Apr 29, 2017

Lagring av IP-adresser

Jeg leser at justisministeren vil lagre befolkningens IP-adresser - og at dette er vedtatt på partiets landsmøte.

Justisministeren er imponert over UK's "Investigatory Powers Bill", mere kjent som "snoopers charter", som gir "unprecedented surveillance power" til staten.

At dette er kjent ulovlig (av European Court of Justice  21.des.2016) ser ikke ut til å ha nådd ministeren eller det politiske landsmøtet ( - ei heller sjefs-cowboy'en i Kripos, iflg. samme artikkel.)
"På samme måte som at alle personer som bruker en telefon kan identifiseres med et telefonnummer, bør alle som er på internett kunne identifiseres gjennom en IP-adresse, sier Amundsen.......osv."

Ingen personer kan identifiseres med et telefonnummer. Derimot kan en teleoperatør identifisere hvilket abonnement som benyttes, dersom denne telefonen (som nyttes) har kjøpt teletjenesten hos denne operatøren. Men det er rimelig enkelt å nytte en telefon uten å gi fra seg "avsenderadressen".


For IP-adresser er det langt mere komplisert enn politikeren hevder.
Om en skal få til noe i nærheten av å kunne dra en analog med telefonnummer (i denne gitte konteksten) må en rulle ut IPv6-teknologi. Først da kan en få faste IP-adresser (for mobiler, PCer, etc.).
Og først da gir det mening å snakke om å "lagre IP-adresser".

Om en ikke oppgraderer nettet til nyere teknologi (IPv6) -  må en leve med at det gamle IPv4-adressefeltet er brukt opp.

I praksis betyr dette at mange personer vil ha samme IP-adresse - samtidig. Opptil flere tusen brukere kan dele samme IP-adresse innen samme nettverk (Dette avhenger av brukermassen og antall IP-adresser tilgjengelig for den gitte nettleverandøren.).

Mange telekom-selskaper utsetter ny teknologi og nytter "CGN" (Carrier-grade NAT). Dessverre - for dette er ingen god løsning, mildt sagt.


Ei heller er CGN god løsning for de som skal etterforske kriminalitet.

Situasjonen er ikke så overforenklet som justisministeren hevder. For det er ikke slik at "en IP-adresse tilhører en bruker på et gitt tidspunkt".

Dette er (noen av) problemene som en møter:
IP-adresse er ofte ferskvare. Dvs. en IP-adresse mister sin relevans under lagring.
Det er ikke gitt at en IP-adresse vil gi noe som helst av verdi.
Fordi:
I forbindelse med at IPv4-adresseområdet er "brukt opp" så har en utviklet nye metoder for å (ut)nytte IP-adresser (CGN).
I praksis betyr dette at en IP-adresse ikke lengre identifiserer et endepunkt. (Et endepunkt er det en leter etter, for å finne eksempelvis hvor data-transaksjoner har sin opprinnelse.) Metadata (IP-adresse, dato/tidsstempel, etc.) er kun en temporær identifikasjon, og da med gyldighet for det korte tidsrommet transaksjonen varer. 
Og om ikke dette er nok så kan en transaksjon skifte IP-adresse mens transaksjonen pågår. 
Teknologien er komplisert og Internets Security and Stability Advisory Committee har derfor publisert en egen rapport om endringene relatert semantikken for IP-adresser.)

I rapport sent 2016 skrev Europol at CGN er involvert i opp til 90% av tilfellene som etterforskes, og med dertil tilhørende problemer for å identifisere brukeren.


Problemet kan løses på to måter:

1) Politikernes metode: Overvåke absolutt alt (logge hva enhver bruker gjør, til ethvert tidspunkt, hvor de er, når, osv.)
For å kunne lagre IPv4-adresser mot en gitt bruker når CGN er brukt, må en lagre adskillig mye mere om brukeren enn hva eksempelvis DLD krevde. (Avh. av programvare må en linke sammen endepunktene også.)
Denne metoden er svært kostnadskrevende, både i pengeverdi og samfunnsverdi (den er svært intrusiv), teknologisk hypotetisk  - og - det bryter med flere lover (sier også European court of justice).

