nrk.no

Etterretningstjenesten nærmere å lagre nordmenns nettrafikk

Kategori: Samfunn

Etterretningstjenestens bygg på Lutvann utenfor Oslo. Foto: Torgeir Haugaard / Forsvaret


Forsvarsdepartementet har besluttet å sette i kraft det kontroversielle overvåkningssystemet «tilrettelagt innhenting» med unntak av en nøkkelparagraf. Advokatforeningen kaller departementets fremgangsmåte for «merkelig» og et forsøk på å «pynte bruden».

Forsvarsdepartementet besluttet i forrige uke at to kapitler i etterretningstjenesteloven skal tre i kraft fra nyttår. Det er disse kapitlene som tar for seg det omstridte etterretningssystemet «tilrettelagt innhenting». Systemet vil gjøre det mulig for Etterretningstjenesten å samle inn og gjøre søk i enorme mengder kommunikasjonsdata.

Systemet er begrenset til å kun lagre digital kommunikasjon som krysser landegrensen, men i dag er det vanlig at det meste av nordmenns nettrafikk gjør nettopp det. Datatilsynet har tidligere beskrevet systemet som «digital masseovervåkning» av norske borgere.

Selv om loven trer i kraft er det likevel langt frem til systemet kan settes i drift. En mye omtalt nøkkelparagraf (7-3) om å pålegge kommersielle selskaper å tilrettelegge for innsamlingen av kommunikasjonsdata må utredes nærmere. Sannsynligvis må paragrafen på høring og det kan innebære behov for å gjøre lovendringer.

I Forsvarsdepartementets rettslige analyse fremgår det at man ikke kan produsere etterretning fra systemet uten at denne nøkkelparagrafen trer i kraft.

Etterretningstjenesten oppgir i en skriftlig kommentar til NRK at beslutningen vil gi: «det nødvendige juridiske hjemmelsgrunnlag for å fortsette arbeidet med å utvikle et system for tilrettelagt innhenting».

Advokatforeningen kritisk

Leder av Advokatforeningen, Jon Wessel-Aas, er kritisk til Forsvarsdepartementets fremgangsmåte.

– Selv om lovens system for såkalt tilrettelagt innhenting ikke kan bli operativt så lenge den ene paragrafen, 7-3, ikke settes i kraft, fremstår det som merkelig at regjeringen vil sette i kraft resten av bestemmelsene om dette systemet. Kritikken fra Advokatforeningen og en rekke andre uavhengige fagmiljøer gikk nemlig også på andre deler av lovforslaget, som jo henger sammen, sier Jon Wessel-Aas.

Jon Wessel-Aas kaller Forsvarsdepartementets håndtering for et forsøk på å pynte bruden. Foto: Heiko Junge / NTB

– For meg fremstår det derfor som et forsøk på å «låse» diskusjonen om resten, slik at videre diskusjon utelukkende skal dreie seg om hvem som kan beslutte at innsamling av kommunikasjonsdata skal skje i det enkelte tilfellet. Det er i så fall urovekkende, og regjeringen baserer seg da på en analyse av samlet sett nokså klare dommer fra både EU-domstolen og Den europeiske menneskerettsdomstolen, som viser at man etter mitt syn ikke helt har tatt inn over seg hva disse dommene innebærer. Det fremstår slik sett mest som et forsøk på å «pynte bruden».

Forsvarsdepartementet har blitt forelagt uttalelsene til Wessel-Aas, men de har valgt å ikke svare direkte på kritikken om departementets håndtering.

– Tilrettelagt innhenting er et system det tar tid å utvikle. Det er mange brikker som må på plass, og det innhentes ikke data i det øyeblikket bestemmelsene trer i kraft. Trusselbildet er alvorlig, og vi kan ikke sitte uvirksomme mens trusselaktørene tar seg til rette i det digitale rom, sier forsvarsminister Frank Bakke-Jensen til NRK.

Er dette vanskelig? Da debatten om grenseforsvar gikk for fullt i 2017 laget vi en forklaringsartikkel for alle som ikke er IT-ekspert.

