EU kan kräva krypteringsnycklar till meddelandeappar

https://en.wikipedia.org/wiki/Slippery_slope

Det är som med de flesta förbud, det förstör bara för vanliga människor, de som vill hittar sätt att komma runt förbuden.

Saxat från förslaget:

"At the same time law enforcement is increasingly dependent on access to electronic evidence to effectively fight terrorism, organised crime, child sexual abuse(particularly its online aspects),as well as a variety of cyber-enabled crimes"

Visst, terrorism nämns men det är inte enda anledningen så det finns ingen mening att snöa in sig på just terrorism. Organised crime (väldigt brett) och child sexual abuse räcker väl...

Jag menar inte att skicka fysiska diskar utan att du kan kryptera ditt meddelande själv sen kan du skicka det över precis vilken tjänst som helst och vara säker på att det är säkert. Det görs redan idag för viktig data, industrihemligheter osv så det är inget nytt. Jag har aldrig varit på ett företag som tillåter dig att skriva hemligheter i klartext på tredje-parts-platformar så jag tycker hela den här vinkeln är ett icke-argument. Vill du skydda dina viktiga saker kommer du kunna göra det i framtiden också och jag ser inte att så värst mycket kommer ändras i praktiken med detta förslaget.

Whatsapp är mig veterligen e2e krypterat och det är precis det som facebook vill göra med messenger också. Och jo, det är framtiden där e2e-kryptering blir standard för alla stora platformar som är vad detta syftar att stoppa.

Men du är okej att ge dem makten att spärra in dig på livstid, frysa dina tillgångar, gå in i ditt hem och konfiskera allt du äger och rota igenom det, osv osv...

Jag håller med att det är sunt att vara skeptisk mot polisen men att ge dem tillgång till meddelande på stora platformar är knappast den 'farligaste' möjligheten vi har givit staten.

Vi kan dock helt klart ha en diskussion om vad som skall krävas innan de får utnyttja deras möjligheter och där är jag helt på din sida. Att en polis skall kunna utan vidare knappa in ditt namn på sin dator och få upp alla dina meddelanden är inte ett system jag vore för. Rimligtvis krävs minst ett domstolsbeslut, och det är inget tekniskt svårlöst problem att bygga in en sådan spärr.

Källa på att "alla krypteringsexperter tycker tvärtom" sen ligger det ju lite i en krypteringsexperts roll att vurma för hård kryptering också, så att många är på den sidan är inte direkt förvånande...

Det är faktiskt det det handlar om, läs förslaget som länkats. Diskussionen om hur framtidens internet kommer se ut med avseende på kryptering här handlar om ifall det kommer vara möjligt att läsa datan eller ej. I dagsläget går allting mot mer och hårdare kryptering och den utveckling kommer knappast stanna av sig själv för det är klart att alla vill ha sitt privatliv maximalt skyddat inte sant? det är ett enkelt försäljningsargument för en meddelandetjänst. Lagstiftar vi inte om annat kommer ALLT vara krypterat till slut; det är vad detta handlar om.

Vi måste som sagt skilja på möljligheten att läsa data och tillämpning av möjligheten. Förslaget handlar om möjligheten ej tillämpningen.

"Encryption is a necessary means of protecting fundamental rights and the digital security of governments, industry and society. At the same time, the European Union needs to ensure the ability of competent authorities in the area of security and criminal justice, e.g. law enforcement and judicial authorities,to exercise their lawful powers, both online and offline"

"Protecting the privacy and security of communications through encryption and at the same time upholding the possibility for competent authorities in the area of security and criminal justice to lawfully access relevant data for legitimate, clearly defined purposes in fighting serious and/or organized crimes and terrorism, including in the digital world, are extremely important. Any actions taken have to balance these interests carefully."

