kryptolicens krænker i højeste grad folks privatliv samt en bunke andre hævdvundne rettigheder, alene af den grund at der i privatliv må indgå en ret til at tale på en måde, som ingen andre parter forstår.

Peter Christiansen

Synes kommentar sporet kørte af sporet, da man begyndte at sammenligne stærk kryptering med håndvåben.

Håndvåben er designet til at skade,dræbe ting, stærk kryptering er designet til at holde en kommunikation hemmelig for 3. part.

Hvor er det lige kortslutningen skete :O

Gert Madsen

"Hvad er det lige problemet er med den løsning"
Problemet er at meddelelseshemmeligheden er en grundlæggende rettighed. Man skal ikke spørge, eller have tilladelse af nogen som helst for at meddele sin kæreste noget, som ikke rager andre.
Jeg tror ikke på historien om øget risiko eller fare. Som jeg skriver ovenfor, virker det mere som at nogen har fået øje på nye værktøjer, og så giver fanden i de tilhørende problemer.
Jeg savner i den grad noget integritet. En grundlæggende rettighed gælder også dem, man er uenig med.

Jesper Lund

Derudover kan man sagtens forestille sig en slags "våbentilladelse" til at anvende alternative/stærkere krypteringer, f.eks til menneskerets-aktivister, IT-nørder osv., som til gengæld for nogle (lette) byrder, giver fri skydning i det muntre kryptografiske køkken.

Hvad er det lige problemet er med den løsning, i forhold til retten til privatliv ?

Et anerkendelsesværdigt formål for at bruge software, der ikke gør skade på andre. What could possibly go wrong..?

Borger: Jeg er journalist, og har brug for kryptering, fordi jeg gerne vil kommunikere sikkert med whistleblowers, der vil afsløre ulovligheder hos staten
Staten: Det kan der ikke gives tilladelse til

Derefter bliver journalisten sat på en watch list.

Snowden afsløringerne var aldrig blevet til noget på den måde.

Ib Larsen

Politiet er ikke fjenden. Blot fordi der er ting der ikke fungerer i dag, så skal man ikke stoppe deres muligheder for at efterforske. I eksemplet ANPS
så kunne man kryptere det loggede med en nøgle som blev opbevaret af domstolene (eller andre vi stoler på). På den måde har man en løsning der giver politiet
mulighed for at efterforske men som de ikke kan misbruge (uden at involvere andre myndigheder).

Om politiet er fjenden er jo vanskeligt at vide, når der i sager om misbrug ofte opstår pludseligt hukommelsestab, og det er umuligt at bevise, hvilke betjente der har været involveret i kontroversielle sager.

  • I Tibetsagen har nogle tilsyneladende fået flere betjente til at begå brud på almindelige borgeres frihedsrettigheder uden at det har været let at fastslå hvem, hvornår og på hvilken måde ordren er blevet givet, og hvor langt oppe i systemet den kommer fra.

At italesætte tilfælde af løgn og krænkelse af borgernes rettigheder som ting, der ikke fungerer vidner om ligegyldighed over for institutionel korruption.

Politiforbundet har i øvrigt ikke været særligt fremkommeligt når det handlede om at indføre større kontrol.

https://www.information.dk/indland/2014/10/politiforbundet-saa-luk-bare-...

»Det er for nem en løsning: Det må styregruppen bare løse. Det bliver vel standardsvaret fremover. Faktum er, at kropskameraer i Danmark er at skyde gråspurve
med kanoner, og det vil være forfærdeligt for borgernes retsstilling. Jeg har undersøgt sagen i USA, og her siger det amerikanske politiforbund også, at
der er masser af etiske udfordringer med kropskameraerne. Der er også et stort ressourcespørgsmål – for det koster penge at lagre alt det her data. De
her ting burde politikerne undersøge, inden de satte gang i et forslag, der er så juridisk uholdbart,« fastslår Claus Oxfeldt.

Så politiet er ikke varme på overvågning og dataindsamling og bekymrer sig meget om resourceforbruget, så længe det er deres egne ansatte der skal overvåges, men har man hørt politiforbundet udtale sig imod masseovervågning af internettet?

Din påstand om at politiet ikke er fjenden er bedste fald et forsøg på at lade en institution nyde godt af en tvivl, som den ikke selv vil udstrække til almindelige mennesker.

Har der været eksempler på, at politifolk lyver, og dækker over hinanden?

Og har deres interesseorganisationer og flertallet i Folketinget talt for større kontrol og strengere straffe?

Næ, kun for almindelige kriminelle.

Din tiltro til politiet og dets ansatte er ikke en, som jeg, eller nødvendigvis et flertal deler, så længe politikorpset modsætter sig kontrol med dets ansatte i den fysiske verden.

Det kunne tyde på, at alle løfter om at politiet og myndigheder kun skal have ny magt, hvis den er underlagt streng kontrol intet er værd i praksis.

Man kan ikke kontrollere alt. I stedet bør man indrette systemerne sådan at det er svært at misbruge dem samt at det bliver opdaget hvis man gør det.

Ja, deri kan jeg til dels erklære mig enig, men lad os starte med kropskameraer på alle betjente, obligatorisk videooptagelse af alle afhøringer, og politiklagekommisioner som dem man har i USA samt styrkelse af borgernes adgang til fri proces i alle retssager mod politiet for krænkelse af deres menneskerettigheder.

Du taler om at du selv ønsker kontrol med politiet, men er åbenbart villig til at lade det tvivlen komme til gode og overlade det flere redskaber på IT-området, tiltrods for at der er eklatante eksempler på misbrug, der ikke får nogle konsekvenser.

  • At forflytte ansatte, der bryder reglerne regner jeg ikke for en sanktion men tværtimod for en blåstempling.

Den eneste sanktion, der er rimelig overfor offentligt ansatte, der bryder reglerne er civile søgsmål, strafsanktioner og afskedigelse.

  • Din opfattelse af hvad der er effektiv kontrolmekanismer afviger kraftigt fra hvad man ville affinde sig med i andre lande.

Hvis det er mere dansk kontrol i form af tandløse tiltag, og småbøder er det lige så ringe som ingen kontrol.

Og alligevel havde amerikanerne Jim Crow laws, McCarthy tiden, Hoover’s afpresning, Bush tidens jagt på ”ikke-patrioter”, etc. Det er almindeligt anerkendt
blandt demokrati forskere at ingen nok-så-god forfatning hjælper demokratiet hvis folk ikke tror på demokratiet. Derfor er det ekstra bekymrende at en
stor del af amerikanerne i dag synes ligeglade med Trumps løgne og magtmisbrug.

Disse love blev underkendt af domstolene tilsidst, selv om der rigtigt nok var mange år, hvor The Bill of Rights ikke blev håndhævet effektivt over for staterne.

Pointen er, at amerikanerne altid har næret en rodfæstet mistro til statsmagten, som vi kunne lære meget af i Danmark - og da mange af teknologifirmaerne er amerikanske, er det usandsynligt at man i USA ville gå med på et kryptoreglement som det PHK foreslår.

Flertallet af amerikanerne er ikke ligeglade med Trumps løgne, men selv det mindretal, der støtter ham ville helt sikkert gøre modstand, hvis han skulle forsøge at forbyde eller regulere privates brug af kryptering.

Vigtigere,
så forventer jeg at firmaer som WhatsApp lader være med at levere end-to-end kryptering. Og hvis man vælger en dansk udbyder at kommunikation, så er beskyttelsen
ligeså god som beskyttelsen af ens private hjem.

Og beskyttelsen af ens hjem (Læs Grundlovens beskyttelse af boligens ukrænkelighed) er ikke meget at tale om, hvis det eneste den hviler på er Grundlovens krav om retskendelse.

Der er utallige undtagelser, som Folketinget nidkært har overdraget kontrolmyndigheder.

Det der beskytter boligen i et vist omfang er at man fysisk kan holde ens samtaler inden for dets vægge, men en krypteret samtale der passerer gennem andres kabler og over flere landegrænser er lige som et åbent postkort.

Hvis Whatsapp ophører med at have end to end encryption, må det forklares, hvordan man vil beskytte mennesker imod uautoriseret tredjepartsaflytning af deres samtaler.

Ens kommunikation er ikke beskyttet, hvis den forlader dansk territorium, fordi Grundloven kun binder den danske stat, og i princippet er der intet til hinder for, at den danske stat lovligt kan drage nytte af data indsamlet af en fremmed stat og bruge disse i en straffesag, og i givet fald behøver den danske stat ikke en gang at foregive at den overholder Grundlovens regler om indgreb i meddlelseshemmeligheden.

Reglerne om indgreb i meddelelseshemmeligheden regulerer helt sikkert ikke hæleri af data indsamlet af en fremmed stat eller hvordan staten måtte bruge disse data i en straffesag.

Så uden end to end encryption, vil incitamentet for den form for datahæleri være utæmmeligt.

Jeg er ret sikker på, at de partier i Folketinget, der ville stemme for et forbud mod tjenester, der udbyder end to encryption uden escrow ikke ville lovgive mod den form for datahæleri.

Og det er her den står, hvis der ikke sammen med restriktioner om end to encryption bliver indført regler, der fjerner incitamentet til at bruge ulovligt indsamlede beviser og stopper statens datahælerisamarbejde med fremmede landes efterretningstjenester, er det borgerne får til gengæld i bytte for at opgive kryptering alt for ringe - ja faktisk direkte skadeligt.

Michael Cederberg

Jeg kan ikke på nogen måde respektere en justitsminister som mener det er helt legitimt at lyve overfor et folketingsudvalg, eller en landbrugsminister der mener det er i orden, at undlade at give fyldestgørende information til folketinget så folketinget træffer beslutninger på et fejlagtigt grundlag, eller…. og sådan kunne jeg desværre bliver ved i en uendelighed.

Jeg ville respektere den slags udtalelser meget meget mere hvis den handlede om folk som du i øvrigt var enig med. Det er så nemt at komme med den slags når det gælder modstandere og lige så nemt at ignorere når det er ens darlinger der gøre noget galt. Historisk set har venstre og højre side været nogenlunde lige slemme.

Om politiet er fjenden er jo vanskeligt at vide, når der i sager om misbrug ofte opstår pludseligt hukommelsestab, og det er umuligt at bevise, hvilke betjente der har været involveret i kontroversielle sager.

Der laves fejl alle steder. For nogen år siden kørt en bus op i en bil bagved mig. Buschaufføren løj overfor politiet da de kom. Heldigvis havde jeg siddet og set det hele i bagspejlet og kunne vidne. Men blot fordi der er brodne kar hos movia, så betyder det ikke at hele organisationen er ond. Det samme gælde for politiet.

Din tiltro til politiet og dets ansatte er ikke en, som jeg, eller nødvendigvis et flertal deler, så længe politikorpset modsætter sig kontrol med dets ansatte i den fysiske verden.

Jeg gad godt set hvor mange personer i Danmark der ville acceptere at alle deres handlinger på jobbet blev optaget på video. Der er gode grunde til at overvåge politiet, men derfor er det stadigvæk forståeligt at politifolkene ikke bryder sig om det. Trafikpiloter har i mange år modsat sig at ”den sorte boks” optager video fra cockpittet, bl.a. fordi de ikke har lyst til at blive udstille på video hvis der sker noget. Og det sker selvom piloterne handlinger i forvejen bliver optaget både på instrumenter og deres tale. (FDR og CVR)

Pointen er, at amerikanerne altid har næret en rodfæstet mistro til statsmagten, som vi kunne lære meget af i Danmark - og da mange af teknologifirmaerne er amerikanske, er det usandsynligt at man i USA ville gå med på et kryptoreglement som det PHK foreslår.