Forsker mer bekymret for kommersiell datainnsamling

– Dette var som forventet, sier seniorforsker Karsten Friis ved Norsk utenrikspolitisk institutt (NUPI).

I fjor høst utsatte Forsvarsdepartementet lovkapitlene om tilrettelagt innhenting på grunn av usikkerhet om hvordan avgjørelser i EU-domstolen og den europeiske menneskerettighetsdomstolen ville påvirke systemet. Flere europeiske land, som England og Sverige, har allerede lignende etterretningssystemer. Man sier gjerne at disse systemene driver med «bulkinnsamling» av kommunikasjonsdata.

– Dommene ga jo stater grønt lys for bulkinnsamling under visse forutsetninger. Det er altså snakk om trafikkdata, ikke innhold, og en domstol må godkjenne alle søk i dataene. Så lenge vi får god demokratisk kontroll med dette, er jeg ikke bekymret for misbruk, sier Karsten Friis.

Karsten Friis leder forskningsgruppen for sikkerhet og forsvar ved NUPI. Foto: Øyvind Bye Skille / NRK

– Slik jeg ser det er all dataene vi daglig deler med de store kommersielle plattformene en langt større utfordring for demokratiet. Disse selskapene lever av å samle inn data – og det er innholdsdata, ikke trafikkdata, sier Friis.

53 kommentarer

    • Åsmund Lindemann (svar til Hallvard)

      Jeg tror det betyr at så lenge dataen går inn/ut av Norge til mailserveren så lagres trafikken (at du har sendt/fått en e-post fra/til hen). Vil du ikke spores så er nok telefon det sikre.

    • Det må du nok uansett regne med. Bruk VPN nå til dags. Det er ikke en garanti på å ikke bli overvåket, men litt sikrere.

    • Vil du ikke spores så må du legge fra deg alt av elektronisk utstyr fra mobiltelefon til bankkort. Den eneste ikke sporede kommunikasjonsformen i dag er tale, ansikt til ansikt, uten noen elektroniske duppeditter med seg.

    • Martin Gundersen (NRK) (svar til Hallvard)

      Hei Hallvard!
      Facebook krypterer selve meldingen (innholdet), men systemet vil samle opp at en enhet kommuniserer med Facebooks systemer. De vil også kunne se at andre brukere kommuniserer med disse tjenestene.

      For e-post vil E-tjenesten sannsynligvis kunne se hvem som kommuniserer med hverandre, men systemet er komplisert og har flere implementeringer. Så her kan det være nyanser. Det er også slik at man for noen e-poster kan lese innholdet i meldingene.

      Etterretningstjenesten får ikke lov å lagre innholdsdata uten en forhåndsgodkjennelse av Oslo tingrett.

    • Lars Skjønberg (svar til Hallvard)

      Telefon som noen foreslår hjelper ingenting. Alle norske telefonselskaper lagrer metadata om hvem du ringer og sender meldinger til. Politi og Forsvar er ute av kontroll når det gjelder overvåkning fordi argumentene for er gode og alle andre gjør det. Men spørsmålet er om det er verdt det og hvor langt skal vi gå ?

    • Henning (svar til Hallvard)

      Ifølge loven er det to tilfeller der meldingene mellom deg og naboen kan bli lagret av E-tjenesten:

      1) En av dere (eller begge) er “utenlandske og statsløse personer i Norge som opptrer på vegne av en fremmed stat eller statslignende aktør.” (§4-2 Fremmed statsaktivitet i Norge). Det er en av E-tjenestens oppgaver å følge med på slike personer, så det skulle være ukontroversielt.

      2) Meldingen faller tilfeldigvis innenfor et 30-sekunders vindu pr time der E-tjenesten lagrer innholdsdata for å bruke til å analysere trafikkmønstre og protokoller. Disse dataene vil ikke kunne leses eller brukes av E-tjenesten til noe annet enn akkurat analyse, og vil slettes etter maks 14 dager (§7-5 Testinnhenting og testanalyser).