2) Faglige metode: Implementere IPv6, og fjerne NAT
Dette vil gi store besparelser for de som etterforsker kriminalitet som involverer IP-adresser - og - det krever ingen, absolutt ingen, lagring av brukernes aktiviteter.
I tillegg er det (IPv6) en nødvendig løsning for teknologi som allerede er få vei inn i samfunnet.
En burde ha startet dette for lengst - det er ikke gjordt over natta.




Apr 7, 2017

Personidentifikator



Finansdepartementet har fremmet forslag om ny personidentikator som skal erstatte nåværende fødselsnummer.
Dagens identifikasjonsnummer (fødselsnummer, 11 siffer) har begrensninger for fremtidig befolkningsvekst.
Den nye personindikatoren tenkes gjennomført over 10 år og skal ha kapasitet for 100+ år fremover.


Regjeringen skriver i høringsnotatet
Et av de absolutte kravene til en ny personidentifikator er at den skal oppfylle regelverk for personvern. Dagens personidentifikator er informasjonsbærende gjennom å inneholde informasjon om kjønn og fødselsdato.

Dette er også et godt utgangspunkt for tilrettelegging av fremtidig digitalisering, hvor både sikkerhet og personvern kan få fokus fra startfasen.
Stortinget har tidligere besluttet at digitale løsninger skal ha innebygget personvern. (se også Stortingsmelding 11 (2012–2013) Personvern – utsikter og utfordringar ).
Innebygget personvern må legges inn fra starten, dvs. at det er i design- og utviklingsfasen en bygger inn funksjonalitet som ivaretar personvernet.



En ny personindifikator bør være informasjonsløs.

Folkeregisteret inneholder mye data om individet, inklusive personindikator, kjønn og fødselsdato, tilgjengelig for de myndighetsfunksjoner som har legitimt behov for disse opplysningene.

At fødselsdato (og kjønn) "er allment tilgjengelige", er ikke begrunnelse for å inkludere denne informasjon i en unik personidentifikator.


Kjønnsløs indikator foreslås i høringsnotatet.
En kan anta at dette også blir lovpålagt i det tidsperspektivet ny personidentifikator har, og flere land har allerede innført et tredje kjønn. (ref.?)

Det foreslås at "kjønnsindikator i eksisterende personnummer  blir slått av" men at eksisterende personidentikator beholdes, mens nye tildelinger vil skje etter ny modell (side 17 i høringsforslaget).
Dette forklares ved at sifferet for kjønnsindikatoren ikke lengre skal anses å ha betydning ("brukere av personidentifikatoren ikke kan legge til grunn kjønnet"), men forblir uendret.
Da er ikke personidentikatoren kjønnsnøytralt for de med allerede eksisterende fødselsnummer.

Kjønn kan også endres underveis i livet, og oppdateres i Folkeregisteret. Kjønnindikator hentes fra Folkeregisteret når nødvendig, iflg. høringsforslaget.


Fødselsdato foreslås bevart, med begrunnelse at dette ikke er brudd på gjeldende regelverk for personvern.
Skattedirektoratet har lagt til grunn at fødselsnummeret er allment tilgjengelige, men peker på at det er utbredt oppfatning om at fødselsnummeret er hemmelig og dette alene kan gi adgang til andre opplysninger. Direktoratet understreket at fødselsnummeret kun skal anvendes som en identifikator og ikke for autentisering. Det innebærer at ved rett bruk skal det ikke kunne gis ut beskyttede opplysninger om personer ved kun å oppgi fødselsnummeret

Fødselsdato oppdateres i Folkeregisteret, og bør derfor hentes derfra, om legalt nødvendig.

Det fremgår at fødselsdato kan være vanskelig å fastslå for en del innvandrere/asylsøkere og/eller at fødselsdato blir fastsatt eller endret når (ny) dokumentasjon foreligger.
Om fødselsdato søkes fra Folkeregisteret vil en også slippe å måtte endre personidentifikator når fødsesdato endres.