Jeg mener den mistro er enormt skadelig for USA. Det næst værste terrorangreb på amerikansk jord blev begået af folk som i deres mistro til staten forsøgte at smadre den. For en del af mistroen til staten er også et forsøg på at nedlægge den, beskytte sig mod den, bevæbne sig mod det, etc. Det betyder også at konspirationsteorier har store muligheder for at udvikle sig.

Og beskyttelsen af ens hjem (Læs Grundlovens beskyttelse af boligens ukrænkelighed) er ikke meget at tale om, hvis det eneste den hviler på er Grundlovens krav om retskendelse.
Der er utallige undtagelser, som Folketinget nidkært har overdraget kontrolmyndigheder.

Og alligevel har den beskyttelse hjulpet Danmark fint igennem de sidste 150 år. Og samme situation findes i de fleste andre vesteuropæiske lande. Men der er helt klart grund til at finpudse beskyttelsen af boligens ukrænkelighed.

Finn Glamhøj

Jeg ville respektere den slags udtalelser meget meget mere hvis den handlede om folk som du i øvrigt var enig med. Det er så nemt at komme med den slags når det gælder modstandere og lige så nemt at ignorere når det er ens darlinger der gøre noget galt. Historisk set har venstre og højre side været nogenlunde lige slemme.

Du har ingen viden om hvem jeg i øvrigt er enig med. Jeg har ikke nogen darlinger og mit valg af ministre var netop et udtryk for at jeg delte sol og vind lige. Justitsministeren jeg tænkte på var Morten Bødskov og landbrugsministeren var Eva Kjer Hansen.

Jeg acceptere ikke at man skamrider sandheden/fakta uanset hvilken side man befinder sig på.

Så jeg bliver lige nødsaget til at gentage, for mig handler det om at skabe de bedste resultater, jeg er ikke drevet af ideologi, noget dine indlæg (og i særdeleshed det seneste) har gjort mig stærkt i tvivl om det gør sig gældende for dig.

Michael Cederberg
Ib Larsen

Der laves fejl alle steder. For nogen år siden kørt en bus op i en bil bagved mig. Buschaufføren løj overfor politiet da de kom. Heldigvis havde jeg siddet
og set det hele i bagspejlet og kunne vidne. Men blot fordi der er brodne kar hos movia, så betyder det ikke at hele organisationen er ond. Det samme gælde
for politiet.

Din argumentation er i bedste fald kun whataboutism - der er løgne i alle faggrupper så om politifolk lyver gør ikke så meget Jeg vil respektere det synspunkt den dag, at politibetjente har samme magt som Movia-chauffører.

Men det er ikke en "fejl" at politifolk lyver, og at deres organisationer ikke er interesseret i større kontrol.

Jeg gad godt set hvor mange personer i Danmark der ville acceptere at alle deres handlinger på jobbet blev optaget på video. Der er gode grunde til at
overvåge politiet, men derfor er det stadigvæk forståeligt at politifolkene ikke bryder sig om det. Trafikpiloter har i mange år modsat sig at ”den sorte
boks” optager video fra cockpittet, bl.a. fordi de ikke har lyst til at blive udstille på video hvis der sker noget. Og det sker selvom piloterne handlinger
i forvejen bliver optaget både på instrumenter og deres tale. (FDR og CVR)

Politibetjente har en magt, som ikke tilkommer almindelige borgere, og alene af den grund skal hvert eneste øjeblik af deres arbejde helst videooptages, så enhver magtanvendelse og anden interaktion med befolkningen kan kan dokumenteres.

Jeg er godt klar over, at andre faggrupper heller ikke ville bryde sig om at blive overvåget hele tiden, men jeg bruger politibetjentene som et eksempel på at "ånden" i staten ikke tilskynder til tillid til dem.

  • Argumentet for det er jo det samme som ved masseovervågning, hvis du ikke har noget at skjule, fordi du udfører dit arbejde korrekt, har du heller intet at frygte.

  • Og politibetjente og andre ofentligt ansatte har altså ingen ret til privatliv, når de udøver deres myndighed på samfundets vegne.

  • Naturligvis skal de ikke filmes, når de går på toilettet men ærligt talt har en politibetjent ingen ret til privatliv, når vedkomne anholder eller på anden måde interagerer med en borger under udførelsen af arbejdet.

Jeg fremdrager overvågning af politibetjente som et eksempel på, at de fleste af dem der forsvarer mere masseovervågning af den almindelige befolkning er hykleriske, og det er jo interessant, at du pludseligt bliver blød i mælet, når samme logik for masseovervågning rettes mod politiet selv.

Jeg mener den mistro er enormt skadelig for USA. Det næst værste terrorangreb på amerikansk jord blev begået af folk som i deres mistro til staten forsøgte
at smadre den. For en del af mistroen til staten er også et forsøg på at nedlægge den, beskytte sig mod den, bevæbne sig mod det, etc. Det betyder også
at konspirationsteorier har store muligheder for at udvikle sig.

Nej, det største terrorangreb blev udført af jihadier, der ikke skulle have haft ret til at rejse ind i USA.

Mistroen til staten er selve grunden til at USA eksisterer, og principper som føderalisme, checks and balances og rettighederne i The Bill of Rights var netop tænkt som en garanti mod personalistisk tyranni og demokratisk pøbelvelle.

Og alligevel har den beskyttelse hjulpet Danmark fint igennem de sidste 150 år. Og samme situation findes i de fleste andre vesteuropæiske lande.

De fleste vesteuropæiske lande var monarkier med ringe respekt for individets rettigheder.

  • Jeg er ret sikker på, at en absolutistisk tradition for en almægtig stat stadig påvirker den måde vi taler om rettigheder i forhold til statsmagten.

  • I Danmark er det f.x en udbredt misforståelse, at staten er lig med samfundet, og at love der udgår fra staten (Folketinget) ikke kan krænke individets rettigheder, fordi disse er vedtaget på demokratisk vis.

Deraf følger så følgeslutningen til masseovervågning, at fordi vi har en legitim stat, må den også have "redskaber" til at tvinge alle aktører til at gøre livet let for efterforskerne,og at kontrolmekanismer der skal forebygge misbrug kun er en eftertanke, der helst kun skal indføres i det omfang det ikke påfører myndighederne unødigt besvær.

Din egen argumentation om, at vi ikke behøver stærk kryptering, hvis ikke staten misbruger sin magt illustrerer smukt, at bevisbyrden for nogle skal komme staten til gode, hvis der ellers er tvivl.

Når jeg og andre så peger på konkrete eksempler på, at myndigheder og disses ansatte i Danmark modsætter sig streng kontrol med deres virksomhed, replicerer tilhængerne af mere statsmagt blot, at der sskam skal være kontrol, men at vi blot bør nære tiltro til de statsansatte.

Man kan ikke adskille kryptodebatten fra holdningen til staten, hvis man grundlæggende anser den og dens ansatte for gode mennesker, der kan begå fejl er man tilbøjelig til at overlade den stør magt, men hvis man ikke anerkender at staten er uden korruption og magtmisbrug, og ikke anser det for sandsynligt at dens ansatte eller politikerne vil slå ned på misbrug og korruption, er man ikke villig til at give staten en lillefinger.

USAs Bill of Rights var netop baseret på den visdom, at mennesker med magt vil være tilbøjelige til at misbruge den, og derfor er der masser af checks and balances til at vanskeliggøre koncentration af magt og sørge for at konkurrerende magtcentre altid kan opveje hinanden.

  • I Danmark har vi kun Folketinget, et embedsværk (som ofte enten agerer som the deep state eller som politisk instrumenrt uden ansvarlighed) og svage domstole, der gør en dyd af ikke at føre kontrol med staten.

Det er ikke den slags institutioner, jeg tror vil bruge deres magt på en måde, der ikke vil skade vores personlig frihed.

I øvrigt er det jo påfaldende, at tilhængerne af at retssamfundet skal have tvungen adgang til folks krypteringsnøgler, angiveligt fordi retssamfundet ikke skal sættes uden for døren, ikke mener at Danmark skal følge en klar kendelse fra EU-domstolen om masseovervågning.

Så retssamfund my ass.

En stat, der selv overtræder EU Charteret om vores fundamentale rettigheder, og derved blæser på vores internationale forpligtelser, er ikke længere betegnelsen retssamfund værdig.

Ib Larsen

Og alligevel har den beskyttelse hjulpet Danmark fint igennem de sidste 150 år. Og samme situation findes i de fleste andre vesteuropæiske lande.

Det er noget af en påstand, demokratiet i Vesteuropa har ikke været særligt rodfæstet før efter 1945.

At en forfatningssikret rettighed kan siges at have tjent os godt, fordi den i første led garanterer borgerne visse rettigheder men i andet led nærmest gør den til genstand for tilsidesættelse efter lovgivernes forgodtbefindende er kun godt, hvis man mener at lovgiverne skal have en sådan magt.

En forfatningssikring af rettigheder er intet værd, hvis den kan tilsidesættes af lovgiverne, og der ikke er indgående domstolskontrol med den som i USA, Canada, Tyskland og i (nye) østeuropæiske demokratier.

Hvis det havde tjent os så godt kan man jo spørge sig selv, om EU ville have optaget de østeuropæiske lande, hvis de havde haft lignende Weimar-undtagelser i deres forfatninger om beskyttelsen af den personlige frihed.

Det tvivler jeg alvorligt på, man ville havde accepteret, hvis samme klausuler var blevet indført i et nyt ansøgerland.

Det leder så igen frem til den konstatering, nemlig at du foregiver at ville dele sol og vind lige, og opfordrer os til at give indrømmelser til staten i kryptodebatten til gengæld for større kontrol med statsmagtens brug af dens beføjelser, men i alle konkrete spørgsmål hvor skellet går mellem hvad borgeren skal have til gengæld for at give afkald på stærk kryptering kontr statens behov, er din holdning stortset ensbetydende med kosmetiske småjusteringer til gunst for borgernes rettigheder.

Hvis vi fik os en retslig beskyttelse i forfatningen af privatlivet og den personlige frihed som den man har i andre lande Tyskland, USA og Canada, kunne vi tale om hvilken magt man kunne overdrage staten på kryptoområdet, for så var der om ikke andet et materielt minimumsbeskyttelsesniveau som lovgiverne ikke kunne tilsidesætte, men så længe det vi har er en grundlov, der overdrager lovgiverne nærmest absolut magt, svage domstole og et politi og embedsværk, hvor ånden er at kontrol med befolkningen er bedst, men kontrol af myndighederne er skidt, er jeg ikke villig til at give staten en lillefinger.

Din og PHKs holdning om, at hvis vi ikke giver indrømmelser, vil staten være tvunget til drakoniske tiltag, er jeg ret så skeptisk over for.

Hvis kryptering ikke allerede var så udbredt, at enhver kunne skabe og anvende stærk kryptering på billige masseproducerede enheder, ville det jo netop være let at forbyde kryptering eller indføre en kryptolicens, der gjorde private til kriminelle for at besidde, fremstille og anvende kryptering uden licens.

USA ophævede først deres eksportforbud mod stærk kryptering, da katten så og sige var ude af sækken, og der var så mange andre kilder til stærk kryptering, at det ville have været umuligt at rulle udviklingen tilbage.

Argumenterne for og imod er ikke grundlæggende ændret - bortset fra at vi ikke har fået større grund til at nære tiltro til at staten ikke senere vil udvide restriktioner på kryptering til nye situationer for at lukke "huller" i en ordning, der i begyndelsen virker moderat.

Finn Glamhøj

Det er din ret. Men så længe du ikke er mere konkret, så er det fuldstændigt ubrugeligt kritik.

Så skal jeg da gerne forsøge at uddybe.

