Visa detta i din webbläsare.

De Kaminski Digital s24e18


Välkommen till nystarten av De Kaminski Digital, mitt nyhetsbrev med ambitionen att fördjupa samtalet om IT-politik och bidra med en internationell utblick till diskussionen i skärningen av teknik och mänskliga rättigheter.
I det här nyhetsbrevet kan du bland annat läsa:
  1. Myndigheter argumenterar för bakdörrar i krypterade lösningar
  2. Nästa generations fullsträckskryptering
  3. Veckans länkar
  4. Meta: Varför ny layout?
Vill man följa mig på sociala medier kan man med fördel göra det på Threads, Instagram eller Mastodon (jag postar dock mest trams). För jobb-kontakter finns jag också på LinkedIn.
Känner du någon som du tror skulle uppskatta det här nyhetsbrevet? Tipsa dem om att registrera sig på www.dekaminski.se!

1. Myndigheter argumenterar för bakdörrar i krypterade lösningar

När jag började jobba på Sida 2014 efter några års konsultande och tillfälliga besök i utrikespolitiken fick jag höra rätt många hårda ord från vissa tidigare aktivistkollegor:
Hur kan du jobba för staten, de vill ju ha mer övervakning!?

Då som nu tyckte jag att man måste se staten som en rätt komplex organism där hydrans ena huvud inte alltid håller med de andra. Så länge det finns goda ambitioner inom delar av statsapparaten finns anledning att stärka dem och att säkerställa att:
  1. Staten som skyldighetsbärare tar sitt ansvar att respektera, skydda och främja mänskliga rättigheter.
  2. Statens resurser används ansvarsfullt på sätt som stärker punkt ett.
Men visst, det var många gånger en rätt udda charad jag var del av. Samtidigt som jag i mitt mandat förväntades bidra till yttrandefrihet online och ett fritt, öppet och säkert internet satt på andra sidan bordet inte sällan antingen uniformerad personal från ett försvarsdepartement eller en polismyndighet. Deras intressen sammanföll dessutom väldigt sällan med den rättighetsbaserade approach jag tog.
Därför blev jag ungefär noll förvånad när jag nyligen läste DN:s Linus Larsson och Sydsvenskans Andreas Ekström som båda beskriver hur svensk polis tillsammans med sina europeiska kollegor kräver att EU förbjuder digitala lösningar med så kallat fullsträckskryptering - alltså tjänster som krypterar kommunikation hela vägen från avsändare till mottagare och gör den omöjlig att få insyn i (även för den som äger tjänsten som används).
Det är inte första gången och inte heller sista som rättsvårdande myndigheter argumenterar för att försämra krypteringskvaliteten i tekniska lösningar. Sedan de allvarliga gängkonflikterna eskalerade och fransk polis lyckades knäcka Encrochat på lite finurliga vis har fokus kommit att läggas på andra säkra appar som exempelvis Signal. En svensk högprofilerad åklagare förklarade till exempel i en intervju med TV4 i november 2023 att:
– Det är ju där [gängen] möts i olika gruppchattar, många gånger i vanliga appar som vi har, ibland i mindre vanliga appar som Signal. Ta kontrollen över barns mobiltelefoner, varför ska man ha alla de här apparna?

– Vill du ta kontroll över det så är mitt råd att se över barnens mobiltelefon och stäng ner ett gäng appar.

Eftersom jag stolt argumenterat för användande av Signal som huvudsaklig meddelandetjänst (samtidigt som jag absolut är för hårdare tag mot gängkriminella) tycker jag det här är oerhört problematiskt. Signal är en av de säkraste meddelandeapparna just nu och med tanke på vilka resurser länder som Indien, Ryssland och Iran lägger ner på att knäcka appars kryptering så vågar jag påstå att den står pall för det mesta.

("Indien" kanske uppmärksam läsare nu tänker, "vad har de med saken att göra?". Jo, för ganska precis ett år sedan förbjöd den indiska regeringen 14 meddelandeappar - alla med den gemensamma nämnaren att de bygger sin tekniska integritet på avancerad kryptering. På den numera förbjudna listan finns några för mig okända appar men Briar, Element och Threema är del av min verktygslåda och det är nog bara en tidsfråga innan även Signal möter samma öde.)
Signals VD Meredith Whittaker intervjuades i oktober 2023 väldigt bra om just detta. Hur Signal gång efter annan utsätts för såväl tekniska som juridiska attacker, hur man svarar och hur man tänker sig framtiden. Signal tog förra året också på ett väldigt pedagogiskt sätt ställning mot den brittiska "Online Safety Bill".
Signal förklarar i sitt uttalande det som är grundbulten i min kritik mot hur rättsvårdande myndigheter - främst polis och åklagare - nu går till attack mot den säkra krypteringen:
Försvagar man medvetet kryptering, eller om man som polischeferna i det gemensamma brevet vill tvinga appar och tjänster att införa bakdörrar för att enklare kunna dekryptera information så möjliggör man också för helt andra aktörer att använda samma bakdörrar och tekniska svagheter. Det är helt enkelt omöjligt att skapa unika bakdörrar för privilegierade "goda" aktörer utan att samtidigt göra samma bakdörrar potentiellt tillgängliga även för illasinnade hackers eller spioner från främmande makt.
Som Meredith Whittaker skriver i uttalandet länkat ovan:
The history of digital technology is littered with the magical thinking of governments that have tried and failed to create backdoors that can only be accessed by “the good guys” while remaining secure against threats from “everyone else.” These efforts have failed because what they’re attempting is impossible.

