EU kan kräva krypteringsnycklar till meddelandeappar

Permalänk
Medlem
Skrivet av Lodisen:

De börjar med ett finger och tar armen.
Det kommer inte ta lång tid innan de kräver företag att implementera en master key så de kan snoka hejvilt.

I princip alla övervakningssystem som haft "Vissa" användningsområden har i princip alltid expanderats och använts mot medborgarna.

https://en.wikipedia.org/wiki/Slippery_slope

Permalänk
Medlem

Det absolut största tekniska problemet jag ser med detta är att de flesta SSL-kopplingar som sker idag är decentraliserade mellan de två enheter som förhandlar SSL, vilket innebär att EU kommer att behöva tvinga företag att centralt lagra alla privata nycklar som sker vi SSL-kopplingar. Detta är ett stort säkerhetsproblem av flera anledningar. Dels kommer sådana här saker kommer att bli tvugna att skickas till en central server via internet. sen om deras centrala server blir hackade så kommer privata nycklar för ALLA deras kunder att läckas ut. SSL är säkert till stor del just för att allting faktiskt sker lokalt på maskinen och inte centralt.

Jag har svårt att tro att detta kommer att gå igenom. De skapar mer problem åt privata företag än vad de löser för polisen. Men eftersom att EU ska lägga sig i både storlek och form på bananer och vilka snussorter som får lov att erbjudas och fylla internet med cookie popups så skulle det iofs inte förvåna mig om de även skulle få för sig att göra SSL mindre säkert.

Permalänk
Medlem
Skrivet av Ferrat:

Skulle nog snarare säga att många inte förstår än att de inte bryr sig, de flesta i min närhet (föräldrar, vänner etc) är allmänt emot att staten ska övervaka folk utan gränser och när förslag som detta o h maasövervakning kommer brukar de slås ner för att folk bryr sig.
Folk är även avtrubbade med konstanta utnyttjanden av offentlighetsprincipen, att använda tjänster som FB där du uppmanas att dela med dig allt, skrämselpolitik där man hävdar att det är enda lösningen mm.

När FRA kom så var det mycket debatt för att folk bryr sig, tyvärr har folk inte ork eller möjlighet att hålla på så ofta tar det bara ett par försök och lite ändring i text så kan de trycka ner allmänt ogillade förslag i halsen på folk.

Ja man kan inte göra annat än att utbilda dom oinsatta.

Permalänk
Medlem

Det är som med de flesta förbud, det förstör bara för vanliga människor, de som vill hittar sätt att komma runt förbuden.

Permalänk
Medlem
Skrivet av Triffid:

Mer herregud du bara gissar hej vilt ju

Det finns mängder av utredningar från polis att titta på där kriminella har avslöjat sig själva för att de inte haft 100%-ig anonymitet och kryptering av all data. Det är ju inte en allt eller inget situation utan även den smartaste brottslingen kan råka göra ett misstag, anlita någon som är mindre smart osv och på så vis läcka något känsligt som kan användas mot dem.

Anledningen, eller ursäkten om man så vill, till detta förslag är ju just terrorister, inte vanliga kriminella.

Det är förstås en fin tanke att göra det lättare för vanliga brottslingar att göra bort sig men snarare så tror jag att det skulle innebära en kapprustning mellan de kriminella och rättsväsendet. Idag är det ganska lätt att tro att man är mer skyddad än vad man faktiskt är men om alla vet på förhand att deras kommunikation inte är skyddad om de använder "kända plattformar" så kommer de förstås att flytta sin olagliga kommunikation någon annanstans.

Citat:

Det är ju helt befängt att bara anta att alla eller ens en majoritet av brottslingar har disciplin och kunskap nog att åstadkomma 100%-ig anonymitet på vad de gör och säger online idag.

Det är inte vad jag säger. Snygg halmgubbe. Men om man planerar ett större brott eller en terroristaktion så gör man inte det över vanliga plattformar eller hade i alla fall inte gjort det om rättsväsendet hade haft åtkomst till dem.

Citat:

Det finns fler brottslingar än just terrorister. Gängvåld tex är väl ett bra mycket mer relevant hot där dessutom de involverade inte är kända för att vara speciellt smarta, ofta postar de t.o.m. filmer och videos på just facebook som idag är okrypterat. Hur många gånger i närtid har vi inte läst om att en gärningsman postat en video av tom själva brottet på facebook som sen har använts i bevisningen? nä, din tes om att alla brottslingar skulle vara masterminds är inte speciellt övertygande...

Det är inte min tes. Brottslingar är generellt inte direkt de smartaste, speciellt inte på "lägre" nivåer, vilket är tur för det är inte poliser heller tyvärr.

Citat:

Jag antar att ditt företag helt enkelt får hålla sig borta från att prata om industrihemligheter på whatsapp och facebook. Jag rekommenderar er att slänga ihop en egen tjänst på 30min (som någon sa ) för den typen av kommunikation, eller ännu bättre kryptera själva datan lokalt och avkryptera på andra sidan.

Vi använder Teams. Att bygga något eget för att skicka krypterade meddelanden eller filer hade förstås varit görbart men det krävs lite mer för att organisationen ska fungera. Jag vill inte tillbaka till att skicka diskar över världen med bud för att poliserna vill göra sitt jobb aningen enklare helt enkelt. Du kanske tycker det är värt det.

Citat:

Argumentet är att det inte skall bli ett safe-space. inte att det är det idag.

Men varför skulle det bli det? Det är som sagt inte det idag, och ingen pratar om att exempelvis e2e-kryptera hela facebook eller något sånt.

Citat:

Jag har univeristetsutbildning med inriktning på IT-säkerhet samt arbetat 6 år med bl.a. säkerhet för företag och jobbar numera med onlinesystem för bank och internetbetalningar. Jag må inte vara någon säkerhetsexpert, men jag har haft mycket kontakt med sådana och jo, jag förstår tekniken tillräckligt bra för denna diskussionen.

Jag har också pluggat IT-säkerhet men är långt ifrån en expert. Men jag tror att skillnaden ligger i utgångsläget. Jag litar inte på polisen av diverse anledningar. Jag litar inte på att de skulle kunna sköta om ett sånt här system utan att "läcka" allt viktigt, för jag har sett de arbeta med liknande saker. Jag litar inte på att de kan hålla sig från att fabricera bevis då jag har sett dem göra det, och detta hade förstås ökat deras möjligheter att göra det. Jag litar inte på att de kan hålla sig från att kontrollera sina partners, ex, barn eller så när de har möjligheten att göra det, för de gör de ju redan idag. Jag litar inte på att polisen kan hitta infiltratörer i sin organisation som kan plocka ut uppgifter om konkurrenter, för det sker ju redan idag.

Citat:

Vad jag sa är att man kan bygga det "tillräckligt säkert". Finns mängder av tillvägagångssätt för att minimera risk och impact. Det behöver absolut inte existera någon "huvudnyckel" som gör att du kan avkryptera vad som helst om du lyckas komma över den.

Alla krypteringsexperter tycker tvärtom, men har du en bättre teknisk lösning så fram med den. Som jag ser det så innebär den här lagen att leverantörer måste på något sätt bygga in bakdörrar. Om det är leverantören som håller i dem eller rättsväsendet gör ingen skillnad. Oavsett så har de inte perfekt säkerhet så nycklar och verktyg kommer att läcka ut. De har gjort det förut och de kommer fortsätta att göra det. Spelar ingen roll om det är NSA eller SÄPO eller för den delen Google som håller i dem.