      Så dette er nok ikke noe å bekymre seg om. Som Karsten Friis sier: det er nok større grunn til å bekymre seg om hva tjenesteleverandører som Facebook, Google etc finner på med dataene dine.

    • Henning skriver: «Ifølge loven er det to tilfeller der meldingene mellom deg og naboen kan bli lagret av E-tjenesten: »

      Legg merke til «Ifølge loven«. Det er som med mobil-avlytting: Politiet skal ha en dommers godkjenning. Hvis det er tid til det. Ellers er det bare å sette i gang: Mekansimen for sporing og avlytting av vilkårlig mobil i Norge er direkte tilgjengelig for politiet ved noen få enkle tastetrykk, og har vært det i mange år.

      Hvis politiet «har lyst til» å spore deg og avlytte deg, her og nå, så kan de gjøre det. Så skal de, ihvertfall i prinsippet, rapportere at de har gjort det. Jeg er ikke sikker på om det alltid blir gjort, at det finnes automatiske mekanismer som logger det og som det ikke lar seg gjøre å omgå. Eller om det finnes, hvilke muligheter som finnes for å hindre loggen i å bli oppdaget. Jeg velger å gå ut fra at det ikke er noen garanti for at urettmessig sporing/avlytting vil komme utenforstående, objektive instanser for øret. Jeg regner ‘Spesialenheten’ som en del av politiet – de er slett ikke utenforstående eller objektive på noen måte.

      Tilsvarende med nett-trafikk: Når mekanismen for å fange opp og lagre meldingene ‘i enkelte avgrensede tilfeller’, da kan denne mekanismen benyttes også i andre tilfeller. Det vet vi ikke om blir gjort, om det vil bli gjort. Det beste er å anta at det blir gjort.

      Så lenge vi har ‘vennlige’ folk i etteretningen, politiet og andre maktorganer er det kankskje ‘greit’. Men ikke glem at det på få år kan komme inn folk som kanskje ikke er like ‘vennlige’ til dine holdninger, din moral og dine aktiviteter. Alle mekanismer som er tilgjengelig for ‘vennlige’ maktorganer vil være like fullt tilgjengelige for ‘uvennlige’ maktorganer.

    • Tore Olav Hagen (svar til Hallvard)

      Norsk etteretning kan ikke dekryptere din trafikk mellom din PC og Gmail/Facebook. De kan se metadata(IP adresse, tid, mengde osv), men selve meldingen din forblir ulest av andre enn Gmail FB m.fl.

    • Jeg betrakter Gmail/FB som likeverdig med etterretningen. De er på jakt etter litt ulike ting, men at ‘bare’ Gmail/FB leser eposten min går like mye ut over min rett til å ha mitt privatliv i fred som om ‘bare’ etterretnigen leser den.

      Antagelig er risikoen for at de skal finne noe ‘interessant’ som kan brukes i motstrid med mine interesser større for Google/FB enn for norsk etterretning.

    • Keal skriver: «Mekanismen for sporing og avlytting av vilkårlig mobil i Norge er direkte tilgjengelig for politiet ved noen få enkle tastetrykk, og har vært det i mange år.»

      Ja, sånn må det jo være, for når man trenger mekanismen må den være tilgjengelig umiddelbart, etter at det blir tatt en avgjørelse om å bruke den. Alt annet vil være meningsløst. Slik vil det også være med TI – det er et stort apparat å sette opp, og det må være tilgjengelig når man får tillatelse av domstolen til å gjøre søk.

      For politiets del finnes Kontrollutvalget for kommunikasjonskontroll (kk-utvalget.no) som ettergår politiet i bruken av denne mekanismen. Har du noen konkrete holdepunkter for at dette ikke fungerer etter hensikten?

      For TIs del er det EOS-utvalget som skal kontrollere bruken. Kontrollen skal føres løpende (§7-11) og de kan stoppe innsamling/søk og forlange informasjon slettet dersom de finner uregelmessigheter (§7-12). Innsamling og søk skal kun skje etter kjennelsen i Oslo Tingrett (§8-1). Det kan igangsettes umiddelbar innsamling/søk uten kjennelse dersom det er fare for at informasjon av vesentlig betydning går tapt, men etter 24 timer skal det foreligge en kjennelse (§8-10).