Jeg opfatter dine indlæg som værende et udtryk for en bestemt partipolitisk position [1] fordi du (som jeg læser det) forsvare den førte politik og reelt undlader at forholde dig til de principelle problemer [2] ved den.

I stedet for, at forholde dig til den i praksis førte (eller foreslået) politik fremkommer du med en række meget udsvævende forslag til hvordan samfundet kunne indrettes så de principielle problemer kunne imødegås, men dine forslag har bare meget lidt at gøre med det politikkerne forsøger at få indført i praksis.

Herudover antyder du, at jeg kun finder det uacceptabelt, at lyve, udlade og/eller fordreje information, når det gøres af nogen der har et andet politisk ståsted end jeg selv, hvilket er fuldstændigt grebet ud af luften og altså ikke på nogen måde basere sig på noget jeg har skrevet i denne debat (eller i andre).

Tilsammen giver det mig det indtryk, at du ikke er synderlig interesseret i de reelle løsninger, men i højere grad er drevet af idelogi.

[1] Du har tidligere givet udtryk for, at du anser liberalist for at være en hædersbetegnelse og Søren Pind for at være en fornuftig fyr, hvilket giver mig anledning til at tro at du selv er liberal (venstremand?) omend der ikke er meget liberalt over dine eller venstres holdninger i denne sag.

[2] De principielle problemer mener jeg er fremført ganske udmærket af Ib Larsen, Jesper Lund m.fl.

Michael Cederberg

Jeg er godt klar over, at andre faggrupper heller ikke ville bryde sig om at blive overvåget hele tiden, men jeg bruger politibetjentene som et eksempel på at "ånden" i staten ikke tilskynder til tillid til dem.

Hvis du havde læst ordentligt hvad jeg skrev, så skrev jeg blot at jeg godt forstår at politiet ikke bryder sig om at blive overvåget hele tiden. Det er ikke det samme som at jeg er enig.

Politibetjente har en magt, som ikke tilkommer almindelige borgere, og alene af den grund skal hvert eneste øjeblik af deres arbejde helst videooptages, så enhver magtanvendelse og anden interaktion med befolkningen kan kan dokumenteres.

Jeg er enig i at politiet har exceptionel magt i det danske samfund. Jeg så også gerne at politiet bærer kropskameraer – men underlagt meget kraftige restriktioner. Jeg bryder mig ikke om at dem der går forrest rent fysisk når der er fare og er nødt til at træffe hurtige beslutninger om liv og død skal blive til youtube underholdning.

Jeg fremdrager overvågning af politibetjente som et eksempel på, at de fleste af dem der forsvarer mere masseovervågning af den almindelige befolkning er hykleriske, og det er jo interessant, at du pludseligt bliver blød i mælet, når samme logik for masseovervågning rettes mod politiet selv.

Hvis du havde læst ordentligt hvad jeg skrev, så ville du vide at ovenstående ikke er rigtigt.

Nej, det største terrorangreb blev udført af jihadier, der ikke skulle have haft ret til at rejse ind i USA.

Men nu skrev jeg om det næst værste. Ikke det værste. Og det næst værste blev udført i Oklahoma City. Læs venligst hvad jeg skriver.

Mistroen til staten er selve grunden til at USA eksisterer, og principper som føderalisme, checks and balances og rettighederne i The Bill of Rights var netop tænkt som en garanti mod personalistisk tyranni og demokratisk pøbelvelle.

Bill of Rights var fantastisk på sin tid og et stort skridt fremad for individuelle rettigheder for mennesker på hele jorden. Men de er skrevet til en verden som den så ud for mere end 200 år siden og er ikke længere det ypperste mennesker kan producere. Fx er passagen om at borgere må bære våben den primære grund til at amerikanere myrdes mere end fire gange så ofte som danskere.

De fleste vesteuropæiske lande var monarkier med ringe respekt for individets rettigheder.

Nu handlede de 150 år om Danmark. Men det er ganske rigtigt at siden 2. verdenskrig har borgere i stort set alle vesteuropæiske levet i stater som er blandt dem på jorden med de største individuelle rettigheder. Men jeg vedgår gerne at alting var mindre perfekt i fortiden end det er nu - alt andet ville også have været forfærdeligt.

Din egen argumentation om, at vi ikke behøver stærk kryptering, hvis ikke staten misbruger sin magt illustrerer smukt, at bevisbyrden for nogle skal komme staten til gode, hvis der ellers er tvivl.

Jeg har aldrig sagt at vi ikke behøver stærk kryptering. Jeg startede faktisk med at skrive at man ikke generelt kan bekæmpe stærk kryptering – det er umuligt. Og hvis man vil, så kan man godt kommunikere krypteret uden at det kan bevises end sige detekteres. Ligegyldigt hvad man forsøger, så vil individer kommunikere krypteret.

Men jeg har sagt at virksomheder ikke skal levere leverer services der har end-to-end kryptering mellem parter de ikke kender. Hvis man vil have en virksomhed til at facilitere krypteret kommunikation, så skal retsstaten have mulighed for at kigge med under domstolskontrol.

Det svære ved kryptering i dag er at udveksle nøgler. To personer der vil lave krypteret kommunikation kan møde og udveksle nøgler, blive enige om software, etc. Det kan vi ikke gøre noget ved. Det som jeg siger er at kommercielle virksomheder ikke skal facilitere dette.

Når jeg og andre så peger på konkrete eksempler på, at myndigheder og disses ansatte i Danmark modsætter sig streng kontrol med deres virksomhed, replicerer tilhængerne af mere statsmagt blot, at der sskam skal være kontrol, men at vi blot bør nære tiltro til de statsansatte.

Jeg stoler ikke på nogen individer. Jeg vil gerne have et system som giver muligheder for aflytning med tilstrækkelige mekanismer indbygget der sikrer mod misbrug. Jeg har i tidligere threads beskrevet hvordan sådan et system kunne indrettes.

USAs Bill of Rights var netop baseret på den visdom, at mennesker med magt vil være tilbøjelige til at misbruge den, og derfor er der masser af checks and balances til at vanskeliggøre koncentration af magt og sørge for at konkurrerende magtcentre altid kan opveje hinanden.

Enig. Min kritik gik på at den amerikanske forfatning skulle være bedre til at sikre demokratiet end det danske eller engelske system. Som jeg skrev så dør demokratiet og retsstaten hvis ikke folket kæmper for begge. Og i den forbindelse er forfatning eller Bill of Rights ikke vigtige. Som jeg skrev har der været mange eksempler på at begge har været trådt under fode i perioder.

Og så gider jeg i øvrigt ikke snakke forfatningsret o.lign. mere i denne tråd.

Ib Larsen

Hvis du havde læst ordentligt hvad jeg skrev, så skrev jeg blot at jeg godt forstår at politiet ikke bryder sig om at blive overvåget hele tiden. Det er
ikke det samme som at jeg er enig.

Ok, så er jeg enig.

Jeg vil dog bemærke, at man ikke kommer uden om at forholde sig til den særlige kultur, der er i danske myndigheder, hvis ansatte åbenbart ikke føler at øget magt (i forhold til almindelige borgers position) også skal gå hånd i hånd med øget kontrol.

Du er naturligvis ikke ansvarlig for at politiet og dets ansatte ikke mener, at der skal være større kontrol, men min pointe om, at flertallet af dem der forsvarer masseovervågning af del almindelige befolkning ikke er konsekvente når de undlader at tale for overvågning og kontrol med politiet og staten står dog ved magt.

  • Og de partier, der sædvanligvis er mest venligt stemte over for mere magt til myndigheder og politiet i IT-sager, er jo ofte de selvsamme, som oftest vil lade tvivlen (berettiget såvel som uberettiget) komme myndigheder og politi til gode.

Og nej, jeg mener ikke nødvendigvis at nogle af fløjene i Folketinget er særligt konsekvente eller troværdige.

Men det spørgsmål, som jeg og andre i denne tråd ikke har fået tilstrækkeligt belyst er, på hvilken måde man uden far for borgernes frihedsrettigheder kan overlade staten noget så sensitivt som at regulere kryptering, når den er så utilbøjelig til at underkaste sig kontrol.

  • Og her er det selvfølgelig uacceptabelt blot at afvise en sådan kritik med, at vi bør stole på staten, fordi den er forankret i demokratisk legitimitet, eller med at vi blot kan stemme på nogle andre politikere hvis vi er utilfredse.

Jeg har direkte nævnt flere eksempler på at myndigheder eller ansatte i myndigheder har krænket borgernes rettigheder, og forklaret hvorfor det netop modbeviser påstanden om at Danmark skulle være bedre end andre lande, hvor man tager forfatningen og borgernes frihedsrettigheder mere alvorligt.

At Danmark skulle være bedre, sådan at vi ikke behøver en Bill of Rights eller en mistro til statsmagten som i USA modbeviser sager som Tibetsagen.

Problemet med det danske system er, at der er så meget elasticitet, at embedsmænd og ministre stortset altid slipper uden straf, selv med flere skandalesager på deres synderegister.

Før at man på alle niveauer har fået strammet op på kontrolmekanismerne, således at Danmark får regler som dem man har i andre lande - f.x nemmere adgang til borgersøgsmål, krav om gennemsigtighed og ophævelse af mørklægningsreglerne i Offentlighedsloven, - samt ikke mindst strenge regler for udelukkelse af ulovligt tilvejebragte beviser i straffesager - er det latterligt at overdrage staten mere magt på kryptoområdet.

  • Ulempen ved at indføre regler, der giver staten større magt på kryptoområdet uden at der med det samme indføres modsvarende retsgarantier for den personlige frihed, er naturligvis at det altid er opportunt for et folketingsflertal at give politi og myndigheder større magt men straks mindre populært at begrænse disses magt, hvis det menes at gavne usympatiske kriminelle, kværulanter og i det hele taget gør myndighedernes arbejde mere besværligt.

Disse regler eller garanttier vil være værdiløse, hvis de ikke indføres på forfatningsniveau, sådan at et tilfældigt folketingsflertal ikke bare kan udhule borgernes retssikkerhed med undtagelser efter nogle år, når offentligheden har lagt sig.

Jeg er enig i at politiet har exceptionel magt i det danske samfund. Jeg så også gerne at politiet bærer kropskameraer – men underlagt meget kraftige restriktioner.
Jeg bryder mig ikke om at dem der går forrest rent fysisk når der er fare og er nødt til at træffe hurtige beslutninger om liv og død skal blive til youtube
underholdning.

Jeg mener også, at der skal være restriktioner på offentliggørelse af det, som politiets egne kropskameraer optager, så problematikken omkring Youtube vil kun opstå, hvis almindelige borgere filmer politiet på steder, hvor til de har lovlig adgang.

Man har som udgangspunkt ret til at filme på offentlige steder, og politiet må såvel som alle andre der opholder sig på et offentligt sted acceptere, at de kan blive observeret.

  • Jeg har aldrig forstået, at politibetjente skulle være fjendtligt stemte over for at komme på Youtube, hvis deres interaktioner med borgerne ellers er helt lovlige.

Der er eksempler på at politibetjente har fået hukommelsestab eller at deres udsagn lodret er blevet modsagt af videooptagelser.
- Jeg er ikke imod brug af magt, når landet umiddelbart er truet af vold, men min forudsætning for en redelig diskussion om at give politiet flere magtbeføjelser er, at modparten klart tilkendegiver, hvilke kontrolmekanismer og sanktionsmuligheder der skal være over for misbrug og korruption.

Og her er det mest nærliggende at regulere disse kontrolmekanismer på forfatningsniveau, så et simpelt politisk flertal ikke kan udhule eller ophæve kontrolmekanismer med Weimar-lignende undtagelser.