Då önskar jag att du redogör för hur ett sådant system skulle se ut så att vi kan peka ut svagheterna för dig. Ta hjälp av eller åtminstone fråga någon av de säkerhetsexperter du har tillgång till om det är möjligt att göra utan någon slags huvudnyckel eller medvetet svagt krypto, för att inte heller glömma den mänskliga faktorn eller Murphy's law.

Tänker att det ändå borde bygga på en öppen standard isåfall, så det är lika bra att sätta igång arbetet. För om det redan finns en framtagen standard så har jag inte hört/läst om den?

Eller ska vi lita på NSA kanske? Hört att de är duktiga på att ta fram robusta krypton och säkerhetslösningar i stort...

Det är fascinerande och skrämmande att lyssna på "chefer" som på Trump och pointy head boss-manér tror att de förstår sig på tekniken och att det bara är att lösa. Då ska de också kunna ge en övergripande modell över hur det ska gå till, annars har de ingen trovärdighet öht..

Det är häri problemet ligger, vad du pratar om ovan är ingen teknisk lösning utan en organisatorisk.

För att ovan öht ska fungera måste du tekniskt bygga in en svaghet i krypteringen som ovan men då också även andra ej tilltänkta tredjepartsaktörer kan dra nytta av.

Skillnaden mellan detta och nuvarande lösning som finns på plats med trojaner är skalan det enkelt kan utnyttjas på.

Finns det en teknisk möjlighet att nyttja en sårbarhet i större skala än ursprungligen avsett så kommer det att göras. Att infektera ex befintliga telefoner med trojaner är en mer småskalig insats i likhet med "wiretapping" som liknats med i tråden. Det skulle förvisso gå att infektera en större mängd telefoner i försäljningsledet också men det skulle vara svårare att komma undan med oupptäckt.

Det verkar ju vara end-to-end -kryptering de vill förbjuda. Det betyder att någon annan kommer att ha nyckeln. Detta kommer att missbrukas såklart - alternativt så attackerar man leverantören eller vem som nu innehar "huvudnyckeln" till den bakdörr som måste byggas in.

Glöm inte att man precis har gett myndigheterna rätt att hacka mobiler - det går fort utför nu. Vem blir ansvarig för att din telefon råkar bli grönsak när de vid avslutad utredning (du kanske bara var misstänkt) ska försöka avinstallera den mjukvara de injicerat i den? Vem blir ansvarig när 3:e part lyckas använda myndigheternas "verktyg"? Hur verifierar myndigheterna att mjukvaran verkligen avinstallerats efter att dom sågat av grenen som satt på?

Nej, men poängen är att alla resonerar inte som dig. Jag håller inte på med olagligheter heller, men jag vill inte att någon skall ha möjlighet att kolla vad jag skriver. Oavsett om de kommer göra det eller inte.

Poängen här är att när bakdörrar implementeras så kommer det förr eller senare missbrukas eller utnyttjas av obehöriga.
Detsamma gäller argumentet för videokameror. Skulle du ha något mot att de monterades upp hemma hos dig och strömmade allt till en server som polisen bara fick gå in och titta på vid misstanke om brott?

Jag skulle kunna mig precis lika naken med kameror riggade hemma som att ha vetskap om att mina meddelanden är oskyddade.

Det hindrar inte kriminella att fortsätta ha det, för någon som begår allvarliga brott lär knappast lyda denna lagen, eller så kör de bara kodord som de kommit överens om i förhand. Men skulle du också kalla den äldsta formen av kommunikation för kriminell frizon, prata med någon öga till öga? Det har alltid varit en möjlighet och skulle vara grovt orolig om den rätten avskaffas. För med det som argument så är muntlig kommunikation minst lika motiverat att avlyssna alla på och sedan lovar några tusentals personer i alla möjliga nationer att aldrig titta på den sparade datan som kan sparas för evigt.