    • Ronny Marvin Lange (svar til Hallvard)

      Alt dette går normalt via servere i USA,tror de samler mer opplysninger enn Norge noengang vil klare å lagre

    • Henning: «Ja, sånn må det jo være, for når man trenger mekanismen må den være tilgjengelig umiddelbart, etter at det blir tatt en avgjørelse om å bruke den.»

      Greit nok, men du skriver videre: «det må være tilgjengelig når man får tillatelse av domstolen til å gjøre søk».

      Du videreformidler hva som er ønsket at folk skal tro – og som de faktisk tror: At politiet alltid har en dommers godkjenning for avlyttingen. Også Wikipedia presenterer myten om at ingen avlytting skjer uten en dommers godkjennelse: «I Norge trenger Politiet rettslig kjennelse for å iverksette kommunikasjonskontroll» (artikkel: Kommunikasjonskontroll).

      Det er ikke ønsket at folk flest skal kjenne straffeprosesslovens §216d:

      «Dersom det ved opphold er stor fare for at etterforskningen vil lide, kan ordre fra påtalemyndigheten tre istedenfor kjennelse av retten. […] Når politiet treffer avgjørelse eller ber om rettens samtykke til kommunikasjonskontroll etter dette kapitlet,
      avgjør politimesteren eller visepolitimesteren spørsmålet.»

      Med andre ord: Selv ‘lovlig’ avlytting kan besluttes av en politimester. Det er ikke vanskelig for politimesteren å begrunne at ‘etterforskingen vil lide’. ‘Trenger for å iverksette’ er noe helt annet enn ‘skal ifølge loven fortelle i ettertid at de har iverksatt’.

      Etterretningstjenesteloven har en parallell formulering i §8-10: «Dersom det ved opphold er stor fare for at informasjon av vesentlig betydning for utførelsen av Etterretningstjenestens oppgaver etter kapittel 3 kan gå tapt, kan ordre fra sjefen for tjenesten tre i stedet for rettens kjennelse».

      Legg også merke til at denne loven har en egen paragraf §7-12 om ulovlig overvåking: Hvis det blir oppdaget, har etterretningen lovmessig krav på å få dekke over lovbruddet hvis EOS-utvalget oppdager det, så det ikke blir noen rettssak ut av det. Gjett hvor mange saker om ulovlig overvåking som vil komme til retten …

      Likevel er det ikke politimesterens (/overvåkingssjefens) myndiget til å ta hasteavgjørelser jeg reagerer mest på. For noen få forhold krever ulike lover at en handling skal utføres med notoritet, det vil si at den skal registreres med mekansimer som ikke kan omgås, og slik at registreringen ikke kan forfalskes eller modifiseres i ettertid. Det gjelder f.eks. erreretningstjenesteloven §10-2 om utlevering av etterretningsinformasjon til andre myndigheter.

      Straffeprosesslovens §216d krever at avlyttingen snarest mulig og senest innen 24 timer etter at kontrollen ble påbegynt, forelegges retten for godkjennelse. Politiet må gjøre dette, som en aktiv handling. Det er her jeg mener vi burde ha et ‘notoritet’-krav: Så snart en politibetjent trykker på den rette knappen, må det gå en melding til en utenforstående kontrollmyndighet. Er tillatelsen allerede gitt er det bare å hake av for ‘OK’. Ellers bør domstolen følge det opp umiddelbart, og ‘senest innen 24 timer’. Noe slikt notoritets-krav finnes ikke i loven. En automatisk, og ikke-manipulerbar rapportering vil på ingen måte hindre politi og overvåking i å reagere umiddelbart på forhold som krever handling. I dag blir urettmessig avlytting kun oppdaget dersom politiet selv rapporterer at de har bedrevet urettmessig avlytting, og det er lite sannsynlig!