Citat:

Syftet är att inte ge kriminella automatisk kryptering på allt de gör. Syftet är att polis även i framtiden skall kunna genomföra brottsutredningar med chans att klara ut brottet. Det är ett otroligt konstigt argument att säga att bara för att det är genomförbart för en smart kriminell att kryptera sin data skall vi ta bort alla möjligheter att läsa deras data.

Nej syftet är att hindra terroristaktioner.

Men oavsett så handlar det inte om att "vi ska ta bort alla möjligheter att läsa deras data" utan att vi ska låta folk själva välja om de vill ha säker kommunikation eller inte. Polisen har som sagt redan möjligheter att installera trojaner som kringgår all form av kryptering på klientsidan och det räcker rätt långt.

Citat:

Givetvis kommer det inte finns "en master key för krypteringen".

Men det är ju det de efterfrågar. Inte en för alla tjänster förstås, det är ju löjligt, men en nyckel så att de kan spana på kommunikationen som sker i realtid. Har du läst Snowdens bok? Jag tror inte det för då hade du inte framfört de här argumenten, men den är värd att läsa i alla fall.

Permalänk
Medlem

Vem som helst kan hosta sin egen Matrix Synapse-server eller Jabber/XMPP-server med end-to-end kryptering. De kan sedan använda Element-meddelande-appen(föredetta riot.im) eller valfri XMPP-klient med stöd för e2e kryptering.

Att använda en egen dator som server, hyra en server i eller utanför EU är inte svårt. Tar någon eller några timmar att sätta upp servern. Eller så kan man hyra en färdigkonfigurerad server.

De försöker trycka tandkrämen tillbaka in i tuben.

Permalänk
Medlem
Skrivet av snajk:

Anledningen, eller ursäkten om man så vill, till detta förslag är ju just terrorister, inte vanliga kriminella.

Det är förstås en fin tanke att göra det lättare för vanliga brottslingar att göra bort sig men snarare så tror jag att det skulle innebära en kapprustning mellan de kriminella och rättsväsendet. Idag är det ganska lätt att tro att man är mer skyddad än vad man faktiskt är men om alla vet på förhand att deras kommunikation inte är skyddad om de använder "kända plattformar" så kommer de förstås att flytta sin olagliga kommunikation någon annanstans.
Det är inte vad jag säger. Snygg halmgubbe. Men om man planerar ett större brott eller en terroristaktion så gör man inte det över vanliga plattformar eller hade i alla fall inte gjort det om rättsväsendet hade haft åtkomst till dem.
Det är inte min tes. Brottslingar är generellt inte direkt de smartaste, speciellt inte på "lägre" nivåer, vilket är tur för det är inte poliser heller tyvärr.

Saxat från förslaget:

"At the same time law enforcement is increasingly dependent on access to electronic evidence to effectively fight terrorism, organised crime, child sexual abuse(particularly its online aspects),as well as a variety of cyber-enabled crimes"

Visst, terrorism nämns men det är inte enda anledningen så det finns ingen mening att snöa in sig på just terrorism. Organised crime (väldigt brett) och child sexual abuse räcker väl...

Skrivet av snajk:

Vi använder Teams. Att bygga något eget för att skicka krypterade meddelanden eller filer hade förstås varit görbart men det krävs lite mer för att organisationen ska fungera. Jag vill inte tillbaka till att skicka diskar över världen med bud för att poliserna vill göra sitt jobb aningen enklare helt enkelt. Du kanske tycker det är värt det.

Jag menar inte att skicka fysiska diskar utan att du kan kryptera ditt meddelande själv sen kan du skicka det över precis vilken tjänst som helst och vara säker på att det är säkert. Det görs redan idag för viktig data, industrihemligheter osv så det är inget nytt. Jag har aldrig varit på ett företag som tillåter dig att skriva hemligheter i klartext på tredje-parts-platformar så jag tycker hela den här vinkeln är ett icke-argument. Vill du skydda dina viktiga saker kommer du kunna göra det i framtiden också och jag ser inte att så värst mycket kommer ändras i praktiken med detta förslaget.

Skrivet av snajk:

Men varför skulle det bli det? Det är som sagt inte det idag, och ingen pratar om att exempelvis e2e-kryptera hela facebook eller något sånt.

Whatsapp är mig veterligen e2e krypterat och det är precis det som facebook vill göra med messenger också. Och jo, det är framtiden där e2e-kryptering blir standard för alla stora platformar som är vad detta syftar att stoppa.

Skrivet av snajk:

Jag har också pluggat IT-säkerhet men är långt ifrån en expert. Men jag tror att skillnaden ligger i utgångsläget. Jag litar inte på polisen av diverse anledningar. Jag litar inte på att de skulle kunna sköta om ett sånt här system utan att "läcka" allt viktigt, för jag har sett de arbeta med liknande saker. Jag litar inte på att de kan hålla sig från att fabricera bevis då jag har sett dem göra det, och detta hade förstås ökat deras möjligheter att göra det. Jag litar inte på att de kan hålla sig från att kontrollera sina partners, ex, barn eller så när de har möjligheten att göra det, för de gör de ju redan idag. Jag litar inte på att polisen kan hitta infiltratörer i sin organisation som kan plocka ut uppgifter om konkurrenter, för det sker ju redan idag.

Men du är okej att ge dem makten att spärra in dig på livstid, frysa dina tillgångar, gå in i ditt hem och konfiskera allt du äger och rota igenom det, osv osv...

Jag håller med att det är sunt att vara skeptisk mot polisen men att ge dem tillgång till meddelande på stora platformar är knappast den 'farligaste' möjligheten vi har givit staten.

Vi kan dock helt klart ha en diskussion om vad som skall krävas innan de får utnyttja deras möjligheter och där är jag helt på din sida. Att en polis skall kunna utan vidare knappa in ditt namn på sin dator och få upp alla dina meddelanden är inte ett system jag vore för. Rimligtvis krävs minst ett domstolsbeslut, och det är inget tekniskt svårlöst problem att bygga in en sådan spärr.

Skrivet av snajk:

Alla krypteringsexperter tycker tvärtom, men har du en bättre teknisk lösning så fram med den. Som jag ser det så innebär den här lagen att leverantörer måste på något sätt bygga in bakdörrar. Om det är leverantören som håller i dem eller rättsväsendet gör ingen skillnad. Oavsett så har de inte perfekt säkerhet så nycklar och verktyg kommer att läcka ut. De har gjort det förut och de kommer fortsätta att göra det. Spelar ingen roll om det är NSA eller SÄPO eller för den delen Google som håller i dem.

Källa på att "alla krypteringsexperter tycker tvärtom" sen ligger det ju lite i en krypteringsexperts roll att vurma för hård kryptering också, så att många är på den sidan är inte direkt förvånande...

Skrivet av snajk:

Men oavsett så handlar det inte om att "vi ska ta bort alla möjligheter att läsa deras data" utan att vi ska låta folk själva välja om de vill ha säker kommunikation eller inte.

Det är faktiskt det det handlar om, läs förslaget som länkats. Diskussionen om hur framtidens internet kommer se ut med avseende på kryptering här handlar om ifall det kommer vara möjligt att läsa datan eller ej. I dagsläget går allting mot mer och hårdare kryptering och den utveckling kommer knappast stanna av sig själv för det är klart att alla vill ha sitt privatliv maximalt skyddat inte sant? det är ett enkelt försäljningsargument för en meddelandetjänst. Lagstiftar vi inte om annat kommer ALLT vara krypterat till slut; det är vad detta handlar om.