Men det största problemet handlar inte om att polisen kan få insyn. Det största problemet är att man avsiktligt förstör möjligheten till säker kommunikation. Då tvingar man företag att ha nycklarna till all kommunikation som sker på deras platform och det blir inte en fråga om utan när det läcker. Det är inte jämförbart med att lyssna på någons telefonsamtal heller då nycklarna tillåter avlyssning på inte bara allt som någonsin har skickats utan också om läckan inte upptäcks eventuellt (beroende på implementation av nyckel rotationer) allt som kommer skickas. Telefonavlyssning är någonting som aktivit kopplas in och är metaforiskt jämförbart med att skära upp en resväska, medans detta är mer som TSA låset som till och med har oavsiktligt läckts av TSA själva. (Var iofs en värdelös hemlighet då i det fallet var det trivialt att göra reverse engineering, men det läckte ändå både från TSA och företag.)

Det räcker att en enda individ, antingen hos myndigheter eller inom företaget, får för sig att missbruka systemet så har allt fallit. Det är jämställbart med att ge varje individ med tillgång, tusentals, ett kuvert med allt alla användare någonsin skrivit och sedan hoppas att de inte öppnar det eller ger det till någon annan. Incitamenten är enorma för att missbruka det. Tänk bara hur mycket en mer auktoritär stat som Kina eller Ryssland hade betalt för den datan. På ställen där sådana här lagar redan har funnits har vi redan nu sätt vitt utspritt missbruk, och system som inte har E2E kryptering mellan klienter läcker data regelbundet.

Minst lika oroväckande är inte någon med dåliga avsikter utan bara inkompotens. Räcker att en enda individ av de har ett säkerhetshål så är dörrarna öppna. Med tanke på att det upptäcks hur många säkerhetshål som helst i allt från hårdvara till mjukvara regelbundet så är risken alldeles för hög. Vi ser ju även regelbunden inkompotens hur sekretessbelagda uppgifter hanteras, exempelvis 1177.

Det blir en fråga av när det läcker, inte om. Kan räcka att det är 10 år i framtiden så läcker allt du skriver idag och har skrivit, för du kan aldrig säkra att den krypterade datan försvinner. Det är poängen med end to end kryptering, datan i transport ska vara värdelös för alla utom avsändaren eller mottagaren. Men så fort nycklarna lagras någon annan stans också så får plötsligt datan ett enormt värde, ett värde som är relevant så länge nycklarna finns någonstans.

Jobbar med bland annat säkerhet kring sekretessbelagd myndighetsdata och detta gör mig grovt orolig. För när dörren finns där så kan man inte med säkerhet hindra andra från att använda den. Det kan vara allt från andra nationer, din egna nation, företag, vinst drivna hacking grupper eller kaos hacking grupper som bara släpper allt till hela världen. För kom ihåg att det gäller inte bara de nuvarande organisationerna som finns idag, utan också all framtida organisationer, regeringar etc som finns då datan kan lagras hur länge som helst. Finner det även väldigt oroväckande att vi får lagar som aktivt hindrar säkra tekniska lösningar.

Känner att jag har sagt det jag hade att säga här så för att undvika att bara älta samma poänger tänkte jag bara avsluta med att jag har stor förståelse för alla här som argumenterar "mot" mig och som är djupt oroade över hur bakdörrar kan missbrukas. Det ÄR en befogad oro och ska jag vara ärlig så tror jag att jag är minst lika orolig som er om hur detta kan komma att byggas.

Samtidigt har jag extremt svårt att se en framtid där polis och rättsväsende saknar spaningsmöjligheter på merparten eller tillslut all form av kommunikation och är minst lika rädd för vad det skulle innebära i form av oavklarade brott och rättssäkerhet. Jag tror helt enkelt inte den framtiden kommer accepteras av samhället. Förslaget från EU säger ingenting om hur detta problem skall lösas utan det är ett dokument som fastställer att det behöver lösas, vilket jag tror kommer bli ett faktum (förr eller senare) vare sig vi vill det eller ej.

Så jag tackar för mig och hoppas att ni som är mot mig på något vis får rätt i slutändan, även om det framstår som en utopi för mig hur det skulle gå till