      Henning: «Har du noen konkrete holdepunkter for at dette ikke fungerer etter hensikten?»

      I dag ligger det ikke igjen spor etter politiets avlytting, enten den er i samsvar med loven eller ikke. I «gamle dager» var det vanskeligere å skjule, jfr. Lysestøl-saken. Men til tross for at det ble påvist at det var lagt lednigner fra koblingsboksen der hans telefon var tilknyttet, direkte til politihuset, nektet de i årevis for at han var blitt avlyttet. Selv høyesterett stolte mer på politiets benektelser enn på ledningene … Først da avskrifter av samtalene hans ble avslørt i overvåkingens arkiver sto det ikke til å nekte, i 1996, sytten år etter at ledningene var blitt avslørt. Det tok enda fem år før han ble tilkjent erstatning for den ulovlige overvåkingen. (Les gjerne https://no.wikipedia.org/wiki/Peder_Martin_Lysest%C3%B8l#Lysest%C3%B8l-saken – men det finnes også masse annen info om den på nettet.)

      Det er ingen grunn til å tro at dette var det eneste tilfellet. Wikipedia-artikkelen om ‘Telefonavlytting’ har et avsnitt dårlig oversatt fra dansk wikipedia: «Det danske politi foretar flere tusen telefonavlytninger hvert år. Av disse har det over en fem års periode vært 30 saker hvor telefonavlytningen har vært ureglementert, for eksempel på grunn av at avlytningen er blitt foretatt mot en forkert person».

      Jeg har ingen tro på at norsk politi er noe bedre enn det danske, og heller ikke at ikke politi og overvåking har endret seg mye siden Lystestøl-avlyttingen. Ikke glem at selv om vi vil tro at politisk overvåking på 1970-tallet var ‘glipp’, så har vi i dag mydigheter av samme karakter som den gang. Dessuten har vi en ganske lang serie av tilfeller der politiet ikke har fulgt loven, f.eks. krav om å slette DNA-informasjon og andre bevismidler. Følg gjerne med på Spesialenhetens logg på https://www.spesialenheten.no/ og legg merke til hvor mange saker der det (selv av Spesialenheten!) påpekes udiskutable lovbrudd, men like fullt konkluderes med at ‘Dette ser vi ingen grunn til å ta til retten – saken henlegges’. Når ‘det ikke kunne bevises utover enhver rimelig tvil’ at politibetjenten vil få en fellende dom i retten, da er det ingen grunn til å prøve den. Saken henlegges. Basert på loggen over drøyt fem tusen avgjørelser i Spesialenheten kan vi si med tilnærmet 100% sikkerhet at enhver anmeldelse av politiet for ulovlig overvåking kommer til å ende opp med henleggelse; den vil aldri bli prøvet for en domstol.

      Det er ikke urimelig å tenke seg at vi på relativt få år kan få myndigheter av annerledes karakter. Da vil jeg foretrekke at de ikke har samme muligheter for å skjule sine aktiviteter som vi har gitt dagens ‘snille’ (håper vi!) overvåkere.

      I dag behøves ingen ledninger for avlyttingen. Derfor trenger vi en lov som krever at alt utstyr som kan brukes til lovlig eller ulovlig avlytting utstyres med loggefunksjoner som ikke kan manipuleres av de som bruker utstyret (eller deres overordnede).

      Er all avlytting i henhold til lovverket, har ikke politi / overvåking ingen grunn til å være skeptisk eller negativ til slik notoritet. Bare hvis de vil ha frihet til å bruke utstyret uten at det blir oppdaget har de grunn til å være avvisende til det.

    • Masterstudent (svar til Kenneth)

      Det er ingen (juridisk) problem ved å benytte seg av Tor (The Onion Router) nettverket for å skjule seg selv. Andre alternativer du kan bruke er også f.eks. VPN eller enda bedre: Proxychains. Om du bruker Tor eller noen av disse teknologiene til å gjøre ulovlige handlinger er det noe annet.

    • Mht VPN, så skal man ikke være heelt sikker på at det løser utfordringer ved statlig overvåkning.