Skrivet av snajk:

Men det är ju det de efterfrågar. Inte en för alla tjänster förstås, det är ju löjligt, men en nyckel så att de kan spana på kommunikationen som sker i realtid. Har du läst Snowdens bok? Jag tror inte det för då hade du inte framfört de här argumenten, men den är värd att läsa i alla fall.

Vi måste som sagt skilja på möljligheten att läsa data och tillämpning av möjligheten. Förslaget handlar om möjligheten ej tillämpningen.

"Encryption is a necessary means of protecting fundamental rights and the digital security of governments, industry and society. At the same time, the European Union needs to ensure the ability of competent authorities in the area of security and criminal justice, e.g. law enforcement and judicial authorities,to exercise their lawful powers, both online and offline"

"Protecting the privacy and security of communications through encryption and at the same time upholding the possibility for competent authorities in the area of security and criminal justice to lawfully access relevant data for legitimate, clearly defined purposes in fighting serious and/or organized crimes and terrorism, including in the digital world, are extremely important. Any actions taken have to balance these interests carefully."

Permalänk
Medlem
Skrivet av Goedendag:

Vem som helst kan hosta sin egen Matrix Synapse-server eller Jabber/XMPP-server med end-to-end kryptering. De kan sedan använda Element-meddelande-appen(föredetta riot.im) eller valfri XMPP-klient med stöd för e2e kryptering.

Att använda en egen dator som server, hyra en server i eller utanför EU är inte svårt. Tar någon eller några timmar att sätta upp servern. Eller så kan man hyra en färdigkonfigurerad server.

De försöker trycka tandkrämen tillbaka in i tuben.

Har själv en instans och tänkte på precis det du tar upp, undrar verkligen hur de har tänkt tampas med det här för det krävs verkligen ingen expertkunskap för att komma igång med det. Jag kommer iallafall inte lämna över några krypteringsnycklar till EU...

Permalänk
Medlem
Skrivet av Triffid:

Det finns fler brottslingar än just terrorister. Gängvåld tex är väl ett bra mycket mer relevant hot där dessutom de involverade inte är kända för att vara speciellt smarta, ofta postar de t.o.m. filmer och videos på just facebook som idag är okrypterat. Hur många gånger i närtid har vi inte läst om att en gärningsman postat en video av tom själva brottet på facebook som sen har använts i bevisningen? nä, din tes om att alla brottslingar skulle vara masterminds är inte speciellt övertygande...

Jag har univeristetsutbildning med inriktning på IT-säkerhet samt arbetat 6 år med bl.a. säkerhet för företag och jobbar numera med onlinesystem för bank och internetbetalningar. Jag må inte vara någon säkerhetsexpert, men jag har haft mycket kontakt med sådana och jo, jag förstår tekniken tillräckligt bra för denna diskussionen.

Vad jag sa är att man kan bygga det "tillräckligt säkert". Finns mängder av tillvägagångssätt för att minimera risk och impact. Det behöver absolut inte existera någon "huvudnyckel" som gör att du kan avkryptera vad som helst om du lyckas komma över den.

Syftet är att inte ge kriminella automatisk kryptering på allt de gör. Syftet är att polis även i framtiden skall kunna genomföra brottsutredningar med chans att klara ut brottet. Det är ett otroligt konstigt argument att säga att bara för att det är genomförbart för en smart kriminell att kryptera sin data skall vi ta bort alla möjligheter att läsa deras data.

Givetvis kommer det inte finns "en master key för krypteringen".

Då önskar jag att du redogör för hur ett sådant system skulle se ut så att vi kan peka ut svagheterna för dig. Ta hjälp av eller åtminstone fråga någon av de säkerhetsexperter du har tillgång till om det är möjligt att göra utan någon slags huvudnyckel eller medvetet svagt krypto, för att inte heller glömma den mänskliga faktorn eller Murphy's law.

Tänker att det ändå borde bygga på en öppen standard isåfall, så det är lika bra att sätta igång arbetet. För om det redan finns en framtagen standard så har jag inte hört/läst om den?

Eller ska vi lita på NSA kanske? Hört att de är duktiga på att ta fram robusta krypton och säkerhetslösningar i stort...

Det är fascinerande och skrämmande att lyssna på "chefer" som på Trump och pointy head boss-manér tror att de förstår sig på tekniken och att det bara är att lösa. Då ska de också kunna ge en övergripande modell över hur det ska gå till, annars har de ingen trovärdighet öht..

Skrivet av Triffid:

Jag håller med att det är sunt att vara skeptisk mot polisen men att ge dem tillgång till meddelande på stora platformar är knappast den 'farligaste' möjligheten vi har givit staten.

Vi kan dock helt klart ha en diskussion om vad som skall krävas innan de får utnyttja deras möjligheter och där är jag helt på din sida. Att en polis skall kunna utan vidare knappa in ditt namn på sin dator och få upp alla dina meddelanden är inte ett system jag vore för. Rimligtvis krävs minst ett domstolsbeslut, och det är inget tekniskt svårlöst problem att bygga in en sådan spärr.

Det är häri problemet ligger, vad du pratar om ovan är ingen teknisk lösning utan en organisatorisk.

För att ovan öht ska fungera måste du tekniskt bygga in en svaghet i krypteringen som ovan men då också även andra ej tilltänkta tredjepartsaktörer kan dra nytta av.

Skillnaden mellan detta och nuvarande lösning som finns på plats med trojaner är skalan det enkelt kan utnyttjas på.

Finns det en teknisk möjlighet att nyttja en sårbarhet i större skala än ursprungligen avsett så kommer det att göras. Att infektera ex befintliga telefoner med trojaner är en mer småskalig insats i likhet med "wiretapping" som liknats med i tråden. Det skulle förvisso gå att infektera en större mängd telefoner i försäljningsledet också men det skulle vara svårare att komma undan med oupptäckt.

Permalänk
Medlem
Skrivet av Triffid:

Det är lätt idag också och terrorister och andra brottslingar blir faktiskt avslöjade för att de ofta varit oförsiktiga och råkat använda något som inte är hårt krypterat, om ALLT ÄR KRYPTERAT PER DEFAULT, vilket detta handlar om, ändras situationen markant.

2. Nu är detta ett förslag från EU att EUs underrättelsetjänster skall kunna avkryptera data om behovet är tillräckligt stort. Det är viss skillnad på EU och totalitära regimer. EU är det världsorgan som nog gjort enskilt mest för den privata integriteten (ex. GDPR) så du kan inte jämföra det med att Nordkorea skulle få tillgång, det är givetvis inte en del av förslaget.

Förslaget kommer från EU och handlar om EUs underrättelsetjänster. GIVETVIS innebär det inte att auktoritära regimer skall kunna begära ut datan.

Finns såklart en risk att eventuell implementation blir bristfällig. Det står i förslaget att de ämnar samarbeta med ledande i tech-branschen samt universitet för att komma fram till hur det skall lösas. Men givetvis, inget är riskfritt. Vill du vara säker skriv tjänsten själv

Det visar bara på att kriminella faktiskt inte är tillräckligt smarta då de idag åker dit till höger och vänster hela tiden pga SMS, emails och meddelanden de skickat över icke-krypterade kanaler.

