Internationellt

Chat Control 2.0 – ett steg fram och två steg tillbaka

Tangentbord med lås och smartkort
ChatControl öppnar för EU-myndigheter att läsa krypterad kommunikation. Foto: Towfiqu Barbuiya / Unsplash.com
Krister Emrén
Publicerad i
#198
Lästid 4 min

2021 beslutade EU om en tillfällig lag som ger företag rätt att bryta mot annan dataskyddslagstiftning i syfte att kunna söka igenom sina användares chatmeddelanden i jakt på efter barnpornografiskt material eller groomingförsök. Den lagen slutar gälla i augusti 2024, och därför är en ny lag på väg – kallad ”ChatControl 2.0” av de som deltar i debatten.

Det liggande förslaget från EU-kommisionären Ylva Johansson (S) går i korthet ut på att ”rätten” för företag som tillhandahåller chattjänster att söka igenom chattmeddelanden byts ut mot ett ”måste”. Företagen tvingas alltså att söka igenom sina användares chattmeddelanden. Många företag som tillhandahåller s.k. säkra meddelandetjänsten är upprörda över detta. Utvecklarna bakom den säkra meddelandeappen Signal har t.o.m. sagt att de hellre slutar tillhandahålla sin tjänst i EU-länder än att följa det nya förslaget.

Den som vill veta mer kan besöka hemsidan chatcontrol.se som har en bra sammanställning av läget.

Problemet är att om en myndighet ges möjlighet att granska dina krypterade meddelanden, så kommer andra också att kunna göra det. Om det införs en ”bakdörr” i en meddelandetjänst så riskerar denna att upptäckas av kriminella gäng och budas ut på det s.k. darknet. Dessutom riskerar lagstiftningen att ändras även på andra områden. Europol kunde inte hålla tyst ens tills beslutet gått igenom, utan talar redan om andra fall än barnpornografibrott där det också kunde vara intressant att scanna av privata meddelanden.

Det här är tyvärr en väldigt binär fråga. Det finns inga garanterat, 100 procent säkra, krypteringslösningar som är praktiskt användbara. Det vi har är en bunt matematiska operationer, som ännu inte bevisats ha svagheter, om de implementeras på rätt sätt. De bygger alla på att det finns en hemlig ”nyckel” som bara två personer känner till. Varje ny person utöver de första två som känner till nyckeln försvagar krypteringen.

Det finns bra sätt att komma tillrätta med de problem som Chat Control 2.0 säger sig vill komma åt. Ett exempel är Apples lösning där ett barn som får ett oönskat meddelande kan dela det med sina föräldrar. IT-säkerhetsexperten Karl-Emil Nikka har erbjudit sig att hjälpa Ylva skriva ett bättre förslag, och han är inte ensam.

Ett viktigt inslag i ett demokratiskt samhälle är rätten för medborgarna att kommunicera utan statlig övervakning. Och det är en rättighet som måste spridas till fler länder. Inte inskränkas genom lagstiftning som ChatControl 2.0.

Postscript

Den 14:e november röstade EU-parlamentet för att deras utgångsförslag inför förhandlingarna ska vara en omarbetad lagtext, som uttryckligen säkrar rätten till ’totalsträckskryptering’ genom att genomsökningen av meddelanden ska ske på användarens dator eller mobiltelefon, inte i en molntjänst. Regeringspartierna (M, L, KD) är alla för Ylvas ursprungsförslag, trots att EU-parlamentarikerna för samma partier är mot det, vilket skulle betyda att det även kommer bli Sveriges linje i ministerrådet.

Slutsats: mindre dåligt, men inte bra.

Fakta: Kryptering

Kryptering går ut på att göra ett meddelande oläsligt, utom för den som känner till en viss ”hemlighet”. Föreställ dig att du gör en nyckel och ett lås som bara den nyckeln kan låsa upp. Du ger låset till en kompis, som sedan kan fästa det på sina brev till dig. Om brevet råkar komma till din granne kan grannen inte läsa brevet – det är ju bara du som har nyckeln.

På engelska kallas detta för ”end-to-end encryption” – på svenska kallat ”helsträckskryptering”. Det innebär att alla som hanterar brevet tills det når dig bara kan se din adress, inte vad som finns i kuvertet.

Ursprungsförslaget till ChatControl innebär att företag som tillverkar sådana här lås och nycklar måste skicka en kopia på varje nyckel de tillverkar till en nyinrättad EU-myndighet. Ändringsförslaget som antogs av parlamentet innebär att låstillverkaren istället måste se till att ”låset” läser igenom det du vill lägga ner i kuvertet, men det blir fortfarande du som har den enda nyckeln.