Pages

Jun 6, 2020

Tilrettelagt innhenting - omgåelse av kryptering? (TI aka DGF)

Vedr, Prop.80 L Tilrettelegging av grenseoverskridende kommunikasjon
"I Prop. 80L §7 legges det opp til muligheter for at e-tjenesten kan aksessere all trafikk som ikke er ende-til-ende kryptert. Potensielt også avlesing av ende-til-ende trafikk, avhengig av forskrifter vedr. tilrettelegging.
Jeg vet ikke om det er intensjon å utnytte mulighetene lovreguleringen her åpner for, men jeg antar at mange av Stortingets medlemmer ikke er bevisst at dette faktisk er konsekvensen.
Generelt er tilretteleggelse og tilgang til ukrypterte data uklart og kan fremstå som altomfattende.
Lovforslaget (§ 7-2 e) har en tvetydig tekst som, i realiteten, tillater bakdør til kryptering, inklusive potensiell aksess til ende-til-ende kryptering.
Mange høringsbesvarelser fra 2018 påpekte at dette måtte spesifiseres entydig, og da som "tilgang til kommunikasjon uten hinder av linkkryptering (for kabel mot grensekryssende kommunikasjon).
I Prop. 80L kan en lese følgende:
"Departementet mener at en tilbyder som har tilgang til en utvalgt kommunikasjonsstrøm i klar tekst, det vil si i ukryptert form, bør plikte å speile informasjonen ukryptert. Tilbyder skal dermed ikke selv legge på kryptering på kommunikasjons-strømmen før speiling. Siden tilbyderen har tilgang i klar tekst, mener departementet at det ikke er naturlig å karakterisere dette som støtte til omgåelse av kryptering"
Å pålegge en tilbyder å speile data slik det begrunnes her, er en omgåelse av kryptering (en bakdør), og svært forskjellig fra Lysne's "tilgang til datastrømmer før L2-linkkryptering". (L2 linkkryptering er en teknologinøytral betegnelse) .
Departementet sier også 
"... departementet mener at det samme må gjelde kryptering som fyller samme funksjon som linkkryptering, men uten å være knyttet til linknivået... som kan innebære  kryptering på andre nivåer enn linknivået."
En nett-/tjeneste-tilbyder kontrollerer bl.a. virtuelle private nettverk (VPN), WiFi, WAN, osv. og diverse tjenester som er vitale for business over internet, og hvor kryptering på “andre nivåer” er essensielt for integritet og sikkerhet.
L2-linkkryptering legges utenpå all annen kryptering, og det er kun dette ytterste skallet med kryptering som Lysne anbefalte tilgang til, mens departementet vil ha aksess også til “andre nivåer” i nettet.
Oppsummert:
tilgang til kommunikasjon uten hinder av linkkryptering" er teknologisk entydig. 
Mens § 7-2 e) 
tilgang til kommunikasjon uten hinder av linkkryptering eller tilsvarende kryptering som tilbyder kontrollereri praksis lovfester aksess til bakdør. At dette ikke skal “forringe” en tjeneste, er høyst kontroversielt.
Tvetydighet og den uspesifisert tilretteleggingsplikten i § 7-2 sammen med § 7-3 åpner potensielt også for bakdør til ende-til-ende kommunikasjon og betyr i prinsippet lovfestet fri tilgang til dataavlesing og avlytting m.m.
En merknad er at det er samme instans, dvs. samme departement som, under konfidensialitet, definerer metode for tilrettelegging, lager forskriftene og som er klageinstans.
Dette som foreslås, fremstår, rent datateknisk, som full tilretteleggelse av infrastruktur for masseovervåking, avlesing og avlytting av landets borgere, deres digitale aktiviteter og private kommunikasjon. 

Lovgiverne bør reflektere særdeles nøye og være seg bevisst den lovteksten de nå fremmer. 


Et velkjent sitat fra European Court of Human Rights:
"A system of secret surveillance for the protection of national security may undermine or even destroy democracy, under the cloak of defending it”



For utdypende forklaringer, juridisk, politiske og teknisk kompleksitet, bør en se til tilsvarende omgåelse av kryptering vedr. UK:
Deciphering the European Encryption Debate: United Kingdom  https://na-production.s3.amazonaws.com/documents/Transatlantic_Encryption_UK__Final.pdf
UK's new Snoopers' Charter just passed an encryption backdoor law by the backdoorhttps://www.theregister.com/2016/11/30/investigatory_powers_act_backdoors

Jun 3, 2020

Smittevern-App'er - Europa

Tidlig mars skriver Dagbladet  om en rekke fellestrekk mellom Norges og Kinas jakt på de corona-smittedes omgangskrets. UD fikk dokumentene, datert 28.januar, fra Kina.

Over hele Europa har land etter land, med få unntak, utviklet mere eller mindre tilsvarende app'er.

Norske varianten Smittestopp ble vurdert av Danmark, som fant løsningen å være svært intrusiv.
European Union Agency for Fundamental Rights (FRA) har samlet informasjon om alle smittevern app'ene i en rapport. Her vises også en vurdering av den løsningen Danmark valgte bort, dvs. norske SmitteStopp. Riktignok uten GPS lokasjonsdata i denne tabellen.  (klikk på bildet for større utgave).
En kan også merke seg at få land har adoptert Kina's funksjonalitet: overvåke om karantenebestemmelser overholdes. Eller, som FHI omtaler dette: "monitorere hvordan politikk endrer folks bevegelsesmønster"


FRA's rapport inneholder oversikt over alle de landene som hadde oppgitt data da rapporten ble skrevet.
Rapporten beskriver en rekke frihetsbegrensende tiltak over hele Europa, og er verdt å lese.






Referense:

Coronavirus pandemic in the EU – Fundamental Rights implications:
with a focus on contact-tracing apps