Så nja, det må vara lätt att skriva en krypterad meddelandeapp men det är faktiskt jävligt svårt och kräver stor disciplin idag för att hålla allt man gör krypterat.

FRA är dock en helt annan sak. FRA handlade om vilka kriterier som skall uppfyllas för att få avlyssna, det handlade inte om ifall möjligheten ATT avlyssna skall tekniskt existera eller ej. Två vitt skilda saker.

Demokrati har inget med kryptering att göra. samhället blir inte mer icke-demokratiskt bara för att vi inte krypterar all kommunikation. Det blir heller inte mer demokratiskt av att kryptera all kommunikation.

Du har helt missuppfattat förslaget, men artikeln är rätt missvisande så det är inte märkligt. Rekommenderar att läsa själva förslaget

En tankeställare till er alla:

Ni har givit staten:

  • Möjligheten att konfiskera allt ni äger.

  • Möjligheten att ta alla era pengar och frysa era tillgångar.

  • Möjligheten att kroppsvisitera er.

  • Möjligheten att häkta och låsa in er.

  • Möjligheten att LÅSA IN ER FÖR ALL FRAMTID.

men möjligheten att läsa meddelanden som NI har självmant valt att skicka ut på stora platformar online.... får staten den möjligheten då är det anarki, dystopi, osv.

Det känns som att ni förväxlar MÖJLIGHETEN till att avlyssna med HUR det skall tillämpas. Förslaget från EU handlar om att möjligheten ej skall försvinna, det handlar inte om hur den möjligheten skall användas. Jag är först på rad med er att kämpa mot massövervakning, AI-övervakning eller andra sätt som inskränker på vår integritet. Men att säga att det skall vara fysiskt och tekniskt omöjligt för rättsväsende att avläsa meddelanden online, hur situationen än ser ut ? We'll just have to agree to disagree

Du får ursäkta om vi saknar förtroendet som krävs för att mottaga sådana här förslag med en positiv inställning.
Det är inte vår uppgift att bygga upp det förtroende som krävs, och EU har inte förvaltat sitt förtroende väl i sådana här frågor.
Om EU valt att strama åt tyglarna lite hårdare kring de lobbyister som legat bakom många av de urkassa förslag som historiskt sätt tillåtits rulla väldigt långt genom deras beslutsprocess, så skulle folk kanske inte kräkas inombords varje gång de hör "EU" och "övervakning" i samma mening.

Jag hoppas det blir bra i slutändan men ser tyvärr ingen anledning att vara passivt optimistisk; enda chansen att detta blir bra tror jag är om folk höjer sina röster och pressar politikerna och byråkraterna att granska ärendet extra noga. För politiker fattar massor av beslut i vitt skilda frågor dagarna i ända - det är tyvärr en konsekvens av hur vår styrelseform ser ut att de som bestämmer omöjligt kan göra sig själva väl insatta i alla olika typer av ärenden de måste fatta beslut i. Så när vi som väljare och demokratiska medborgare tycker att en fråga är extra viktig, måste vi höja våra röster så att politikerna får chansen att tjäna folket så bra som möjligt. På så vis kan de disponera sin begränsade tid för fördjupning kunskapsmässigt och förståelsemässigt, i enlighet med folkets vilja, till de frågor folket tycker är viktigare. Detta är folkets ansvar; yttra din åsikt (minoritet eller ej) då ingen politiker kan läsa dina tankar och ingen person kan avgöra vad som är demokratisk majoritet eller inte om folk ej gör sig hörda.

Tl;dr: Förtroende är en värdefull och begränsad resurs - "EU" är ett skadat varumärke när det kommer till övervakningsfrågor och tills den dagen då personerna som bär upp EU lyckas bevisa att de förtjänar vårt förtroende igen får de gott stå ut med att sitta i den smutsiga grop de själva grävt. Det är bra att vi för diskussion, men ingen bör säga till någon annan att sluta klaga, då folkets lovord och folkets klagosång är en viktig kompass i politikernas verktygslåda.

(PS. Det sista är generellt menat och inte specifikt riktat till personen jag citerade.)

Permalänk
Medlem
Skrivet av Kommenterande 2:

Hela idén med att det ska finnas en bakdörr är ju som gjord för att förenkla för skurkar att utföra man-in-the-middle-attacker.

Protokollet används även för intern kommunikation. Om https blev förbjudet skulle staten slå knut på sig själva.

Permalänk
Medlem

Rätt kul att det påstås att vara för att få fast kriminella.

Här har vi gäng som spärrar av gator, som säljer knark helt öppet på gator, klaner som intar hotell för "konferans och mingel" :P, och Polisen gör hur mycket då?

Får mer vibbar av det här som hon Bidens kompis AOC, som vill ha register på alla som supportat Trump under de tidigare åren, för att se till att "Lol at the “party of personal responsibility” being upset at the idea of being responsible for their behavior over last four years"
som hon skrev.

Permalänk
Medlem
Skrivet av Triffid:

"rätten till privatliv" är sist jag kollade förverkad när du är misstänkt för tillräckligt allvarliga brott inte sant? annars vore det omöjligt att läsa en brottslings post, avlyssna telefon, genomföra husrannsakan osv osv. Finns absolut noll anledning att det skall vara något specialfall med data jämfört med analoga kanaler. Det enda argumentet jag ser du kan göra är att det finns så mycket data så det avslöjar mer och därmed är ett "allvarligare" intrång i privatlivet, men det låter inte så övertygande.

Precis på samma vis om vi har lagar för när man får göra husrannsakan, kroppsvisitering, häktning, osv. Klarar vi av detta kan vi nog klara av att lagstifta om när krypteringsbakdörrar får användas.

Facebook har sagt att de planerar att kryptera messenger, det är därför det är ett bra exempel.

Och det är inte förbjudet att kryptera heller. Som det står i artikeln handlar det om att underrättelsetjänsten skall kunna begära ut datan okrypterad.

Jag sa inte att den skyddas genom att förbjuda krypterirng. Jag sa att det är en mer rimlig väg framåt ÄN kryptering Kryptering är inte HUR vi skyddar yttrandefriheten och demokratin (möjligtvis hur vi tar tillbaka den dock). Dessutom försvinner inte tekniken att kryptera saker bara för att vi lagstiftar om att det skall finnas bakdörrar hos stora meddelandetjänster.

Förslaget förbjuder dig inte att inneha krypterad data som du krypterat hur hårt du vill utan syftar till att de stora meddelandetjänsterna skall erbjuda åtkomst för rättsväsende.

Problemet med krypteringen uppstår när allting är per default krypterat på ett vis att rättsväsen och polis inte har åtkomst. Det handlar inte om att du inte får ha din krypterade hårddisk.

Exemplet med kassakåpet var endast för att påvisa att man inte har någon egentligen "rätt" till sitt privatliv efter att man är misstänkt för tillräckligt grova brott. Du kan inte säga till polisen att de ej får gå in i ditt hus. Det var inte tänkt som en metafor för kryptering utan för att ifrågasätta "default"-positionen att det vore fel att polis ens kan komma åt meddelanden.

Det verkar ju vara end-to-end -kryptering de vill förbjuda. Det betyder att någon annan kommer att ha nyckeln. Detta kommer att missbrukas såklart - alternativt så attackerar man leverantören eller vem som nu innehar "huvudnyckeln" till den bakdörr som måste byggas in.