Men nu skrev jeg om det næst værste. Ikke det værste. Og det næst værste blev udført i Oklahoma City. Læs venligst hvad jeg skriver.

Beklager, det havde du selvfølgelig ret i.

Til det er at bemærke, at man ikke nødvendigvis er paranoid konspirationsteoretiker, blot fordi man er imod staten.

Fordi nogle højreorienterede terrorister angreb den føderale regering i 1995, er det ikke et argument for en eneste føderal lov.

Man kan i princippet være imod at den føderale regering skal have magt til ret meget uden at være for vold.

Og flertallet af befolkningen i USA ville være imod et kryptoforbud eller restriktioner rettet mod kryptering, ganske enkelt fordi man har dårlige erfaringer med at lade beskyttelsen af privatlivet være baseret på rent juridiske garantier.

Nu handlede de 150 år om Danmark. Men det er ganske rigtigt at siden 2. verdenskrig har borgere i stort set alle vesteuropæiske levet i stater som er blandt
dem på jorden med de største individuelle rettigheder. Men jeg vedgår gerne at alting var mindre perfekt i fortiden end det er nu - alt andet ville også
have været forfærdeligt.

Jeg er for så vidt enig i at tiden efter 1945 har været en guldalder for individuelle (negative) rettigheder.

Men den danske grundlovsbeskyttelse af boligens ukrænkelighed er ringere end den, der beskytter privatlivet og individets ukrænkelighed i andre lande.

Alle partier i Folketinget har været med til at udhule den, og ondet udspringer af at Folketinget overhovedet har hjemmel til at indføre undtagelser, og at disse ikke i praksis granskes af domstolene.

Jeg mener ikke, at du kan adskille forfatningsret fra debatten om mulige indgreb over for kryptering, for hvis man vil imødegå bekymring over at tjenester som Whatsapp ikke længere må levere end to end encryption med, at det ikke gør noget, fordi vi har en grundlov der beskytter os mod staten, fører det jo tilbage til en granskning af hvor meget vores retstilstand overhovedet yder af beskyttelse over for staten.

Og på det punkt vil der umiddelbart opstå flere problemstillinger, som f.x at der ikke i Danmark er tradition for at afvise ulovligt tilvejebragte beviser i straffesager, og at det derfor vil være alt for fristende for staten at overtræde borgernes rettigheder, uden at frugten af overtrædelsen udelades i en eventuel straffesag.

Med andre ord kan politiet og andre myndigheder i de fleste tilfælde overtræde boligens ukrænkelighed eller meddelelseshemmeligheden el og alligevel bruge beviserne i en straffesag mod borgeren.

Det krænker min retsbevidsthed, selv hvis det resulterer i at en morder eller terrorist skulle gå fri, fordi staten har overtrådt loven, men uden en sådan regel som kendes fra USA og nogle andre lande, vil en ren papirbeskyttelse af boligens ukrænkelighed og meddelelseshemmeligheden være meningsløs, hvis borgerne hovedsageligt kommunikerer uden kryptering.

Bill of Rights var fantastisk på sin tid og et stort skridt fremad for individuelle rettigheder for mennesker på hele jorden. Men de er skrevet til en
verden som den så ud for mere end 200 år siden og er ikke længere det ypperste mennesker kan producere. Fx er passagen om at borgere må bære våben den
primære grund til at amerikanere myrdes mere end fire gange så ofte som danskere.

Nu vil jeg nødigt sammenligne våben med kryptering, men begge har det til fælles, at fortalerne for stærk kryptering såvel som dem der forsvarer Second Amendment begge anerkender, at visse rettigheder kan være en antiautoritær sikkerhed mod fremtidig statsligt magtvelle.

The Bill of Rights er ikke forældet, hvis man ellers anerkender faren ved at staten vokser sig for almægtig.

  • Hvis staten hypotetisk fratager borgerne en bestemt rettighed ved at ophæve eller indskrænke den til ukendelighed, er en forfatning en bagstopper for hvor meget staten bør kunne tiltage sig af magt.

Argumentet er ikke længere, at staten ikke må forbyde kryptering eller våben, fordi det er uhensigtsmæssigt men den simple at borgerne har en fundamental ret til det, fordi man ønsker at skærme sig selv mod at staten bliver for stærk.

I USA har domstolene anerkendt at kildekode er omfattet af ytringsfriheden, og da den er materielt beskyttet i forfatningens First Amendment, kunne man ikke forbyde krypteringsprogrammer (dvs. kildekoden).

Men jeg har sagt at virksomheder ikke skal levere leverer services der har end-to-end kryptering mellem parter de ikke kender. Hvis man vil have en virksomhed
til at facilitere krypteret kommunikation, så skal retsstaten have mulighed for at kigge med under domstolskontrol.

Det svære ved kryptering i dag er at udveksle nøgler. To personer der vil lave krypteret kommunikation kan møde og udveksle nøgler, blive enige om software,
etc. Det kan vi ikke gøre noget ved. Det som jeg siger er at kommercielle virksomheder ikke skal facilitere dette.

Det lyder jo meget enkelt, men ville ikke hjælpe på statens problemer på lang sigt.

Man kunne forestille sig, at der hurtigt ville opstå ikk-kommercielle tjenester, der gør det pærelet for alle at generere og benytte krypteringsnøgler eventuelt som plugin til eksisterende online samtaletjenester.

Det kunne fungere lige som nogle af de populære cyberlockers, hvor en bruger uploader en fil og efter upload-processens fuldførelse får et hyperlink vedkomne kan give til andre.

Hvis tredjepartstjenesten kun genererer nøgler, kun hoster et stykke software eller kun formidler kontakten mellem brugerne af en helt anden onlinechat tjeneste, der naturligvis overholder loven og ikke udbyder kryptering, vil der hurtigt opstå en gråzone, hvor staten enten må give fortabt eller udvide faciliteringsansvar til tredjepartstjenester som i sager om copyright og tredjepartsansvar.

Der vil også være problemer, hvis et forbud kun er begrænset til kommercielle tjenester, der udbyder myndighedssikret kryptering, f.x Tor, I2P, Bitmessage, som ikke er kommercielle men som rejser præcis samme problemstillinger som Whatsapp.

Jeg ved godt, du ikke har plæderet for det, men PHK og andre har problematiseret, at kryptering faciliterer anonymitet, der gør efterforskning umulig i i visse sager, og hvis det nu er indvendingen mod kryptering og tjenester, der udbyder den, er det ikke logisk at begrænse et forbud til kommercielle tjenester.

Ib Larsen

Man kunne også forestille sig, at to parter, der kommunikerer via en kommerciel samtaletjeneste, efter at loven har forbudt kommercielle tjenesters udbud af end to end encryption blot udveksler links til en cyberlocker via den usikrede kanal.

Eksempelvis kunne man uploade en fil krypteret med en symmetrisk eller asymmetrisk nøgle til en cyberlocker eller anden fjernserver og blot give rette modtager linket eller et partielt link, der informerer vedkomne om hvorfra modtageren skal tilgå den rigtige meddelelse.

En sådan metode ville kun blive opdaget hvis samtaletjenesten gemmer selve indholdet af samtalen, og hvis tredjepart i øvrigt i rette tid når at fremskaffe filen fra cyberlockeren eller i rette tid når at kompromittere de samtalende aktørers enheder.

En samtale mellem A og B, hvor indholdet er at - Download venligst min præsentation fra xxx.com/yyy ville selv i ukrypteret form ikke afsløre meget for en fjendtlig modstander og ville give A og B tilstrækkeligt plausible deniability, medmindre deres modstander både kunne fremskaffe deres nøgle og filen med det krypterede budskab.

Og selve deres budskab vil være krypteret og lagret i en fil, som ligger hos en udbyder som ikke har mulighed for at forvisse sig om indholdet.

  • Samtaletjenesten ville dermed ikke længere være ansvarlig for indholdet af det som A og B måtte havde udvekslet, fordi det ville være ulovligt for den at gøre sig bekendt med indholdet af en privat fil.

  • Den udbyder, der hoster filen vil heller ikke være ansvarlig, da det eneste den gør er at lagre en slutbrugers krypteret fil.

  • Krypteringsnøglens styrke samt As og Bs evne til at undgå logning af deres færden (taletidskort, andens trådløse netværk, download og dekryptering af filen på forskellige enheder)) ville give en eventuel modstander en væsentlig arbejdsbyrde.

I en sådan situation ville det ikke hjælpe, om så samtaletjenesten var ukrypteret, eller om så den gemte krypteringsnøglen eller hele indholdet af samtalen til det tilfælde, at staten skulle kræve den udleveret.

Samtalen i ukrypteret form ville i bedste fald være til ingen nytte, med mindre det var muligt konkret at bevise, hvad der var blevet sagt i den krypterede fil, og hvilken nøgle der var brugt.

Hvis der i en ukrypteret samtale gemmer sig flere fortolkningslag f.x hyperlinks til krypterede filer eller instruktioner om at logge på en helt anden chat og vente på et budskab fra XXX, efterlader det store huller i statens overvågningsmuligheder, medmindre den har mulighed for at tvinge alle involverede tjenester til at samarbejde.

Graden af samarbejdsevne vil afhænge af hvad tredjepartstjenesten gemmer af oplysninger, hvis en cyberlocker kun lagrer IP-adresser, filnavne - men ikke indholdet af filerne - efter at disse er blevet slettet/udløbet, vil det eneste som staten kan bevise være at der fra en Ip er uploadet en fil og at der fra en anden IP er download den samme fil.

Såfremt at A og B er omhyggelige med at rense deres enheder, vil filen med det krypterede indhold være tabt, selv hvis staten senere kan bevise, at de har udvekslet en krypteret fil.

Et sådant system til at undgå detektering genopretter også folks mulighed for at påberåbe sig selvinkrimineringsprincippet, fordi det er vanskeligere for staten at tvinge borgerne til at fremskaffe krypterede filer som kan være slettet for længe siden end det er at tvinge borgerne til at dekryptere data, som staten kan bevise stadig eksisterer.

Hvis staten ikke kan bevise, at filen som blev omtalt i chatsamtalen stadig eksisterer, kan den heller ikke længere bruge en key disclosure lov til at forlange budskabet udleveret.

Spørgsmålet bliver da, hvor lang tid der går før at denne proces automatiseres og tilbydes som et ikke-kommercielt plugin, der usynligt gør det nemt og bekvemt at anvende kryptering med kommercielle onlinetjenester.

Selv om at den kommercielle onlinetjeneste ikke udbyder krypteringen dvs. genererer nøglerne, kan man godt tvivle på, at staten blot vil lade situationen udvikle sig hen imod at statens overvågningsmuligheder igen afskæres.

Ib Larsen

Hvilke "hævdvundne rettigheder" er det lige det er ?

Retten for private individer til at tale med hinanden i det sprog som de ønsker uden at være pligtige til at indhente forudgående tilladelse.

Jeg bygger den holdning på den analogi til den ikke-digitale verden, at det førhen altid har været en ret at skrive med usynligt blek, at have hemmelige dagbøger og at forfatte disse i et sprog, som kunne være helt uforståeligt for andre end en selv og den rette adressat.

  • Hvis staten ikke kan indskrænke retten til at nedfælde mine tanker i en papirdagbog, som den ikke kan tyde uden tvangsmæssige foranstaltninger, kan jeg ikke se, at det skulle være anderledes blot fordi dele af forvanskningsprocessen er digitaliseret og foregår udenfor min hjerne.

Man har en ret til at skrive og forfatte sig i et forvansket eller uforståeligt sprog, og selvinkrimineringsprincippet medfører at jeg ikke kan tvinges til at hjælpe staten med at tyde mine breve eller private papirer, især ikke hvis mit vidneudsagn kan inkriminere mig selv eller mine nærmeste for et strafbart forhold.