      Da svenskene introduserte sin lovgivning på dette området endret vel Mullvad m.fl betingelsene/kriteriene på sine nettsider.

      En rekke andre VPN-tjenester er lokalisert innenfor «5/9/14 eyes», og andre igjen ligger i land som er i «bakgårdene» som f.eks Panama. Merk også at om man reiser til enkelte land, kan det være straffbart å benytte VPN.

      Så om man har slike bekymringer eller ser prinsipielt på slikt er det et komplisert terreng å bevege seg i.

  1. Hvordan vil dette fungere da?
    All nettrafikk i dag er kryptert med TLS/SSL eller lignende.
    Så alt de muligens får tilgang til er din IP adresse og domene? Hvis de ikke har fått tilgang til root certificates (som er meget usannsynlig)

    Svar på denne kommentaren

    • Tom Johannesen (svar til Daniel)

      De trenger ikke tilgang til root certificates for å nå fram til målet om de ønsker det. De folka som jobber med dette er blandt de beste i verden. Ingen ting på nett er 100% sikker. For at eeretnings tjenesten skal få tilgang til root certificates så er det en eller annen som utfører dette og det blir mest sannsynlig overvåket av e-tjenesten og da vet de hva de skal gjøre på egenhånd for å åpne opp root certificates. Lovlig er det ikke men det bryr ikke E-tjenesten i Norge seg noe om.

    • Masterstudent (svar til Daniel)

      De gjør opptak av metadata på nettverk packages, eksempelvis: hvem som kommuniserer med hvem, tidspunkt, etc. Videre og selv for at nærmest alle meldinger (sett bort fra metadata) er kryptert med TLS/SSL finnes det fortsatt teknologier som snart vil bli tatt i bruk for å analysere kryptert data, såkalt Homomorphic Encryption. Alle de store (E.g., Microsoft, Amazon, Google og Facebook)ser nå inn på hvordan de kan analysere kryptert data i fremtiden. Utover dette så dukker det også stadig opp andre teknologier som kan lære mer om brukeren, eksempelvis Federated Machine Learning.

    • Alfred (svar til Daniel)

      Nå var det litt mye fagutrykk som ble brukt litt feil her tror jeg…

      RootCA’er er ikke noe man bare tryller frem tilgang til, det er også ett vesentlig trykk fra leverandører rundtomkring rundt åpenhet rundt hvilke sertifikat som blir utstedt av de forskjellige RootCA’ene i verden.

      Du skal være rimelig, RIMELIG high-value target før noen bruker denne typen mekanismer mot deg – og det kan kun brukes en gang.

      Argumentet om dyktige folk er også litt tafatt, det er dyktige folk på alle sider av skalaen her.

    • Legg merke til at TLS er en link-kryptering. På web er det stort sett bare en link fra nettleseren din til nettstedet, men så snart trafikken når fram dit, blir den dekryptert. Mange nettsteder fordeler trafikken utover flere tjenermaskiner med mekanismer for ‘lastbalansering’, som betinger at innholdet i meldingen er kjent. Som regel gjøres fordelingen rett foran tjener-maskinene, men det kan også gjøres tidligere, for eksempel for å videresende deg til den tjeneren som betjener det landet du kaller opp fra. HTTPS er «ende til ende» bare hvis du betrakter lastfordeleren som enden.

      For f.eks. epost som du sender til en post-tjener har du en link til posttjeneren. Denne har en ny og uavhengig link til mottaker-posttjenesten – muligens i flere steg, hver av dem med en ny link til den neste. Mottaker-posttjenesten oppretter en ny link til din postleser. Hver gang meldingen kommer ut av en link, blir den dekryptert til klartekst, og (forhåpentligvis) kryptert på nytt når den sendes videre. En mellomliggende posttjener dekryptere meldingen for å lese f.eks. mottaker-adressen!

      TLS er vel og bra, og bør alltid benyttes. Men det er langt fra noen fullstendig løsning på beskyttelse av innhold i meldingene. Enhver mellommann som behøver å vite hvor meldingen skal sendes videre, må dekryptere den. Lenger enn det rekker ikke TLS-beskyttelsen.