Glöm inte att man precis har gett myndigheterna rätt att hacka mobiler - det går fort utför nu. Vem blir ansvarig för att din telefon råkar bli grönsak när de vid avslutad utredning (du kanske bara var misstänkt) ska försöka avinstallera den mjukvara de injicerat i den? Vem blir ansvarig när 3:e part lyckas använda myndigheternas "verktyg"? Hur verifierar myndigheterna att mjukvaran verkligen avinstallerats efter att dom sågat av grenen som satt på?

Permalänk
Medlem
Skrivet av Lodisen:

Den som har rent mjöl i påsen har inget att dölja brukar det låta.

Bör inte vara några problem att rigga upp lite kameror på toaletten, sovrummet och vardagsrummet hemma hos er då med andra ord?
Man behöver inte ha något att dölja för att vilja ha ett privatliv.

Gång efter gång har det varit läckor från sidor som lagrat saker okrypterat, även om lagens långa arm inte haft tillgång till servrarna.
Att förbjuda krypterade chattar kommer bara resultera i fler läckor som kommer innebära bedrägerier, stölder och annat trams. Det kommer drabba betydligt fler än de några få kriminella som åker dit på det.

Missade du stycket i texten som var själva essensen av hans inlägg?

Citat:

Observera att vi endast pratar om rätten att dekryptera din data inför rättsväsende/polis vid misstanke om brott, dvs kravet för att polis skall få komma åt din data bör vara på samma ribba som när de får göra en husrannsakan eller liknande. Men de behöver ha möjligheten.

Så med andra ord kommer det vara ganska högt ställda krav för att få göra det, inte "sätta upp fingret i luften" eller ta in halva befolkningens data.

Artikeln pratar ingenstans om kameraövervakning, varpå ditt exempel blir tämligen fjantigt. Skulle det finnas behov för någon myndighet att läsa mina meddelanden så hade jag inte haft något emot det. Tämligen ointressant skräp då jag varken diskuterar brott eller något som kan missuppfattas som brott.

Permalänk
Medlem
Skrivet av samurai:

Missade du stycket i texten som var själva essensen av hans inlägg?
Så med andra ord kommer det vara ganska högt ställda krav för att få göra det, inte "sätta upp fingret i luften" eller ta in halva befolkningens data.

Artikeln pratar ingenstans om kameraövervakning, varpå ditt exempel blir tämligen fjantigt. Skulle det finnas behov för någon myndighet att läsa mina meddelanden så hade jag inte haft något emot det. Tämligen ointressant skräp då jag varken diskuterar brott eller något som kan missuppfattas som brott.

Nej, men poängen är att alla resonerar inte som dig. Jag håller inte på med olagligheter heller, men jag vill inte att någon skall ha möjlighet att kolla vad jag skriver. Oavsett om de kommer göra det eller inte.

Poängen här är att när bakdörrar implementeras så kommer det förr eller senare missbrukas eller utnyttjas av obehöriga.
Detsamma gäller argumentet för videokameror. Skulle du ha något mot att de monterades upp hemma hos dig och strömmade allt till en server som polisen bara fick gå in och titta på vid misstanke om brott?

Jag skulle kunna mig precis lika naken med kameror riggade hemma som att ha vetskap om att mina meddelanden är oskyddade.

Permalänk
Medlem
Skrivet av Lodisen:

Skulle du ha något mot att de monterades upp hemma hos dig och strömmade allt till en server som polisen bara fick gå in och titta på vid misstanke om brott?

För att likställa ditt exempel med förslaget som är under beredning så skulle utrustning installeras hos mig och jag skulle skicka över lösenordet som gör det möjligt att på distans komma åt det sparade materialet. Så med andra ord skulle allt material sparas hemma hos mig.

Nej det skulle jag inte ha något emot. För den enda gången någon faktiskt skulle titta på materialet är då ett brott ha blivit begånget av någon annan än mig själv. Det jag spontant skulle kunna tänka mig är t.ex. inbrott.
Tack vare materialet skulle oddsen att hitta personen som gjorde det öka dramatiskt eftersom personen sannolikt kommer finnas på film.

Permalänk
Medlem
Skrivet av Triffid:

Vi måste som sagt skilja på möljligheten att läsa data och tillämpning av möjligheten. Förslaget handlar om möjligheten ej tillämpningen.

Det faktum att möjligheten finns där komprometterar hela systemet, det är oundvikligt oavsett tillämpning. Dina inlägg misslyckas helt att adressera detta fundamentala problem med förslaget. Antingen så bryr du dig inte eller så förstår du inte, det kvittar. Att jämföra med andra rättsliga tvångsmedel är också som att jämföra äpplen med päron eftersom risken att de faller i orätta händer eller missbrukas är extremt mycket större i den digitala sfären. Att kommunikationskanaler säkra från övervakning av tredje part tillåts finnas är helt essentiellt för alla medborgares frihet och säkerhet, men detta förslag omöjliggör detta i praktiken oavsett goda avsikter.

Permalänk
Medlem
Skrivet av Söderbäck:

Det här med att vi ska ha frizoner för kriminalitet där polisen inte ska få insyn för brottsutredning är inte helt givet. Det här har vi liklsom inte haft innan. Så det är inte helt givet att vi ska ha det framöver heller.

Det hindrar inte kriminella att fortsätta ha det, för någon som begår allvarliga brott lär knappast lyda denna lagen, eller så kör de bara kodord som de kommit överens om i förhand. Men skulle du också kalla den äldsta formen av kommunikation för kriminell frizon, prata med någon öga till öga? Det har alltid varit en möjlighet och skulle vara grovt orolig om den rätten avskaffas. För med det som argument så är muntlig kommunikation minst lika motiverat att avlyssna alla på och sedan lovar några tusentals personer i alla möjliga nationer att aldrig titta på den sparade datan som kan sparas för evigt.

Men det största problemet handlar inte om att polisen kan få insyn. Det största problemet är att man avsiktligt förstör möjligheten till säker kommunikation. Då tvingar man företag att ha nycklarna till all kommunikation som sker på deras platform och det blir inte en fråga om utan när det läcker. Det är inte jämförbart med att lyssna på någons telefonsamtal heller då nycklarna tillåter avlyssning på inte bara allt som någonsin har skickats utan också om läckan inte upptäcks eventuellt (beroende på implementation av nyckel rotationer) allt som kommer skickas. Telefonavlyssning är någonting som aktivit kopplas in och är metaforiskt jämförbart med att skära upp en resväska, medans detta är mer som TSA låset som till och med har oavsiktligt läckts av TSA själva. (Var iofs en värdelös hemlighet då i det fallet var det trivialt att göra reverse engineering, men det läckte ändå både från TSA och företag.)

Det räcker att en enda individ, antingen hos myndigheter eller inom företaget, får för sig att missbruka systemet så har allt fallit. Det är jämställbart med att ge varje individ med tillgång, tusentals, ett kuvert med allt alla användare någonsin skrivit och sedan hoppas att de inte öppnar det eller ger det till någon annan. Incitamenten är enorma för att missbruka det. Tänk bara hur mycket en mer auktoritär stat som Kina eller Ryssland hade betalt för den datan. På ställen där sådana här lagar redan har funnits har vi redan nu sätt vitt utspritt missbruk, och system som inte har E2E kryptering mellan klienter läcker data regelbundet.

Minst lika oroväckande är inte någon med dåliga avsikter utan bara inkompotens. Räcker att en enda individ av de har ett säkerhetshål så är dörrarna öppna. Med tanke på att det upptäcks hur många säkerhetshål som helst i allt från hårdvara till mjukvara regelbundet så är risken alldeles för hög. Vi ser ju även regelbunden inkompotens hur sekretessbelagda uppgifter hanteras, exempelvis 1177.