Som eksempel for behov for fødselsdato nevnes at bank har behov for å vite om person er over 18år ved eventuell søknad/innvilging av lån.
Som ved kjønnsindikator kan det her søkes i Folkeregisteret etter "er personidentifikator over 18 år (Ja/Nei)".
En bør også legge inn slik funksjonalitet i en elektronisk ID (eID), hvor en kun gir minimalt med nødvendig opplysning.

Fødselsdato er overflødig informasjon i en unik personidentifikator


Digitalisering, elektronisk ID (eID) og sektorvis indifikator

Det er viktig å velge en personidentifikator som ivaretar behovet for personvern i den gitte konteksten denne indikatoren vil/kan bli brukt.
Da må en også vurdere hvordan dette skal håndteres ved eID. Ved ny personindifikator har en unik mulighet til å få en teknologisk moderne, personvennlig og skalerbar elektronisk e-identitet.

Regjeringens forslag vurderer innebygget personvern som en unødig kostnad og potensialet i den digitaliserte fremtiden vurderes ikke i høringsforslaget.
Kostnader samt at (deler av) finansnæringen har gammel (legacy) maskinpark fremmes som vektige argumenter mot personvern-vennlig, informasjonsløs personindifikator.


Et annet argument Regjeringen har mot innebygget personvern, er at det da blir vanskeligere å krysskople persondata fra forskjellige sektorer.
Men det er nettopp grunnet digitalisering at innebygget personvern (privacy by design) er vitalt. Både for å forhindre ukontrollert formålsutglidning ved krysskobling og for å ivareta individets personvern.



Dette skriver Skattedirektoratet:
Sektorvise identifikatorer innebærer at personer ikke har en felles personidentifikator, men flere ulike, avhengig av tjenesteområde. En person har f.eks. en identifikator for helsesektoren, en for politiet, en for kommunale tjenester osv. I Europa praktiseres denne løsningen av Østerrike.
....... 
Dette er en alternativ måte å organisere personinformasjon på, som noen vurderer bedre med hensyn til personvern. Sektorvis identifikator gjør det vanskeligere å sammenstille informasjon fra ulike virksomheter/sektorer og følgelig sette sammen flere opplysninger om enkeltpersoner. 
Denne modellen avvises med bakgrunn i innspill fra viktige primærinteressenter (referansegruppen).Det er store fordeler knyttet til den norske og skandinaviske modellen med å ha en primærnøkkel for kommunikasjon og samhandling mellom virksomheter på tvers av sektorer. Et felles fødselsnummer bidrar til effektivisering av offentlig forvaltning og øker mulighetene for å utvikle digitale tjenester bl.a. annet basert på offentlige grunndata.


En modell, hvor data om person (eller data akkumulert om person) krysskoples via en unik identitet, vil ikke gi nødvendig tillit til det offentlige's digitale løsninger.
(Digitale tjenester basert på offentlige grunndata har heller ikke behov for personidentifiserbare data)



Sikkerhet og personvern


Når en planlegger for de neste 100+ år, så må en ta nye, og mere fremtidsrettede hensyn enn de som forelå da en innførte fødselsnummer for papir-basert administrasjon. En må forebygge for både kjente og ukjente muligheter.

Eksempelvis, så vet vi at denne modellen ikke er digitalt bærekraftig, hverken for sikkerhet eller for personvern: (klikk for større bilde):




Elektronisk ID må kunne håndtere både anonymitet, psedonymer og/eller reell identitet for de tjenester en benytter sin eID mot, og ikke gi ut mere informasjon en strengt nødvendig for den gitte tjenesten.
En eID kan heller ikke knyttes mot en spesiell 3je-part (eksempelvis mobilleverandøren) om elektronisk ID skal kunne nyttes av alle norske borgere (i inn- og utland).


ENISA (European Union Agency for Network and Information Security) har utgitt noen retningslinjer for best praksis ved utarbeidelse av unike ID'er for personer da elektroniske ID-kort ble tatt i bruk i Europa (eID). Østerike er et av landene som har vært bevisst hvilken risiko eID medfører, mens "den norske modellen" henger etter de beste løsningene.