    • Alfred: «RootCA’er er ikke noe man bare tryller frem tilgang til»

      Selv det er en svak formulering 🙂 – skjønt, de fleste root CAer er USA-baserte, og vi vet at landets myndigheter i lignende saker har lagt tildels ekstremt press på organisasjoner i IT-verdenen.

      Og likevel: Jeg har fått positivt svar fra tre ulike sertifikat-utstedere – de krever ikke å få generere et nøkkelpar for meg, eller å få tilgang til begge nøklene. Hvis jeg selv genererer et nøkkelpar (f.eks. med den generatoren som følger med PGP) og sender dem den offentlige nøkkelen mens jeg beholder den private for meg selv, kan de like fullt utstede et sertifikat til meg; den private nøkkelen er ikke nødvendig i prosessen. Da hjelper ingen tilgang til noen CA (inkludert root CA) for å dekryptere meldinger til meg.

      Avhengig av typen sertifikat må CA-en gjøre diverse andre kontroller for å sikre seg at autentiseringen gjøres på et solid grunnlag, men for f.eks. et epost-sertifikat er det minimalt å gjøre utover at epost-adressen må være gyldig. Det er den, hvis du mottar sertifikatet på den adressen! Plukker noen andre opp sertifikatet på veien, får de ikke stjålet det – det er kryptert med din offentlige nøkkel, og bare du har den private nøkkelen som kreves for å få tilgang til sertifikatet.

      Problemet er at de aller fleste kunder mangler kompetansen til å generere sitt eget nøkkelpar (selv om det egentlig er svært lett!), og CA-ene har sjelden standard-rutiner for å handtere det; det behandles som spesialtilfeller. De aller fleste lar CA-en generere nøkkelparet, og da kjenner CA-en den private nøkkelen. (Men det er ingen grunn til at privat-nøkkelen skulle bli rapporter opp til root CA!)

      Kompromittering av en (root) CA betyr at det kan være generert sertifikater med forfalsket autentisering: Sertifikatet hevder at ‘Dette er den offentlige nøkkelen til The Real and Only Xxxx’ – uten at det er sant. Men det gir dem ikke mulighet for å dekrytere dine meldinger, så lenge du har holdt godt på din private nøkkel, slik at selv ikke CA-en kjenner den.

    • arve solli (svar til Daniel)

      RootCA sertifikat er veldig lett tilgjengelig, de ligger stort sett i ditt trusted cert store eller du kan hente de via AIA i intermediate CA som du får med i TLS handshake. Og selv om du sitter på privat nøkkel til root eller issuing CA har du ikke tilgang til privat nøkkel for identity sertifikat og det er denne som brukes for å kryptere key exchange.

    • arve sollie (svar til Daniel)

      TLS er IKKE link layer (1,2) kryptering, det er transport layer (4) E2E kryptering og autentisering (samt integritet)

    • Nei, ikke ‘link-laget’ (lag 2) i OSI-forstand, men selv om TCP kan være ende-til-ende, brukes det svært ofte bare for en del av hele kjeden.

      F.eks. går ikke en epost direkte fra sender til mottaker over en TLS-forbindelse: TLS-forbindelsen ender hos din epost-tjener; det er første ledd, første link, i forsendelsen. Derfra kan den gå et ledd, en link, videre til en annen post-ruter, og om den linken er TLS-kryptert, er det med en annen nøkkel. Når posten kommer fram til mottakerens post-tjener kan den gå det siste leddet i kjeden, den siste linken, på en ukryptert linje eller en TLS-kryptert – men det har uansett ingenting å gjøre med TLS-krypteringen senderen benyttet.

      Tilsvarende hvis du bruker HTTPS for TLS-kryptering fram til ytterveggen hos webserveren: Der kan forespørselen bli dekryptert for å sendes over til den tjener-maskinen (bestemt f.eks. av HTTP-headere) som pekes ut til å ta denne forbindelsen. Men den maskinen kan stå et helt annet sted, og trafikken mellom lastordeleren og den maskinen kan være TLS-kryptert, med en helt annen nøkkel.