Det blir en fråga av när det läcker, inte om. Kan räcka att det är 10 år i framtiden så läcker allt du skriver idag och har skrivit, för du kan aldrig säkra att den krypterade datan försvinner. Det är poängen med end to end kryptering, datan i transport ska vara värdelös för alla utom avsändaren eller mottagaren. Men så fort nycklarna lagras någon annan stans också så får plötsligt datan ett enormt värde, ett värde som är relevant så länge nycklarna finns någonstans.

Jobbar med bland annat säkerhet kring sekretessbelagd myndighetsdata och detta gör mig grovt orolig. För när dörren finns där så kan man inte med säkerhet hindra andra från att använda den. Det kan vara allt från andra nationer, din egna nation, företag, vinst drivna hacking grupper eller kaos hacking grupper som bara släpper allt till hela världen. För kom ihåg att det gäller inte bara de nuvarande organisationerna som finns idag, utan också all framtida organisationer, regeringar etc som finns då datan kan lagras hur länge som helst. Finner det även väldigt oroväckande att vi får lagar som aktivt hindrar säkra tekniska lösningar.

stavning & text förbättring
Permalänk
Medlem

Det ’roliga’ med allt detta är att det går liksom inte att ångra uppfinningen av säger kryptering, om om den skulle förbjudas eller bakdörras så skulle allting säkert digitalt gå sönder direkt. Glöm swish, bankid, mobilbank-appar, ...

Det går inte att ha det ena utan det andra

Permalänk
Hedersmedlem
Skrivet av philipborg:

Det hindrar inte kriminella att fortsätta ha det, för någon som begår allvarliga brott lär knappast lyda denna lagen, eller så kör de bara kodord som de kommit överens om i förhand.

Det är väl i nuläget inte riktigt en lag - utan ett förslag för att komma åt problemet att polisen inte längre har tillträde att utreda områden där bevisunderag finns.

Har jag förstått det rätt så handlar det mindre om att tvinga individen att inte ha e2e. Mer relevant är väl i så fall att rättsväsen kan vända sig till tjänsteleverantören för att få insyn. Likt hur polisen kunnat jobba med exempelvis SMS i brottsutredningar i många år.

Skrivet av philipborg:

Men skulle du också kalla den äldsta formen av kommunikation för kriminell frizon, prata med någon öga till öga?

Nej.
Polisen kan sedan många år sätta upp avlyssningsmikrofoner för att fånga just tal vid brottsutredningar.

Skrivet av philipborg:

Det har alltid varit en möjlighet och skulle vara grovt orolig om den rätten avskaffas. För med det som argument så är muntlig kommunikation minst lika motiverat att avlyssna alla på och sedan lovar några tusentals personer i alla möjliga nationer att aldrig titta på den sparade datan som kan sparas för evigt.

Nej. Precis som med mikrofonavlyssning så ska väl inte polisen ha slentrianaccess till andra riktade spaningsverktyg om brottsmisstanke inte finns. Polis har idag inte åtkomst till tusentals personers SMSkonversationer om de inte brottsmisstanken finns och domstol godkänner den typen av insyn.

Skrivet av philipborg:

Men det största problemet handlar inte om att polisen kan få insyn. Det största problemet är att man avsiktligt förstör möjligheten till säker kommunikation. Då tvingar man företag att ha nycklarna till all kommunikation som sker på deras platform och det blir inte en fråga om utan när det läcker. Det är inte jämförbart med att lyssna på någons telefonsamtal heller då nycklarna tillåter avlyssning på inte bara allt som någonsin har skickats utan också om läckan inte upptäcks eventuellt (beroende på implementation av nyckel rotationer) allt som kommer skickas. Telefonavlyssning är någonting som aktivit kopplas in och är metaforiskt jämförbart med att skära upp en resväska, medans detta är mer som TSA låset som till och med har oavsiktligt läckts av TSA själva. (Var iofs en värdelös hemlighet då i det fallet var det trivialt att göra reverse engineering, men det läckte ändå både från TSA och företag.)

Det räcker att en enda individ, antingen hos myndigheter eller inom företaget, får för sig att missbruka systemet så har allt fallit. Det är jämställbart med att ge varje individ med tillgång, tusentals, ett kuvert med allt alla användare någonsin skrivit och sedan hoppas att de inte öppnar det eller ger det till någon annan. Incitamenten är enorma för att missbruka det. Tänk bara hur mycket en mer auktoritär stat som Kina eller Ryssland hade betalt för den datan. På ställen där sådana här lagar redan har funnits har vi redan nu sätt vitt utspritt missbruk, och system som inte har E2E kryptering mellan klienter läcker data regelbundet.

Minst lika oroväckande är inte någon med dåliga avsikter utan bara inkompotens. Räcker att en enda individ av de har ett säkerhetshål så är dörrarna öppna. Med tanke på att det upptäcks hur många säkerhetshål som helst i allt från hårdvara till mjukvara regelbundet så är risken alldeles för hög. Vi ser ju även regelbunden inkompotens hur sekretessbelagda uppgifter hanteras, exempelvis 1177.

Det blir en fråga av när det läcker, inte om. Kan räcka att det är 10 år i framtiden så läcker allt du skriver idag och har skrivit, för du kan aldrig säkra att den krypterade datan försvinner. Det är poängen med end to end kryptering, datan i transport ska vara värdelös för alla utom avsändaren eller mottagaren. Men så fort nycklarna lagras någon annan stans också så får plötsligt datan ett enormt värde, ett värde som är relevant så länge nycklarna finns någonstans.

Jobbar med bland annat säkerhet kring sekretessbelagd myndighetsdata och detta gör mig grovt orolig. För när dörren finns där så kan man inte med säkerhet hindra andra från att använda den. Det kan vara allt från andra nationer, din egna nation, företag, vinst drivna hacking grupper eller kaos hacking grupper som bara släpper allt till hela världen. För kom ihåg att det gäller inte bara de nuvarande organisationerna som finns idag, utan också all framtida organisationer, regeringar etc som finns då datan kan lagras hur länge som helst. Finner det även väldigt oroväckande att vi får lagar som aktivt hindrar säkra tekniska lösningar.

Jämför med SMS istället om nu telefonsamtal inte var bra nog ;).
De kan polisen sedan länge få insyn i. Och de sänds ju också krypterat.

Permalänk
Medlem

Känner att jag har sagt det jag hade att säga här så för att undvika att bara älta samma poänger tänkte jag bara avsluta med att jag har stor förståelse för alla här som argumenterar "mot" mig och som är djupt oroade över hur bakdörrar kan missbrukas. Det ÄR en befogad oro och ska jag vara ärlig så tror jag att jag är minst lika orolig som er om hur detta kan komma att byggas.

Samtidigt har jag extremt svårt att se en framtid där polis och rättsväsende saknar spaningsmöjligheter på merparten eller tillslut all form av kommunikation och är minst lika rädd för vad det skulle innebära i form av oavklarade brott och rättssäkerhet. Jag tror helt enkelt inte den framtiden kommer accepteras av samhället. Förslaget från EU säger ingenting om hur detta problem skall lösas utan det är ett dokument som fastställer att det behöver lösas, vilket jag tror kommer bli ett faktum (förr eller senare) vare sig vi vill det eller ej.

