Knäcka kryptering med myndighetstrojaner?

Våren 2016 presenterar digitaliseringsminister Anders Ygeman att Sveriges regering beslutar att utreda om s.k "Hemlig dataavläsning" ska bli tillåtet i Sverige. Hemlig dataavläsning presenteras som ett viktigt verktyg i kampen mot den organiserade brottsligheten och extremism som landet har enorma problem med. Det innebär i praktiken att brottsbekämpande myndigheter får tillåtelse att installera spionprogram och trojaner i medborgarnas digitala enheter som mobil och dator.

Men vad är då hemlig dataavläsning? I statens offentliga utredningar (2017:89) framförs följande:

"en metod för de brottsbekämpande myndigheterna att med någon form av tekniskt hjälpmedel i hemlighet bereda sig tillgång till en dator eller annan teknisk utrustning som kan användas för kommunikation och därigenom få besked om hur utrustningen används eller har använts och vilken information som finns i den.” 

I utredningen presenteras metoden som kommer innebära två delar, först att brottsbekämpande myndigheten får fysisk tillgång till teknik som används för kommunikation och sen att de tar del av informationen i den tekniska utrustningen. Idag sker övervakningen utanför dessa enheter via t.ex internetlevernatör men denna lag ger då juridisk rätt att utvärdera lagrad information.

Myndighetstrojaner? 

Verktygen som föreslås är så kraftfulla att de kan innebära integritets- och säkerhetsrisker som överstiger den nytta som man tros kunna uppnå. Enda sättet att implementera sådana spionprogram kräver att man hittar en bugg, en väg in, det hantverk som idag är känt som hackande. Vi minns alla den tsunami av ransomware-attacker (WannaCry) som 12 maj 2017 infekterade över 230 000 datorer i över 150 länder och lämnade flera sjukhus utan fungerande digital infrastruktur. Viruset använde sig av ett kryphål kallat EternalBlue konstruerat i Windows av den amerikanska myndigheten för övervakning NSA. NSA som tidigare beskyllts för att ha försökt försvara krypteringsprotokoll medvetet för att enklare kunna exploatera dessa för eget bruk. Om detta skett är ännu inte bekräftat men krypteringscommunityn har en uttryckt oro gällande tillit till myndigheten.

Kan inte USA regering öppna upp “bakdörrar” med sina enorma resurser som inte sedan exploateras av Nordkoreanska hackare, vad kan då den Svenska regeringen orsaka för skada? Den Svenska regeringens track record när det kommer till digital hantering är knappast något att stoltsera sig över.

Vi har transport-gate 2017 som innebar att sekretessbelagd information gällande rikets säkerhet fanns tillgängliga på servrar i Serbien vilket ledde till att flera ministrar fick avgå däribland hackern Anders Ygman. Sen även Vårdguidens IT-läcka som innebar att 2.7 miljoner inspelade samtal låg helt öppet för vem som helst att lyssna på eftersom “en intern hårddisk anslöts till nätet med en nätverkskabel av misstag.”.

Fenomenet är inget nytt och har länge försökts av totalitära regimer.

Hackersidan thehackernews.com rapporterade i en artikel från Juli i år att Kazakhstan börjar att fånga upp HTTPS-krypterad internettrafik av alla medborgare. Det är inte första gången Kazakhstan försöker sig på detta. Vid flera försök har de bett alla dominerande internetleverantörer att göra det obligatoriskt för deras kunder att installera myndighets-utvecklade "root certificates" på sin egen utrustning för att låta användarna komma åt internet. Certifikatet kallas "national security certificate". Med andra ord så bygger regeringen en "mellanhand" mellan internet och användaren som gör det möjligt att avlyssna trots kryptering.

En stor risk med att försöka implementera en sådan "mellanhand" för regeringar att användarens säkerhet blir äventyrad och kan komma att utnyttjas i främmande makters intresse eller av privata hackers. Lagen var tänkt att träda i kraft i början av Januari 2016 men Kazakhstans regering misslyckades med att tvinga på de lokala internetleverantörena det nya direktiven vilket ledde till en serie av stämningar mot regeringen av privatpersoner och företag som ansåg att detta bröt mot medborgares rätt till integritet. 

Kazakstan gav inte upp så enkelt och det ser idag ut som att ytterligare försök görs för att hindra och försvåra medborgarnas möjlighet till kryptering. Men redan förra månaden valde bl.a Google, Mozilla, Apple att helt blockera det Kazakstanska internetprotokollet i respekt mot integriteten. 

Förslaget är fortfarande väldigt kontroversiellt och kritiker menar att det är en grov kränkning av individens integritet. "Hemliga tvångsmedel är speciella eftersom de ger staten rätt till en långtgående övervakning och kontroll över medborgarna. Det ställer särskilda krav på lagstiftningen", säger Jonas Agnvall jurist på datainspektionen till DN våren 2018. Mycket pekar på att partierna inom kort lär nå en överenskommelse i frågan, för närvarande är det bara Vänsterpartiet av riksdagspartierna som ställer sig emot förslaget.

Ändamålet helgar medlen

När det kommer till övervakning i allmänhet och elektronisk övervakning i synnerhet finns alltid potentialen för missbruk. Lagen kan växa med tiden och komma att omfatta mer områden än bara terrorism och extremism som det argumenteras för idag. Hur lång tid innan samma metoder används för att bekämpa politiska dissidenter? I Tyskland där den här formen av myndighetstrojaner är tillåtna har metoden börjat gälla brott som skattebrott, bilstöld och bedrägerier. Hur stor är inte risken att de brottsbekämpande myndigheterna själva får sin säkerhet kompromissad? Med regeringens historik av misslyckanden inom det digitala är det klokt att vara varsam.