Eller ännu tydligare:
Let me be blunt: encryption is either broken for everyone, or it works for everyone. There is no way to create a safe backdoor.

2. Nästa generations fullsträckskryptering

Med tanke på ovanstående så finns all anledning att fundera på hur framtiden ser ut för de krypteringslösningar vi har att tillgå idag. Jag har förmånen att arbeta på Open Technology Fund, som genom åren finansierat en lång rad meddelandeappar, e-postlösningar och protokoll som alla haft säker fullsträckskryptering (eng: "end to end encryption") som högsta prioritet.
(Genom åren har OTF finansierat sådant som Wireguard-protkollet för säkra VPN-lösningar, Signal-protokollet för säkra meddelanden och Mailvelope som gör den rätt krångliga epost-krypteringen PGP faktiskt användarvänlig.)
I sin enklaste form är fullsträckskryptering hyggligt rationellt. En avsändare krypterar information med mottagarens "publika nyckel", och mottagaren använder sedan sin "privata nyckel" för att så att säga låsa upp informationen till läsbart format. Nyckeln förblir densamma, och appar som använder fullsträckskryptering är också väldigt tydliga med när något händer med existerande nycklar - oavsett om en gammal nyckel ersätts med en ny på grund av att en användare installerar om appen, en enhet blir hackad eller om en tidigare okänd bakdörr plötsligt aktiveras.
Länge fungerade detta smidigt, och det finns också bra derivat för gruppmeddelanden - dvs när kommunikation med många samtidiga deltagare måste krypteras på samma säkra sätt för varje enskild deltagare. Signals grupp-chattar är ett bra exempel på detta, det fungerar helt smärtfritt för enskild användare.
Men den uppmärksamme användaren av Signal kan ha noterat exempelvis att videosamtal för större grupper implementerats relativt sent och att den nuvarande deltagargränsen för text-chattar är tusen användare. Det beror på att den nyckeltransaktion som fullsträckskryptering hittills byggt på är väldigt resurskrävande och att det är svårt att lösa nyckeländringar och -utbyten (som krävs när en ändring sker hos en enda av de deltagande användarna, vare sig det är en ny anslutning, någon som lämnar eller någon som av oklar anledning tvingar sin app att byta nyckel).
En väg framåt för att öka möjligheten till mer storskalig fullsträckskryptering är utvecklingen av protokollet MLS - Messaging Layer Security. Vi på OTF är djupt inblandade i finansieringen av den tekniska grunden av MLS, vilket jag förstås också är stolt över, men det är också oerhört positivt att se att flera stora teknikjättar backar utvecklingen och förbinder sig att implementera resultatet i deras kommande plattformar. När tekniska standardiseringsorgan som IETF och plattformsägare som Google hoppar på tåget ökar det förstås sannolikheten för en bred utrullning. Det faktum att MLS fokuserar på att vara plattformsagnostiskt och interoperatibelt gör också att olika MLS-krypterade lösningar kan parata med varandra:
With MLS, Google Messages can establish end-to-end encryption, facilitating seamless and secure communication not only within its own app but also with other messaging platforms that support MLS.

I ett kommande nyhetsbrev hoppas jag kunna beskriva närmare hur MLS fungerar och varför fullsträckskryptering är så viktigt att fortsätta argumentera för!

3. Veckans länkar
Här kommer tre läsvärda länkar från den senaste veckans flöden på min kant. Jag hoppas att de kan bidra till vidare läsning och intresse för nätpolitiska frågor. Ibland återkommer jag senare till länkarna, ibland inte.
Musk’s Starlink Cracks Down on Growing Black Market
Musk tar upp kampen mot otillåtna användare av Starlink. Musk har kommit på att det finns många som gillar fri kommunikation även där han inte förväntat sig kunder. När Musk nu börjar stänga av kunder som använder Starlink på fel ställen väcker det frågan om det verkligen är rätt korg att lägga sina ägg i.
Facebook snooped on users’ Snapchat traffic in secret project
Som många plattformar har Meta försökt kopiera Snapchats flödesfunktion. Vi ser den numera exempelvis Instagrams Reels. För att snoka reda på mer information om Snaps användare har Meta betalat ungdomar för att använda sig av en komplett osäker VPN-lösning som möjliggjort för Meta att ta reda på allt om ungdomarnas surfvanor.
Apple Says It Was Ordered to Pull WhatsApp From China App Store
Den kinesiska nätcensuren verkar orolig för att medborgare pratar med varandra utanför WeChat och andra övervakade lösningar. WhatsApp och Threads (som båda är fullsträckskrypterade) har tvingats bort från Apples App Store.

4. Meta: Varför ny layout?

Bra fråga!
Jag har tidigare använt mig av www.recur.email som nyhetsbrevsmotor och jag gillade verkligen enkelheten i att skicka e-post som text och bara text. Samtidigt fick jag feedback kring att nyhetsbreven var svårnavigerade och i samband med nystarten nu under våren ville jag därför hitta ett annat format.

Eftersom jag av politiska skäl undviker Substack så långt det är möjligt använder jag därför nu en egenhostad variant - MailPoet - som är kopplad till min egna Wordpress.
Jag kommer göra lite mindre ändringar utmed vägen, och sedan utvärdera den här lösningen efter tre-fyra utskick!
Avregistrera | Hantera din prenumeration
nyhetsbrev från: marcin@dekaminski.se - antal prenumeranter: 206
Email Marketing Powered by MailPoet