Så jag tackar för mig och hoppas att ni som är mot mig på något vis får rätt i slutändan, även om det framstår som en utopi för mig hur det skulle gå till

Permalänk
Hedersmedlem

@Triffid:

Tack för väldigt bra inlägg hela vägen! Väl framfört - jag håller med om allt.

Permalänk
Medlem
Skrivet av Söderbäck:

Det är väl i nuläget inte riktigt en lag - utan ett förslag för att komma åt problemet att polisen inte längre har tillträde att utreda områden där bevisunderag finns.

Inte super insatt i hur EU's beslut kedja ser ut men tolkar detta som ett förslag till att göra ett konkret lagförslag som sedan i sin tur ratifieras till en konkret lagändring. Så därav tolkar jag förslaget i ett tidigt steg att bli en lag.

Skrivet av Söderbäck:

Har jag förstått det rätt så handlar det mindre om att tvinga individen att inte ha e2e. Mer relevant är väl i så fall att rättsväsen kan vända sig till tjänsteleverantören för att få insyn. Likt hur polisen kunnat jobba med exempelvis SMS i brottsutredningar i många år.

Ja, det är ett förslag att illegalisera mjukvara med E2E krypterad kommunikation. Men min poäng är att det är ett slag i luften mot allvarliga brott, då varför skulle folk som begår allvarliga brott bry sig om förbud mot E2E? Lär ju vara helt omöjligt att faktiskt regulera på användarnivå utan det är bara EU baserade företag de i praktiken ens kan identifiera. Så vad hindrar någon som begår allvarliga brott att bara använda det ändå? Så det gör ju inte någonting mot de som verkligen vill hålla saker hemliga.
(Tror jag tolkade rätt för din mening som svar på den delen av mitt tidigare inlägg, lite oklart.)

Skrivet av Söderbäck:

Nej.
Polisen kan sedan många år sätta upp avlyssningsmikrofoner för att fånga just tal vid brottsutredningar.

Nej. Precis som med mikrofonavlyssning så ska väl inte polisen ha slentrianaccess till andra riktade spaningsverktyg om brottsmisstanke inte finns.

Precis, det är riktade spaningsverktyg mot misstänkta individer. Det är först när en misstanke om brott finns som användbar data börjar samlas in. Detta förslaget är mer i stil med mitt hypotetiska scenario där alla går runt obligatoriskt ständigt inspelade, där datan lagras hos ett företag i vad som nästan likaväl kan vara plaint text som sedan myndigheter kan begära ut. Företaget, och i sin tur många av sina anställda, tvingas ha tillgång till datan. Räcker att ett fel händer så läcker känslig data för potentiellt alla deras användare, oavsett om de är misstänkta för ett brott eller inte. Det är den stora skillnaden mellan de tidigare spaningsverktygen och detta, här samlas alla användares data och inte bara misstänkta. Kombinerat med att det blir en fråga om när och inte om det läcker så drabbas ett ofantligt antal helt oskyldiga, för läcker det om 20 år så låser man upp allt från idag också.

Regeringar, exempelvis UK, har visat att de inte heller kan hantera den makten utan har kollat på data vid misstanke om brott som skulle ge en böter i nivå med att gå mot rött vid ett övergångsställe.

Skrivet av Söderbäck:

Polis har idag inte åtkomst till tusentals personers SMSkonversationer om de inte brottsmisstanken finns och domstol godkänner den typen av insyn.

Jämför med SMS istället om nu telefonsamtal inte var bra nog ;).
De kan polisen sedan länge få insyn i. Och de sänds ju också krypterat.

Tar allt om SMS i detta stycket.
Först av, SMS är fruktansvärt osäkert på så många plan. Det är inte krypterat ordentligt, det är oftast bara krypterat till och från masten för att hindra sniffing attacker. Faktumet att SMS är extremt osäkert är inte skäl att göra allt annat osäkert. SMS saknar massor kritiska säkerhetsattribut, inkomplett lista nedan.

  • Företaget och dess anställda har tillgång till datan, så saker har självklart läckt. Detta är vad E2E bland annat avser lösa, men här föreslår man att förbjuda lösningen.

  • Man kan inte säkra vem avsändaren är, för SMS spoofing är per design. Har byggt intergrationstjänster mot kommerciella lagliga SMS spoofing tjänster och har access till de, så jag vet mycket väl hur lätt det är då det är verkligen en "feature".

  • SMS Hijacking sker, så obehöriga kan utan tillgång till ens telefon läsa ens SMS.

  • SMS skyddar inte mot att medelandet modiferas innan det når mottagaren då inget signeras.

  • Telefonnummer är inte säkra, hijacking av det sker.

  • Saknar signerad mottagningsbekräftelse.

Så med SMS kan man inte vara säker på vem som har skickat det, vad som har skickats, vem som har läst det eller om det anlänt. Du kan verkligen inte säkra någonting med SMS, den enda anledningen till att det ovan inte har skett en individ är för att ingen har riktat en attack mot dem eller så har attacken gått oupptäckt. Egentligen helt hål i huvudet att använda det för exemplvis två faktors authentisering om det inte vore så att alla råkar ha det. SMS är verkligen en tragedi ur ett säkerhetsperspektiv och bör verkligen inte användas som en mall för säkerhet bara för att dess enorma säkerhetsproblem gör det enkelt för myndigheter att använda.

Stavning, förtydligande ordval.
Permalänk
Medlem
Skrivet av Triffid:

Känner att jag har sagt det jag hade att säga här så för att undvika att bara älta samma poänger tänkte jag bara avsluta med att jag har stor förståelse för alla här som argumenterar "mot" mig och som är djupt oroade över hur bakdörrar kan missbrukas. Det ÄR en befogad oro och ska jag vara ärlig så tror jag att jag är minst lika orolig som er om hur detta kan komma att byggas.

Samtidigt har jag extremt svårt att se en framtid där polis och rättsväsende saknar spaningsmöjligheter på merparten eller tillslut all form av kommunikation och är minst lika rädd för vad det skulle innebära i form av oavklarade brott och rättssäkerhet. Jag tror helt enkelt inte den framtiden kommer accepteras av samhället. Förslaget från EU säger ingenting om hur detta problem skall lösas utan det är ett dokument som fastställer att det behöver lösas, vilket jag tror kommer bli ett faktum (förr eller senare) vare sig vi vill det eller ej.

Så jag tackar för mig och hoppas att ni som är mot mig på något vis får rätt i slutändan, även om det framstår som en utopi för mig hur det skulle gå till

Polis och myndigheter saknar inte spaningsmöjligheter. De har nyligen fått rätt att hacka datorer och mobiler. Gammalt klassiskt spaningsarbete verkar dom ha glömt bort. Att faktiskt patrullera och SYNAS ute på stan och vägarna verkar nästan helt ha upphört.

Permalänk
Medlem
Skrivet av Triffid:

2. Nu är detta ett förslag från EU att EUs underrättelsetjänster skall kunna avkryptera data om behovet är tillräckligt stort. Det är viss skillnad på EU och totalitära regimer. EU är det världsorgan som nog gjort enskilt mest för den privata integriteten (ex. GDPR) så du kan inte jämföra det med att Nordkorea skulle få tillgång, det är givetvis inte en del av förslaget.

Om ett land begär att kunna avkryptera data kommer förstås andra länder också att göra det.