Privatlivets fred må også indbefatte retten til at føre samtaler med andre i tvetydige vendinger, uden at være pligtige til at hjælpe staten med at fortolke den dybere mening.

  • Jeg anerkender, at firmaer i den henseende ikke har samme ret til privatliv som privatepersoner, og at et forbud mod kommercielle kryptotjenester uden bagdør ganske vist vil være ulogisk og ineffektivt men ikke lige så problematisk som en indskrænkning af privatpersoners ret til at udtrykke sig i et uforståeligt sprog.
Ib Larsen

Den datastrøm, som er utydelig for staten.

Et kryptoforbud eller krav om kryptolicens griber ind i ens ret til at udtrykke sig i et forblommet og utydeligt sprog.

Man kunne i princippet sige, at den datastrøm som genereres ved hjælp af en krypteringsalgoritme er et unikt sprog, som ene og alene giver mening for den der har både nøglen og den oprindelige klartekst.

Ytringsfriheden og privatlivet kræver jo ikke, at man kun taler sprog, som på et givent tidspunkt kan oversættes af staten, så hvis man hypotetisk kommunikerede med en anden på et sprog, som var absolut uforståeligt for alle andre end adressaten og en selv, ville en sådan handling både være omfattet af ytringsfriheden (hvis den foregik offentligt) og af privatlivet (hvis den foregik under omstændigheder hvor begge parter havde en rimelig forventning om at ingen anden kunne lytte med).

  • Hvis staten så hypotetisk havde hjemmel til at gøre indgreb i meddelelseshemmeligheden eller i boligen, ville den naturligvis have al mulig ret til at aflytte samtalen, eller til at beslaglægge ens papirer skrevet i et utydeligt sprog, også selv om det var uvist, om sproget var hjemmelavet eller volapyk, eller om det kun taltes af en levende person på jorden.

  • I et sådant tilfælde kunne staten ikke kræve, at jeg i fald jeg var mistænkt for et strafbart forhold skulle gøre rede for, hvilket sprog jeg havde forfattet mine papirer i, eller aftvinge midlerne til at tolke det skrevne.

Om hvorvidt sproget var anerkendt, om det taltes andre steder i verden, eller om det var min private opfindelse, ville jeg ikke kunne pålægges at hjælpe staten med at tyde det.

Om sproget er kunstigt eller naturligt opstået gør ingen forskel.

  • Hvis en person fra et tredjeverdensland forfatter sin dagbog på sit modersmål, og staten mistænker vedkomne for et strafbart forhold, kan den heller ikke tvinge vedkomne til at hjælpe med tolkningen, heller ikke, hvis det er den eneste måde at efterforske sagen.
Michael Cederberg

At Danmark skulle være bedre, sådan at vi ikke behøver en Bill of Rights eller en mistro til statsmagten som i USA modbeviser sager som Tibetsagen.

Som jeg tidligere har skrevet så har hverken Bill of Rights eller US Constitution beskyttet amerikanere i multiple situationer. Nogle af ”overtrædelserne” varede mere end 100 år. Vi er ikke dårligere stillet end amerikanerne.

Fordi nogle højreorienterede terrorister angreb den føderale regering i 1995, er det ikke et argument for en eneste føderal lov.

Næh, men den mistro til staten som du er så glad for, har blandt andet ført til at der findes bevæbnede grupper rundt om i USA som ikke anerkender de føderale myndigheder. Som tror Obama var agent for FN og at almindelige militærøvelser var begyndelsen til USA's invasion af Texas. Det sidste kom så langt som at Texas guvernør bad national guarden monitorere den føderale hær for tegn på invasion. Den amerikanske mistro til staten bringer ganske få gode ting med sig og rigtigt mange negative.

Man kunne forestille sig, at der hurtigt ville opstå ikk-kommercielle tjenester, der gør det pærelet for alle at generere og benytte krypteringsnøgler eventuelt som plugin til eksisterende online samtaletjenester.

Ideen er at få adskilt dem der sagtens kan håndtere at deres kommunikation er underlagt almindelig domstols kontrol fra de andre. De fleste almindelige mennesker vil vælge den nemmeste metode. I Danmark er det kun privacy-nørder og kriminelle vil gide rode med andre former for beskyttelse. Andre har bragt ”frihedskæmpere” ind – de bør under alle omstændigheder vælge helt anderledes løsninger hvis de har deres liv kært.

Allerede at få adskilt kommunikationen gør at den potentielle målgruppe for efterforskning bliver meget mindre. Ydermere vil alle ovenstående tjenester være udsat for at diverse efterretningstjenester vil udgive sig for ”privacy-nørder” og på den måde forsøge at kompromittere disse alternative systemer.

I praksis er mit formål at forhindre at ”SuperIzNoGood” kan fortælle folk på nettet at de anonymt kan kontakte ham for råd om at gøre slemme ting, uden at myndighederne har en chance for at se hvad der sker. Jeg kan ikke på denne måde gøre noget ved at ”LittleIzNoGood” ringer på døren hos ”SuperIzNoGood” og de der fysisk udveksler krypteringsnøgler. Men jeg kan gøre det svært for dem at gøre det elektronisk på en sådan måde at de er sikre på at ingen kan lytte med. Det vil være et stort skridt fremad uden noget nævneværdigt tab for ikke-kriminelle.

Der vil også være problemer, hvis et forbud kun er begrænset til kommercielle tjenester, der udbyder myndighedssikret kryptering, f.x Tor, I2P, Bitmessage, som ikke er kommercielle men som rejser præcis samme problemstillinger som Whatsapp.

Men fx Tor har mange gange været anklaget for at en stor del af noderne er drevet af NSA og andre efterretningstjenester. Hvem ved om det er rigtigt? Hvad med de andre? Med WhatsApp så kan fru Olsen i princippet anlægge sag an mod firmaet, hvis det viser sig at de ikke har overholdt deres løfte om end-to-end privacy. Det kan man ikke mod en ikke-kommerciel udbyder.

I sidste ende handler det om at hvis du vil kommunikere hemmeligt med nogen andre, så skal du finde nogen der kan lave hardware, software, udveksle nøgler med modparten, transportere din kommunikation, som du til en hvis grad stoler på. Jeg vil hellere stole på en stat hvor jeg selv er med til at vælge lederne. Fordi alternativet er at jeg eksplicit eller implicit stoler på tilfældige og til en hvis grad anonyme personer på nettet og/eller fremmede regeringer som er ligeglade med dansk lov.

Hvis du bruger services hvor staten har mulighed for at lytte med, så er risikoen for at de på anden måde har kompromitteret din løsning meget mindre. Staten har faktisk en interesse i at hjælpe med til at højne sikkerheden sådan er andre end staten ikke kan være med. Tricket er så at lave statens lyttemulighed sådan at den er svær at misbruge og sådan at offentligheden kan følge med i hvor meget den bliver brugt. I mine øjne kan man lave noget som er ”godt nok”.

Poul-Henning Kamp Blogger

Den datastrøm, som er utydelig for staten.

Sorry, men det har du aldrig "vundet hævd på" her i landet.

Tværtimod faktisk, staten har i stort omfang vundet hævd på at stikke næsen i alt hvad de kan få den ned i.

Hvis du (som jeg!) ikke er tilfreds med det, er vejen frem ikke at lalle rundt med kryptografiske algoritmer, men at få startet en borgerretsbevægelse så vi får en nutidig grundlov og et langt mere kompetent og folkerepræsentativt styre.

Poul-Henning Kamp Blogger

Men fx Tor har mange gange været anklaget for at en stor del af noderne er drevet af NSA og andre efterretningstjenester. Hvem ved om det er rigtigt?

Jeg tror ikke det blev slået fast om det var NSA eller CIA, men at en stor del af Tor netværket befandt sig omkring Virginia, USA er veldokumenteret af uafhængige ikke-USAnske forskere.

Se f.eks: http://sec.cs.ucl.ac.uk/users/smurdoch/papers/ccs06hotornot.pdf

Ib Larsen

Som jeg tidligere har skrevet så har hverken Bill of Rights eller US Constitution beskyttet amerikanere i multiple situationer. Nogle af ”overtrædelserne”
varede mere end 100 år. Vi er ikke dårligere stillet end amerikanerne.

Medmindre du kan pege på alle de domme der fastslår, at danskerne har rettigheder i kraft af Grundloven, der svarer til dem som amerikanerne nyder i kraft af deres Bill of Rights er ovenstående et tvivlsomt udsagn.

  • Min målestok for om vi er ringere stillet end andre lande er ikke, hvad politikerne og embedsværket har kunnet få igennem uden protester i befolkningen men hvilke ækvivalente rettigheder den danske grundlov garanterer i forhold til lovgiverne.

Næh, men den mistro til staten som du er så glad for, har blandt andet ført til at der findes bevæbnede grupper rundt om i USA som ikke anerkender de føderale
myndigheder. Som tror Obama var agent for FN og at almindelige militærøvelser var begyndelsen til USA's invasion af Texas. Det sidste kom så langt som
at Texas guvernør bad national guarden monitorere den føderale hær for tegn på invasion. Den amerikanske mistro til staten bringer ganske få gode ting
med sig og rigtigt mange negative.

Ja, og i Danmark er der politikere, der i alvor argumenterer for at masseovervågning i form af internetlogning ikke krænker privatlivet, tiltrods for at flere domme fra EU-domstolen har underkendt mandatory data retention og som latterliggør fortalerne for stærk kryptering og anonymiseringsværktøjer, uagtet at staten har været involveret i flere IT-skandaler uden konsekvenser for de ansvarlige.

  • Og vi har en minister, der ikke kan finde ud af forskellen på en instruks og en pressemeddelelse, og som spiller dum og uvidende.

  • Og et folketingsflertal der vælger at lade som om at de tror det.

Jeg vil være helt ærlig og indrømme, at det ikke er den slags mennesker, jeg tiltror den fornødne klogskab eller lydhørhed til at lovgive mod krypteringstjenester.

Det er rent forvaltningsmæssige og juridiske problemstillinger, som nævnte politikere skulle kunne gøre sig bekendte med, så hvis de er så dumme at de ikke kan eller vil hæve sig op på et niveau, hvor de vil forholde sig sagligt til deres fagområde, lover det ikke godt for fremtiden.

Ideen er at få adskilt dem der sagtens kan håndtere at deres kommunikation er underlagt almindelig domstols kontrol fra de andre. De fleste almindelige
mennesker vil vælge den nemmeste metode.

I Danmark er det kun privacy-nørder og kriminelle vil gide rode med andre former for beskyttelse. Andre har bragt
”frihedskæmpere” ind – de bør under alle omstændigheder vælge helt anderledes løsninger hvis de har deres liv kært.

Allerede at få adskilt kommunikationen gør at den potentielle målgruppe for efterforskning bliver meget mindre. Ydermere vil alle ovenstående tjenester
være udsat for at diverse efterretningstjenester vil udgive sig for ”privacy-nørder” og på den måde forsøge at kompromittere disse alternative systemer.

I praksis er mit formål at forhindre at ”SuperIzNoGood” kan fortælle folk på nettet at de anonymt kan kontakte ham for råd om at gøre slemme ting, uden
at myndighederne har en chance for at se hvad der sker. Jeg kan ikke på denne måde gøre noget ved at ”LittleIzNoGood” ringer på døren hos ”SuperIzNoGood”
og de der fysisk udveksler krypteringsnøgler. Men jeg kan gøre det svært for dem at gøre det elektronisk på en sådan måde at de er sikre på at ingen kan
lytte med. Det vil være et stort skridt fremad uden noget nævneværdigt tab for ikke-kriminelle.