Et lite utvalg fra ENISA om risikoelementer en må skalere for:
This implies a set of risks to the privacy of the citizen, via the unwanted disclosure of personal information and its subsequent misuse.It is fundamentally important to address these risks, first and foremost because they represent a threat to the fundamental human rights of the citizen as enshrined in Article 8 of the European Convention on Human Rights [23], particularly in cases where card possession is compulsory or strongly encouraged by enabling compelling or even essential services. Another consideration for governments is that threats to privacy strongly demotivate citizens from using a scheme. This makes adequate privacy protection a sine qua non in countries where the ID card is optional, but even where its possession is compulsory, privacy risks will affect the card’s degree of usage and decrease its popularity, making enforcement of any obligations more difficult.For this reason, all existing and planned schemes already specify at least some privacy features to protect card holders against unwanted disclosure and abuse of personal information.

Risk
The main assets at risk in eID card scenarios are usually the personal information and anonymity of the citizen. Loss of these assets can put at risk secondary assets such as physical property, financial assets, reputation (e.g. in the case where the card is used for identity theft) and the right to be left alone (via spam etc...). 
Side-channel attach : information leaked through so-called side-channels to gain access to private data. This additional information could be the timing of signals, power consumption, or radiation. location tracking, behaviour tracking 
Privacy-respecting use of Unique Identifiers (UIDs): unique identifiers are strings which allow applications to distinguish between individual citizens (citizen-specific UID) or their identity cards (card-specific UID). A card-specific UID changes when a new card is issued to the citizen. Identifiers have to be used very carefully in order to avoid privacy risks. A well-designed UID scheme might offers more privacy than for example using a social security number or the combination of name and date of birth as UID. In general, the more a UID is linkable to useage in other transactions (using the card, or otherwise), the less privacy it offers. It is important to note that individual static data on the card, like a public key or even an encrypted data block has all the attributes of a UID if it is unique.  
Domain-specific UID (or sector-specific UID or sector-specific personal identifiers): The use of different identifiers in different application domains helps prevent merging databases. Domain-specific identifiers can be derived from (secret) identifiers held by a trusted central issuer. 
Selective Disclosure: A commonly accepted privacy principle is that data disclosed should be the minimum required for the stated purpose. For example, this is an axiom of EU data protection law ([23], Article 7). In order to respect this principle, the card should not disclose more information than has been asked for by the requesting application. For example if the requesting application only requires the name of the card holder, the card should not give access to the user’s address.  
Verify-only mode: a simple case of selective disclosure is verify-only mode where instead of disclosing the actual value of a field, a yes-no answer is given for whether a query is satisfied – e.g. whether age is greater than a certain value or a biometric matches (with a given probability) a certain template.  ....



Oppsummert: 
En ny personidentifikator bør være informasjonsløse (og ikke innholdsbærende).

En bør se på sammenhenger og interaksjonen mellom modernisering av Folkeregisteret, ny personidentifikator og fremtidig eID.

Tilgang til informasjon om person må begrenses til kun de/den myndighet som har reell behov for den gitte informasjon - og/eller kun til den eller de personen selv velger å dele slik informasjon med (ref. EU's lovgivning)



Referanser:
1) Finansdep - Høringsnotat -Forslag til ny personidentifikator  23/3/2017

2) Rapport fra Skattedirektoratet - Konseptvalgutredning - Ny personidentifikator i Folkeregisteret

3)Dovre Group / Transportøkonomisk institutt - Ny personidentifikator i Folkeregisteret- Rapport til Finansdepartementet

4) EU prosjekt FIDIS (hvor også Østerike deltok i prosjektarbeidet )

5) Comparing privacy in eID schemes,
U-Prove, Idemix, eID for Germany and France
Østerike's Borgerkort 

6) forslag om endring av Folkeregisteret september 2016: Regjeringen foreslår ny folkeregisterlov

7) ENISA Position Papers - Privacy Features of European eID Card Specifications 2009

8) Privacy-enhanced PKI tokens:
U-Prove (bought by MicroSoft)
Idemix (IBM) Identity Mixer

9) Fødselsdata er sensitive og bør være private ,   fra EFF 2009