För övrigt är det farligt att ge den makten till flera av EU-länderna. Vissa EU-länder, t.ex. Polen och Ungern, har problem med demokratin och då är det farligt att ge dem den möjligheten av samma skäl som att det är farligt att ge Nordkorea den möjligheten. Andra EU-länder, t.ex. Bulgarien och Rumänien, har problem med korruption och då kan man inte vara säker på att inte maffian eller Nordkorea eller någon annan köper sig tillgång till informationen genom att muta de ansvariga. Slutligen finns det besparingskrav i en massa länder, t.ex. Sverige, som förmodligen leder till dålig säkerhet i myndigheternas system och därför kan man inte lämna ut uppgifterna till de länderna heller. Till slut finns det nog inga länder kvar som man kan lämna ut uppgifterna till.

Skrivet av samurai:

Missade du stycket i texten som var själva essensen av hans inlägg?

"Stycket i texten som var själva essensen av hans inlägg" är irrelevant i sammanhanget, så förstås inte varför du blandar in den delen av inlägget. För att kunna göra så att polisen har teknisk möjlighet att avlyssna någon i vissa situationer måste man lägga in att den tekniska möjligheten finns i samtliga situationer och det är det som skapar den stora säkerhetsrisken som förstås kan utnyttjas av maffian och andra som vill spionera på folk.

Skrivet av Söderbäck:

Har jag förstått det rätt så handlar det mindre om att tvinga individen att inte ha e2e. Mer relevant är väl i så fall att rättsväsen kan vända sig till tjänsteleverantören för att få insyn. Likt hur polisen kunnat jobba med exempelvis SMS i brottsutredningar i många år.

SMS är väldigt osäkra och inte alls krypterade. Du kan inte ens veta om den som påstås ha skickat meddelandet verkligen har skickat det. Det är en stor säkerhetsrisk om det finns en tjänsteleverantör som har insyn eller kan ge någon annan insyn.

Skrivet av Söderbäck:

Polisen kan sedan många år sätta upp avlyssningsmikrofoner för att fånga just tal vid brottsutredningar.

Polisen kan dock inte begära ut några krypteringsnycklar till det kodspråk som används utan de hör bara de ljud som fångas upp av mikrofonen.

Skrivet av philipborg:

Telefonnummer är inte säkra, hijacking av det sker.

Den där sidan fokuserar på hur man knycker någons telefonnummer i USA. Sidan fokuserar på säkerhetshål i de amerikanska mobiloperatörernas system medan de svenska mobiloperatörernas system förmodligen har andra säkerhetshål.

Permalänk
Medlem
Skrivet av Kommenterande 2:

Den där sidan fokuserar på hur man knycker någons telefonnummer i USA. Sidan fokuserar på säkerhetshål i de amerikanska mobiloperatörernas system medan de svenska mobiloperatörernas system förmodligen har andra säkerhetshål.

Jag valde inte sidan så super selektivt, det var mer för att ge en förklaring på hur nummer kapning sker. Kortfattat så räcker det att man övertalar någon inom teleoperatören, support underlevrantörer eller anknyten servicepunkt att ett telefonnummer ska flyttas så är det kapat. Det är ett stort säkerhetshål att användaren kan få sin identifierare kapad utan att öht involvera individen eller dess hårdvara. Bör inte vara möjligt per design. Alla ändringar av ens identifikation bör behöva digitalt signeras av användaren. Extra illa då det är en rätt vanlig sak att göra så andelen individer som har access till det är rätt massivt. De kanske har implementerat någon säkring här i Sverige, kanske med BankID, men skulle vara väldigt förvånad om det var fallet och ännu mer förvånad om de faktiskt även har tagit bort access att göra det manuellt.

Ska försöka komma ihåg att fråga en polare som jobbat inom telecom, han lär veta exakt vad anställda kunde göra. Återkommer isf om du också är nyfiken.

Permalänk
Medlem
Skrivet av philipborg:

Jag valde inte sidan så super selektivt, det var mer för att ge en förklaring på hur nummer kapning sker. Kortfattat så räcker det att man övertalar någon inom teleoperatören, support underlevrantörer eller anknyten servicepunkt att ett telefonnummer ska flyttas så är det kapat. Det är ett stort säkerhetshål att användaren kan få sin identifierare kapad utan att öht involvera individen eller dess hårdvara. Bör inte vara möjligt per design. Alla ändringar av ens identifikation bör behöva digitalt signeras av användaren. Extra illa då det är en rätt vanlig sak att göra så andelen individer som har access till det är rätt massivt. De kanske har implementerat någon säkring här i Sverige, kanske med BankID, men skulle vara väldigt förvånad om det var fallet och ännu mer förvånad om de faktiskt även har tagit bort access att göra det manuellt.

Ska försöka komma ihåg att fråga en polare som jobbat inom telecom, han lär veta exakt vad anställda kunde göra. Återkommer isf om du också är nyfiken.

Jag vet att det har hänt i sverige att personer fått ut nya sim-kort i butik för abbonemang som de inte borde och därmed kapat folks nummer och identitet. Det är definitivt inte omöjligt, och ID-växling som denna typ av process kallas är full av mänskliga misstag

Permalänk
Medlem
Skrivet av Nuken:

Länk?

Vad jag förstått finns det inga och det är därför amerikanerna bråkar så mycket med t ex Apple.

https://www.forbes.com/sites/siladityaray/2020/06/24/republic...

Men det betyder väl också att detta EU förslag kommer att drabba även iMessage hos Apple.

Apple är ju med i PRISM sedan 2012. Jag tror att apple har två ansikten i det här fallet. Ett spel för galleriet, där de får det att verka säkert och fint. sedan har vi bakdörrslösningen som kan användas i de fall federala myndigheter kräver det inofficiellt, under bordet så att säga.

"In other news, Apple has quietly backdoored the end-to-end cryptography of iMessage. Presently, modern iOS will prompt you for your Apple ID during setup, and will automatically enable iCloud and iCloud Backup.

iCloud Backup is not end to end encrypted: it encrypts your device backup to Apple keys. Every device with iCloud Backup enabled (it’s on by default) backs up the complete iMessage history to Apple, along with the device’s iMessage secret keys, each night when plugged in. Apple can decrypt and read this information without ever touching the device. Even if you have iCloud and/or iCloud Backup disabled: it’s likely that whoever you’re iMessaging with does not, and that your conversation is being uploaded to Apple (and, via PRISM, freely available to the US military intelligence community, FBI, et al—with no warrant or probable cause)."

https://sneak.berlin/20201112/your-computer-isnt-yours/
Är din dator din?

Permalänk
Medlem
Skrivet av Triffid:

[...]
Så jag tackar för mig och hoppas att ni som är mot mig på något vis får rätt i slutändan, även om det framstår som en utopi för mig hur det skulle gå till

Jag förstår vad du vill ha sagt, och det är säkert så politikerna som skrivit förslaget resonerar också, men för mig och andra som har grundläggande förståelse för hur kryptosystem fungerar, vilket förslagsförfattarna uppenbarligen inte har, framstår det som en ännu mer utopiskt att ett system med bak- eller framdörrar som på något sätt inte bara gör det hela mycket värre ens går att konstruera. Jag vill nog påstå att med den matematikbaserade kryptografi vi har idag är det helt omöjligt. Att bekämpa kriminalitet på det här sättet är verkligen att kasta ut babyn med badvattnet.

Men det är klart, det är ett "enkelt" och billigt sätt att bekämpa problemet istället för förebyggande arbete och att adressera den massiva underfinansiering rättsväsendet lider av.