Og du har stadig ikke gennemtænkt, hvad der så vil ske, nemlig at der hurtigt vil opstå ikke-kommercielle tjenester, som vil virke som et ekstra lag ovenpå de lovlige men nu helt ukrypterede samtaletjenester.

  • Fysisk at udveksle krypteringsnøgler?

Jeg ved ikke, hvad du egentligt forestiller dig, men man behøver ikke mødes for at udveksle krypteringsnøgler eller at kende dem man udveksler nøgler med.

PGP er på mange måder irriterende men kunne formentligt tilpasses til større brugervenlighed og inkorporeres som et uafhængigt plugin i onlinesamtaletjenester, som naturligvis ville blive udviklet uafhængigt af den tjenesteudbyder, der ikke længere selv måtte udbyde kryptering kommercielt.

Man kunne have to tjenester, der opererer uafhængigt af hinanden - en kommerciel samtaletjeneste, der ikke krypterer - og en anden (ikke-kommerciel tjeneste eller opensource udvikler) der enten har udviklet et plugin eller tilføjelse, der i baggrunden opererer som ekstra lag ovenpå den lovlige ukrypterede samtaletjeneste.

”SuperIzNoGood” kunne stadig kommunikere med en anden helt anonymt, uden at staten kunne bevise hvad der var blevet sagt.

Interfacet ville måske kræve, at man klikker nogle flere gange, og den samtale som blev sendt via Whatsapp ville blot indeholde en BASE64 + krypteret nøgle, og herefter ville alt efterfølgende kommunikation via Whatsapp der blev udvekslet mellem aktørerne blive krypteret, så ingen bagdør i samtaletjenesten ville gøre nogen forskel.

Der ville selvfølgelig være risiko for man in the middle attacks, fordi aktørerne skulle verificere hinandens nøgler første gang og hinandens signerede meddelelser, men jeg er ikke i tvivl om at der også ville opstå alternative tjenester, der håndterede dette problem.

Forskellen i forhold til tidligere ville være, at selve samtaletjenesten ikke længere var ansvarlig for krypteringen, men selve brugeroplevelsen behøvede ikke være nævneværdigt forskellig.

Landskabet vil blot være mere fragmenteret.

Krypterinsmiljøet vil lige som fildelingsmiljøet tilpasse sig det nye juridiske klima og udvikle platforme, der overholder loven og er sværre for staten at ramme.

Men jeg har sagt at virksomheder ikke skal levere leverer services der har end-to-end kryptering mellem parter de ikke kender. Hvis man vil have en virksomhed
til at facilitere krypteret kommunikation, så skal retsstaten have mulighed for at kigge med under domstolskontrol.

Det svære ved kryptering i dag er at udveksle nøgler. To personer der vil lave krypteret kommunikation kan møde og udveksle nøgler, blive enige om software,
etc. Det kan vi ikke gøre noget ved. Det som jeg siger er at kommercielle virksomheder ikke skal facilitere dette.

PHK har talt for key escrow og jagttegn for at måtte benytte stærk kryptering dvs. nøgler over en vis længde, samt for at bure folk inde der nægter at udlevere deres nøgler.

Jeg kan forstå, at du ikke plæderer for noget sådant.

Det rejser et andet spørgsmål - hvad man forstår ved en service?

  • Et program, der krypterer lokalt hos en slutbruger er ikke en service, så hvad ville konsekvensen være for en virksomhed der sælger hardware og software der krypterer, men som ikke sælges som en serviceaftale.

Dernæst er det spørgsmålet, hvad man forstår ved kommerciel?

En samtaletjeneste, der ikke opkræver penge af brugerne leverer ikke kryptering mod betaling men tilbyder den som del af hele pakken.

Jeg går ud fra, at et forbud mod kommercielle samtaletjenester uden bagdør, ville lade samme udbyder gå fri, hvis udbyderen ikke selv var involveret i krypteringen men kun lod udviklere tilbyde et plugin der uafhængigt dvs. hos slutbrugeren genererer og opbevarer nøglen.

Kort sagt ville rigtigt meget afhænge af, om samtaletjenesten selv eller en anden aktør var den, der leverede krypteringssoftwaren.

Vi kunne forestille os et landskab, hvor udbyder A kommercielt tilbyder en ukrypteret samtaletjeneste men fra dens hjemmeside linker til tjeneste B, der uden kommercielt øjemed tilbyder et plugin der krypterer udbyder As kommunikation hos slutbrugerne.

Hvis du bruger services hvor staten har mulighed for at lytte med, så er risikoen for at de på anden måde har kompromitteret din løsning meget mindre.
Staten har faktisk en interesse i at hjælpe med til at højne sikkerheden sådan er andre end staten ikke kan være med. Tricket er så at lave statens lyttemulighed
sådan at den er svær at misbruge og sådan at offentligheden kan følge med i hvor meget den bliver brugt. I mine øjne kan man lave noget som er ”godt nok”.

Ja, og den danske stat, der jo har en så god track record med statuering af ansvar og kontrol med dens egne IT-systemer helt fra statsligt ned til det kommunale niveau med cpr-numre og adgang til borgernes sygejournaler for 100000 sundhedspersoner er jo lige den man tør betro ansvaret for et sådant system.

Hvad kunne gå galt?

http://www.bt.dk/

Ib Larsen

Sorry, men det har du aldrig "vundet hævd på" her i landet.

Tværtimod faktisk, staten har i stort omfang vundet hævd på at stikke næsen i alt hvad de kan få den ned i.

Dansk lov har ikke før i tiden straffet borgere, der nægtede at tolke deres private papirer eller korrespondance over for politiet eller andre myndigheder, og Retsplejeloven har længe før de fleste af os var født tværtimod udtrykkeligt slået fast, at mistænkte, sigtede og tiltalte ikke kunne straffes for at undlade at udtale sig til politiet - hvori det det jo må være indforstået at man har nydt godt af en ret til at tale i et utydeligt sprog uden at skulle gøre rede for det.

Dermed ikke sagt, at det ikke kunne blive anset for mistænkeligt, men man har ikke kunne straffes i den situation at politiet fandt en bog, det var ude af stand til attyde, og man nægtede at hjælpe dem.

  • Hvis det ikke havde været en hævdvunden ret,ville der helt sikkert være eksempler på, at staten havde forsøgt at tvinge mennesker til at tyde deres papirer skrevet i kode, eller til at fremskaffe andre beviser som var skjult for staten.
    Den kendsgerning, at der ikke mig bekendt er eksempler i nyere tid på, at staten skulle have forsøgt sig med noget sådant mener jeg må skyldes, at der har hersket en universel konsensus om, at det ville stride mod de fundamentale normer i et civiliseret samfund.

Der er ikke tale om at krypteringsalgoritmer sætter retssamfundet uden for døren, men om at kryptering supplerer en ret som man allerede har ifølge Retsplejeloven til ikke at inkriminere sig selv.

  • Hvis jeg har en ret til ikke at vidne mod mig selv vedrørende et strafbart forhold er en algoritme, der blot gør det mere effektivt at påberåbe mig en ret jeg allerede formelt set har ikke en obstruktion eller revolution mod samfundet men blot en understøttelse af individets rettigheder.

Det eneste argument imod kryptering kan være, at retten til selvinkriminering i princippet er i orden, men at der ikke skal være midler til at udøve den i praksis, eller at kryptering er problematisk, fordi den giver borgerne mulighed for at skjule mulige forbrydelser, de allerede har ret til at benægte.

Og lige så med privatlivet - kryptering gør det kun lettere for borgerne at udøve en ret, som ikke i forvejen er dem forbudt.

Derudover har danskerne jo både ret til respekt for privat- og familieliv efter EMRK Art. 8 og retten til en retfærdig rettergang efter EMRK Art. 6.
Så medmindre man vil modsætte sig den retsopfattelse, som EMRK er et udtryk for, kommer man ikke uden om at både privatliv, selvinkriminering og retten til at tale andre sprog er hævdvundne rettigheder.

Spørgsmålet er blot, hvor meget hævd disse rettigheder har vundet, og om et flertal måtte ønske at ophæve dem.

  • Magt er i et vist omfang lig med ret, så hvis et massivt flertal pludseligt skulle ønske at lave alting om, vil vi naturligvis stå i en anden situation, men selv uden EMRK kan jeg vanskeligt forestille mig at staten i den analoge (fysiske) verden ville have vundet hjemmel til at tvinge folk til at tyde deres dagbøger.

Og hvis det ikke gælder i den fysiske verden, dvs. hvad man skriver på papir, er der heller ingen begrundelse for at det skulle gælde en dagbog kodet digitalt.

Jeg bemærker, at du ikke gør indsigelse over for påstanden om, at det ville have været utænkeligt at tvinge individet til at tyde dets dagbøger eller til at oversætte et fremmed (forvansket) sprog.

  • Hvis vi er enige om den grundforudsætning, gør det ingen forskel hvordan sproget eller dagbogen er genereret.

Staten har ikke førhen påberåbt sig eller fået tildelt nogen hævdvunden ret til at tvinge borgeren i nogle af disse tilfælde, og man behøver ikke krypteringsalgoritmer til at anerkende dette princips gyldighed.

Mit argument for at man har en ret til at kryptere uden at spørge staten og til ikke at være pligtig til at hjælpe den, er en simpel analogislutning fra den fysiske verden.

  • Du har samme ret til at kryptere med AES som du ville have haft til at forfatte en papirdagbog i et forvansket kodesprog.

Mit argument er således ikke betinget af om krypteringsalgoritmen er bekendt for staten, om den køres gennem en digital proces, eller om jeg selv har opfundet den.

Argumentet er snarere at disse retsprincipper er teknologi neutrale og nødvendigvis må finde samme anvendelse på digitale såvel som på analoge situationer.

Hvis du (som jeg!) ikke er tilfreds med det, er vejen frem ikke at lalle rundt med kryptografiske algoritmer, men at få startet en borgerretsbevægelse
så vi får en nutidig grundlov og et langt mere kompetent og folkerepræsentativt styre.

Jeg er slet ikke uenig, men kryptering kan lige som anden teknologi påvirke retsudviklingen, hvis teknologien allerede er så udbredt, at det er for sent at rulle den tilbage.

Lad mig som eksempel nævne trådløse netværk og APGs forsøg på at gøre ejerne af internetforbindelser ansvarlige for andres krænkelser af ophavsret.

  • Hvis kun få havde haft trådløse netværk, ville APG måske med større lethed kunne overtale lovgiverne til at indføre en regel om at alle var ansvarlige for andres brug af deres internetforbindelser, men fordi trådløse netværk idag er udbredte, og en forudsætning for at en hel husstand kan dele en internetforbindelse, vil det ikke uden væsentlige omkostninger være muligt at rulle udviklingen tilbage.

Der vil aldrig være enighed om, hvad en ny tidssvarende forfatning skal indeholde.

Jeg personligt ville være tilfreds hvis vi inkorporerede EMRK og EUs Charter om fundamentale rettigheder i Grundloven, sådan at EU-domstolen og Den europæiske menneskerettighedsdomstol kom til at have sidste ord over vores ejen højesteret.

Det ville svække politikerne, hvis den endelige fortolkning af vores rettigheder lå i Strasbourg, og det var umuligt for Folketinget at lovgive i modstrid med EMRK.

Det bedste håb til sikring af individets rettigheder er ikke Danmark selv men den internationale udvikling.

Om ikke andet vil en inkorporering af menneskerettighedskonventioner direkte i Grundloven vanskeliggøre at et simpelt folketingsflertal opsiger disse.

Michael Cederberg

Medmindre du kan pege på alle de domme der fastslår, at danskerne har rettigheder i kraft af Grundloven, der svarer til dem som amerikanerne nyder i kraft af deres Bill of Rights er ovenstående et tvivlsomt udsagn.

Du lever i en retssagsverden. Det er sådan USA fungerer. I Europa er anderledes og derfor kan man ikke sammenligne. Jeg kigger bare på resultatet. Europæere er nogenlunde ligeså frie som amerikanere, bortset fra at europæiske regeringer har valgt at lade amerikanerne lytte med på alt hvad vi laver. Og hermed slut fra mig om dette emne.

Jeg ved ikke, hvad du egentligt forestiller dig, men man behøver ikke mødes for at udveksle krypteringsnøgler eller at kende dem man udveksler nøgler med.

MITM og meget mere.

Der ville selvfølgelig være risiko for man in the middle attacks, fordi aktørerne skulle verificere hinandens nøgler første gang og hinandens signerede meddelelser, men jeg er ikke i tvivl om at der også ville opstå alternative tjenester, der håndterede dette problem.

MITM er ikke sådan lige at komme udenom. Specielt ikke når man er oppe imod efterretningstjenester der forsøger at beskytte nationer. For blot for at gøre det helt klart: Det er dyrt at angribe denne slags krypteringsschemes. Det er ikke noget nogen vil tage i brug for at stoppe ulovlig download af film, med mindre der er tale om milliarder af kroner i et specifikt netværk.

Krypterinsmiljøet vil lige som fildelingsmiljøet tilpasse sig det nye juridiske klima og udvikle platforme, der overholder loven og er sværre for staten at ramme.

Den store forskel er at staten ikke gider smide mange penge i at jagte teenagerne der deler filer. Men teenagere eller andre som forsøger at undergrave staten er der nærmest uendelige ressourcer til at jagte. Det er af samme grund at du kan se liberale politikere advokere for øget overvågning, selvom det ligger ganske langt fra deres DNA.

PHK har talt for key escrow og jagttegn for at måtte benytte stærk kryptering dvs. nøgler over en vis længde, samt for at bure folk inde der nægter at udlevere deres nøgler.
Jeg kan forstå, at du ikke plæderer for noget sådant.

Jeg tror det er for bøvlet og for svært at gennemføre. Key escrow er fra en tid hvor kryptering fandtes i små portioner rundt omkring. Jeg byggede en kommerciel løsning i 1994 med både RSA og DES. Da vi kiggede på lovgivningen omkring kryptering kunne vi se at vi overtrådte loven i flere lande (bl.a. Frankrig hvor der var krav omkring escrow). Vi valgte at ignorere dette fordi vi ikke forbrød os mod formålet af loven. Det ville jeg ikke turde gøre i dag og jeg kan se uendelige problemer med keyescrow i dagens verden.

Dernæst er det spørgsmålet, hvad man forstår ved kommerciel?
En samtaletjeneste, der ikke opkræver penge af brugerne leverer ikke kryptering mod betaling men tilbyder den som del af hele pakken.

En tjeneste hvor der udveksles penge eller en tjeneste der drives af en juridisk entitet der ikke er et menneske.

Ja, og den danske stat, der jo har en så god track record med statuering af ansvar og kontrol med dens egne IT-systemer helt fra statsligt ned til det kommunale niveau med cpr-numre og adgang til borgernes sygejournaler for 100000 sundhedspersoner er jo lige den man tør betro ansvaret for et sådant system.
Hvad kunne gå galt?

Af samme grund kunne jeg godt tænke mig at hjælpe justitsministeren med at lave en fornuftig løsning. En som både håndterer borgernes og statens behov. Den kan sagtens laves.

Næh. Diffie-Hellman key exchange er både velkendt og nem at forstå. Og har efterhånden en del år på bagen.

Ja DH er nemt at forstå. Det er bare ikke så nemt at beskytte sig mod MITM hvis modstanderen er NSA eller GCHQ. I sidste ende handler det om at man skal stole på nogen … hvis du har tænkt dig at angribe staten, vil du så tro på en tilfældig service på nettet? Selv hvis du kan se at alverdens fildelere lovpriser servicen for at holde dem anonyme, hvordan kan du så virke at servicen ikke er drevet af NSA? Det ville være et fantastisk skalkeskjul.

Nøgleudveksling er svært hvis modstanderen er fantastisk stærk. Det samme gælder en række andre discipliner indenfor dette område …

Ib Larsen

Du lever i en retssagsverden. Det er sådan USA fungerer. I Europa er anderledes og derfor kan man ikke sammenligne. Jeg kigger bare på resultatet.

Ja, og resultatet er at lovgiverne i Danmark har større mulighed for at gøre indgreb i borgernes frihedsrettigheder end det er tilfældet i andre lande.

  • Hvis man vil hævde, at vi er lige så fri uagtet at staten har nærmest uindskrænket magt til at gøre indgreb i boligens ukrænkelighed og privatlivet, bør man selv kunne underbygge sin påstand med fakta.

  • Og selv hvis Folketinget vedtager 100 undtagelser til boligens ukrænkelighed, kan man stadig hævde, at vi er lige så frie som borgerne i andre lande, uanset at et nyt land med en sådan forfatningssikring næppe ville blive optaget i EU.

Du er velkommen til at hævde, at vi er lige så frie som amerikanerne, canadierne eller for den sags skyld tyskerne, men påstanden gør det ikke til virkelighed.

  • I Tyskland har deres forfatningsdomstol for mange år siden underkendt deres lov om telelogning, så om ikke andet er tyskernes frihed til ikke at blive logget større end den der er sikret i Danmark.

Hvis du f.x mener, at telelogning er en god ide, er det naturligvis en ærlig sag, men et land hvor loven om telelogning er blevet underkendt kan ikke efter nogen målestok siges at være lige så ufrit som et andet, hvor loven står ved magt.

Jeg definerer frihed som den retsposition som borgeren nyder i forhold til statsmagten herunder den lovgivende magt - så efter den målestok er der ingen tvivl om, at danskerne relativt set er mindre frie end borgerne i mange andre lande.

Du er velkommen til at hævde alt og til at undlade at forsvare din påstand nærmere, men at hævde at danskerne er lige så frie som borgerne i lande med en stærkere domstolssikring af den personlige frihed er direkte forkert, medmindre man definerer frihed som det vi har tilbage, når lovgiverne efter at have vejet argumenter for og imod har besluttet sig.

Det er en meget provinsialistisk tilgang til den personlige frihed, og var måske god nok dengang vi levede i et Morten Korch samfund og flertallet uden videre underkastede sig statens autoriteter, men sådan er det ikke mere.

Europæere
er nogenlunde ligeså frie som amerikanere, bortset fra at europæiske regeringer har valgt at lade amerikanerne lytte med på alt hvad vi laver.

Vi kan ikke forhindre amerikanerne eller andre aktører i at aflytte alt, der passerer gennem internationale kabler på anden måde end ved at kryptere alt.

Den amerikanske forfatning beskytter alene amerikanerne selv, så NSA må naturligvis lytte med på andre borgeres internationale trafik.

Hvis du mener, det er et problem, at europæiske regeringer lader amerikanerne opsnappe deres egne borgeres datatrafik, ville det jo være oplagt at indføre end to end encryption over alle internationale forbindelser, sådan at danske borgere ikke er retsløse, når deres data passerer den danske grænse.

uden kryptering som selv ikke NSA og russerne kan bryde, er danske borgere uden beskyttelse, når deres data passerer en landegrænse.

Så ville man problemet til livs, var det om at indføre end to end encryption overalt, og sørge for at kun dataindehaveren havde nøglen.

På den måde ville man jo holde NSA og andre internationale aktører ude, men det ville jo stride mod ønsket om at give staten mulighed for at lytte med på alt.

Et forbud mod kommercielle kryptotjenester ville netop gøre det let for NSA, GRU og alle andre at opsnappe danskernes læsevaner, chatsamtaler og deltagelse i onlinedebatter.

Hele besværet ved at drive et debatforum med https og sikre at nøgler kunne udleveres til myndigheder i alle lande ville i praksis gøre det ulønsomt for de fleste tjenester med et kommercielt øjemed at beskytte brugerne selv mod ikke-statslige aktører.

Den store forskel er at staten ikke gider smide mange penge i at jagte teenagerne der deler filer. Men teenagere eller andre som forsøger at undergrave
staten er der nærmest uendelige ressourcer til at jagte. Det er af samme grund at du kan se liberale politikere advokere for øget overvågning, selvom det
ligger ganske langt fra deres DNA.

Du mener, at erklærede liberale stemmer for masseovervågning tiltrods for, at det skulle ligge langt fra deres DNA.

  • Jeg vil tillade mig at anfægte, at man skulle være særligt "liberal" hvis man stemmer for uliberale tiltag såsom Mørklægningsloven, Logningsbekendtgørelsen samt tiltag som den Europæiske arrestordre.

Jeg finder ikke at en sådan politik er særligt liberal, for tiltag som logningsbekendtgørelsen er blevet brugt/misbrugt til meget andet end terrorbekæmpelse.

  • Det kan godt være, at erklærede liberale siger, at de støtter disse tiltag, fordi det angiveligt er nødvendigt for at bekæmpe terrorisme, men hvis det var den væsentligste grund, ville de have gjort sig betinget, at disse redskaber kun blev brugt i terrorsager og ikke ikke i almindelige straffesager.

Jeg kunne for så vidt nære en vis sympati for mere overvågning, hvis denne kun blev brugt i terrorbekæmpelsen, men sagen er jo den, at der med indførelsen af alle overvågningsredskaber har fulgt et mission creep, hvor politiet eksempelvis bruger telelogning til at retsforfølge chatchikane og copyright trolls har kunnet kræve logningsdata udleveret fra ISP'erne, uden at de "liberale" har sat sig imod.

  • Hvis de politikere, du kalder for liberale, tiltrods for deres uliberale holdninger ellers tog deres liberalisme alvorligt, ville de om ikke andet modsætte sig at telelogning blev brugt til andet end terrorbekæmpelse, men man kan ikke rigtigt tage dit udsagn om liberalt DNA alvorligt, når også liberale politikere støtter mission creep fra terror til chatchikane.

Jeg tror det er for bøvlet og for svært at gennemføre. Key escrow er fra en tid hvor kryptering fandtes i små portioner rundt omkring. Jeg byggede en kommerciel
løsning i 1994 med både RSA og DES. Da vi kiggede på lovgivningen omkring kryptering kunne vi se at vi overtrådte loven i flere lande (bl.a. Frankrig hvor
der var krav omkring escrow). Vi valgte at ignorere dette fordi vi ikke forbrød os mod formålet af loven. Det ville jeg ikke turde gøre i dag og jeg kan
se uendelige problemer med keyescrow i dagens verden.

Ja, ikke mindst at få placeret ansvaret, hvis eller når nøglen kompromitteres og folks data lækkes.

Det bedste argument imod key escrow er, at selv staten har elendig datasikkerhed.

På en tidligere kommunal arbejdsplads var det meget almindeligt at folk lod deres pc'ere stå åbne når de gik på toilettet, selv om det strengt taget var imod reglerne.

Når selv politiet og offentlige myndigheder kan blive udsat for datatyveri, og det er umuligt at bevise, om synderen er en ond insider, fishing eller en anden angrebsvektor, er jeg meget utryg ved at lovgive om at alle skal gemme deres nøgler, til staten banker på og kræver dem udleveret.

Jeg kan i princippet godt forstå, at firmaer skal være underlagt strengere krav end private borgere, og nogle going dark scenarier ville (i det omfang at disse udgør et reelt problem der ikke kan efterforskes med andre metoder) kunne formildnes af en regel rettet mod firmaer, men på lang sigt vil en regel, der rettes mod kommercielle aktører kun føre til at udviklingen overgår til transnationale opensource udviklere.

En tjeneste hvor der udveksles penge eller en tjeneste der drives af en juridisk entitet der ikke er et menneske.

Ok, men der er jo forskel på tjenester drevet kommercielt og på tjenester drevet af f.x non-profit organisationer som The Tor Project.

Ville Tor også være en kommerciel tjeneste, tiltrods for at den ikke drives af et firma?

Udviklingen af Tor er koordineret af The Tor Project, men selve noderne er uafhængige af projektet og drives privat.

Af samme grund kunne jeg godt tænke mig at hjælpe justitsministeren med at lave en fornuftig løsning. En som både håndterer borgernes og statens behov.
Den kan sagtens laves.

Du kan ikke komme uden om den menneskelige faktor, der indebærer, at så snart følsom information er blevet gjort tilgængelig for en personkreds, vil dens beskyttelse ikke være stærkere end den svageste ansatte med en interesse i at misbrug informationen,.

Kommuner har i mange år oplevet, at f.x kvinder der er truet af æresvold alligevel opspores, fordi der er utro tjenere ansat i det offentlige.

Det er desværre umuligt at undgå, at hemmelige adresser står et sted, men kryptering kan forebygge, at andre end de samtalende parter opfanger en samtale.

Hvad ville der ske, hvis en tjeneste som Whatsapp undlader at kryptere dens samtaler, fordi det bliver for dyrt og farligt at overholde loven i alle lande?

  1. scenarie: Whatsapp laver en bagdør, der gør det muligt for dem at dekryptere brugernes samtaler men lover kun at bruge den, hvis de præsenteres med gyldige papirer.

Så langt så godt, men pludseligt står der nogle mænd, som ikke er fra udbyderens eget lands regering og kræver en nøgle udleveret, fordi en bruger af tjenesten har videresendt statsundergravende budskaber.

  1. scenarie: Whatsapp ophører med at tilbyde end to end encryption fordi de har opdaget, at det er for juridisk kompliceret dels at skulle beskytte brugernes lovlige privatliv, og dels at at sikre alle verdens stater adgang til brugerdata, og dels for farligt at ligge inde med en nøgle andre(voldelige) aktører vil bruge alle midler for at få udleveret - uden om loven.

Så længe en samtaletjeneste forbliver ude af stand til at dekryptere samtalen, er der intet incitament til at true dens ansatte.

Michael Cederberg

Hvis du mener, det er et problem, at europæiske regeringer lader amerikanerne opsnappe deres egne borgeres datatrafik, ville det jo være oplagt at indføre end to end encryption over alle internationale forbindelser, sådan at danske borgere ikke er retsløse, når deres data passerer den danske grænse.

Når danske myndigheder vælger at lade amerikanerne lytte med, så er det fordi de ikke selv har ressourcerne. Det er et område med stordriftsfordele og amerikanerne gør det i stor stil. Læg til at de ikke har helt de samme kvaler ved at samarbejde med diktaturstater samt at man stort set ikke kan bygge en IT infrastruktur uden amerikanske komponenter på kerne områder.

Et forbud mod kommercielle kryptotjenester ville netop gøre det let for NSA, GRU og alle andre at opsnappe danskernes læsevaner, chatsamtaler og deltagelse i onlinedebatter.

Forbudet skulle kun dække end-to-end. Det er fint at kryptere fra kunden til serviceprovideren. NSA, GCHQ, GRU skal så hacke serviceprovideren men det vil de nok forsøge alligevel.

Det bedste argument imod key escrow er, at selv staten har elendig datasikkerhed.

Det er en gal slutning. Staten er mange ting og blot fordi der er problemer nogle steder betyder det ikke at man ikke kan have fin sikkerhed andre steder.

Ok, men der er jo forskel på tjenester drevet kommercielt og på tjenester drevet af f.x non-profit organisationer som The Tor Project.

Ville Tor også være en kommerciel tjeneste, tiltrods for at den ikke drives af et firma?

Tor ville være tilladt.

Du kan ikke komme uden om den menneskelige faktor, der indebærer, at så snart følsom information er blevet gjort tilgængelig for en personkreds, vil dens beskyttelse ikke være stærkere end den svageste ansatte med en interesse i at misbrug informationen,.

Jeg forestiller mig en løsning hvor folk fra flere myndigheder skal ind over, før det overhovedet er muligt at komme til informationen.

Jeg forestiller mig krypto nøgler blive genereret hos en 3. part (disse kaldes logging-nøgler). Det kunne være domstole, private virksomheder, etc. Kun logging-krypteringsnøglen gives til WhatsApp-Europa. Når WhatsApp-Europa modtager en besked, så dekrypterer de den med det samme. Den krypteres nu med ”logging-krypteringsnøglen” og gemmes hos WhatsApp-Europa. Samtidigt krypterer WhatsApp-Europa beskeden med modtagerens nøgle og sender den til modtageren.

Hvis man gør det strafbart for WhatsApp-Europa at udlevere krypteret logging info uden dommerkendelse samt gør det strafbart for nøgleholderen at udlevere logging-dekrypteringsnøglen uden dommerkendelse, så har vi en situation hvor en rouge-myndighed skal overbevise 2 uafhængige entiteter om at gøre noget strafbart.

Løsningen har det åbenlyse angrebspunkt at WhatsApp-Europa skal ligge inde med nøgler for alle deres kunder for at kunne dekryptere beskeder. Disse vil være interessante for ikke-europæiske efterretningstjenester. Men skal vi ikke gætte på at de allerede har den slags følsom information …

Hvad ville der ske, hvis en tjeneste som Whatsapp undlader at kryptere dens samtaler, fordi det bliver for dyrt og farligt at overholde loven i alle lande?

Det ser jeg ikke for mig.

Ib Larsen

Når danske myndigheder vælger at lade amerikanerne lytte med, så er det fordi de ikke selv har ressourcerne. Det er et område med stordriftsfordele og
amerikanerne gør det i stor stil. Læg til at de ikke har helt de samme kvaler ved at samarbejde med diktaturstater samt at man stort set ikke kan bygge
en IT infrastruktur uden amerikanske komponenter på kerne områder.

Dertil skal lægges, at europæiske love, der beskytter privatlivet kun binder vores egne landes myndigheder, og at det er nemt for f.x den danske stat at indhente data fra fremmede lande, som det ville den være forbudt selv at indsamle inden for vores egne grænser.

At den danske stat ikke skulle samarbejde med diktaturstater ved at udveksle data, der kan og vil blive brugt til at krænke menneskerettighederne i andre lande er højest tvivlsomt.

  • Danmark vil antageligt overtræde menneskerettighederne,hvis vi udleverer data til et land, som led i gensidig retshjælp, medmindre der er effektive garantier for at de udleverede data ikke vil blive brugt i en straffesag, hvor der kan idømmes dødsstraf.

  • Så Danmark vil være afskåret fra at hjælpe lande med terror- og narkobekæmpelse, hvis vi udleverer data og disse anvendes som bevis mod en anklaget, der kan føre til at vedkomne udsættes for dødsstraf.

Det er en gal slutning. Staten er mange ting og blot fordi der er problemer nogle steder betyder det ikke at man ikke kan have fin sikkerhed andre steder.

Det vil jeg anerkendte, den dag, der bliver indført vandtætte skodder mellem de dele af staten, der har styr på sikkerheden og dem, hvor det sløser.

  • Jeg kan godt forstå, hvis du har en legitim interesse i at indtage det synspunkt, men intet af det du foreslår har noget at gøre med den måde politikerne udvider statens indsamling af data samtidig med at de gør det umuligt for borgerne at få oprejsning når deres datasikkerhed krænkes.

Det problem, jeg ser ved en midtersøgende holdning som din er, at den alene bureaukratiserer statens overvågning, og lover borgerne kontrol, men i praksis ikke lodret nægter staten beføjelser på et område.

At indføre mere statsbureaukrati for at rette op på at staten har tiltaget sig for stor overvågningsmuligheder er for de fleste af os i denne tråd ikke en attraktiv eller farbar vej.

Jeg forestiller mig en løsning hvor folk fra flere myndigheder skal ind over, før det overhovedet er muligt at komme til informationen.

Jeg forestiller mig krypto nøgler blive genereret hos en 3. part (disse kaldes logging-nøgler). Det kunne være domstole, private virksomheder, etc. Kun
logging-krypteringsnøglen gives til WhatsApp-Europa. Når WhatsApp-Europa modtager en besked, så dekrypterer de den med det samme. Den krypteres nu med
”logging-krypteringsnøglen” og gemmes hos WhatsApp-Europa. Samtidigt krypterer WhatsApp-Europa beskeden med modtagerens nøgle og sender den til modtageren.

Hvis man gør det strafbart for WhatsApp-Europa at udlevere krypteret logging info uden dommerkendelse samt gør det strafbart for nøgleholderen at udlevere
logging-dekrypteringsnøglen uden dommerkendelse, så har vi en situation hvor en rouge-myndighed skal overbevise 2 uafhængige entiteter om at gøre noget
strafbart.

Det ville for så vidt bestyrke sikkerheden, hvis der ikke blev indført undtagelser, der gjorde det muligt for skat, sociale myndigheder, og parter i civile sager at få udleveret oplysningerne.

Som jeg også skrev ovenfor er problemet med den slags tiltag, at der hurtigt opstår et mission creep som ved Logningsbekendtgørelsen, hvor logningsdata er blevet brugt til alt muligt andet end terrorbekæmpelse, og endda er blevet udleveret til advokater i copyright -sager.

Dernest vil det ikke løse et helt andet problem, nemlig at Danmark vil være nødt til at forholde sig til anmodninger fra fremmede lande.

Min bekymring desangående udspringer af at Danmark og vestlige lande ikke kategorisk afviser at samarbejde med autoritære stater som Rusland, Tyrkiet, Indonesien, Thailand, Indien, Pakistan osv, hvor folk ikke får en retfærdig rettergang, og hvor man risikerer tortur.

  • Hvis Rusland nu kontakter de danske myndigheder og anmoder om udlevering af nøglen med henblik på dekryptering af en samtale mellem en russisk borger og en dansker, eller to russiske borgere, og anmodningen overholder alle formelle krav og har afkrydset hate speech, dødstrusler eller narkohandel, vil der jo ikke være en måde for os at afvise den eller at beskytte de involverede personer, i det tilfælde at de russiske forsikringer fra deres myndigheder er løgn og opspind.

  • Der er også det problem, at Danmark ved at udlevere oplysninger kan bidrage til en retsforfølgning i et andet land, der ikke overholder menneskerettighederne, hvilket menneskerettighedsdomstolen allerede i andre sammenhænge har fastslået kan udgøre en krænkelse af menneskerettighedskonventionen.

  • Danmark kunne f.x ikke bistå et andet land med en mord,- terror,- eller narkoefterforskning, hvis der er mulighed for at den skyldige i det andet lan vil blive udsat for tortur, umenneskelig eller nedværdigende behandling eller blive idømt dødsstraf.

Så hvis Pakistan nu beder os om hjælp i en terrorsag, vil vi være afskåret fra at bistå dem i efterforskningen, hvis der foreligger risiko for at den fremmede terrorist risikerer tortur eller dødsstraf.

Der har været tilsvarende sager, hvor europæiske lande har måttet afstå fra at hjælpe lande med politiefterforskninger, hvor der forelå risiko for dødsstraf.

Og den slags problemstillinger vil helt sikkert opstå igen, hvis samtaletjenester baseret i Europa skal bistå myndighederne i andre lande.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017