      Når meldingen gjør flere hopp gjennom nettet før den endelig kommer fram til applikasjonen, er kryptering på en bit av dette strekket å betrakte som kryptering på ett ledd i kjeden, på en link.

      (En annen side av saken er at en TCP-forbindelse er logisk sett som en (oktett-strukturert) kabel mellom endepuktene – kunne du trukket en fysisk kabel mellom de to TCP-brukerene ville det ikke vært store forskjellen. Ut fra den vinklingen er TLS logisk sett likeverdig med kryptering på fysisk lag!)

    • Harald Andersen (svar til Daniel)

      «Forsvarsdepartementet besluttet i forrige uke at to kapitler i etterretningstjenesteloven skal tre i kraft fra nyttår»

      Er det slik å forstå, at den vanlige teksten:
      «Trer i kraft når Kongen bestemmer» ikke er medtatt i denne loven.
      Er vi kommet dit at det er det enkelte departementet, ikke Kongen i statsråd som bestemmer når lover trer i kraft?

  2. Dette er merkelige greier.

    En ting er eufemismene, nytalen. Man kaller det «tilrettelagt innhenting», mens det handler om en svær kopimaskin på svenskegrensen. E-komleverandørene skal gi e-myndighetene kopi av «utvalgte» kommunikasjonsstrømmer, dvs. et sted mellom én, og alle minus én, kommunikasjonsstrøm, § 7-1. Og det er e-tjenesten som beslutter omfanget, § 7-3.

    Men verre enn nytalen er fraværet av kontrollmuligheter. E-tjenesten skal få tilgang til sanntidskopi (speil) av kommunikasjonsstrømmene (§ 7-1). Det gjør muligheten til kontroll svært vanskelig.

    Loven setter en rekke grenser for hva som er lov til å gjøre med kopien av opplysninger.
    Men det er altså e-tjenesten som skal begrense lagringen til metadata (hemmelig definert, § 7-7), det er e-tjenesten som skal sikre spor over hva som skjer med dataene, og det er e-tjenesten som skal sikre at den ikke kopierer rådata uten etter rettens beslutning, og at den bare gjør søk når det er tillatt av retten, se §§ 7-6, 7-7, 7-9.

    Men til de som tenker at «makt korrumperer», «tillit er bra, men kontroll er bedre», «det er vanskelig å være bukk som passer havresekken», så gir dette systemet bare ett svar: EOS-utvalget. De skal passe på at e-tjenesten ikke lar ser friste eller legger reglene på strekk.

    Men er det nødvendig å innrette systemet slik at det trengs nær grenseløs tillit til e-tjenesten?

    Svar på denne kommentaren

    • keal (svar til Jan)

      Nei – det som er nødvendig er å forholde seg aktivt til at vi ikke kan ha grenseløs tillit til verken etterretningen, politiet eller andre maktorganer.

      Det betyr f.eks. at vi bør gjøre SMIME, kryptering av innholdet i eposten, til standard rutine for all epost. Det betyr som regel at vi må bruke lokale epost-lesere (Thunderbird, Outlook, …) på den lokale PC-en, ikke som noe slags sky-tjeneste, og ikke med en web-basert epost-tjener.

      Det er ikke mange som bruker verken epost eller filoverførings-protokoller (FTP etc.) lenger; det meste går over web-sider. HTTPS gir en viss beskyttelse, men bare fram til (inngangen til) nettstedet. Bruker du web til å sende dokumenter, bilder eller andre data til en forbindelse, må du kryptere fila før du sender den – fortrinnsvis med asymmetrisk, dvs. «RSA-type», kryptering, men symmetrisk AES er langt bedre enn ingenting (forutsatt at du har en pålitelig måte å utveksle nøkler).

      Da IP-telefoni var nytt, ga teleselskapene deg direkte adgang til SIP-protokollen hvis du ba om det. Da kunne du under oppsett av forbindelsen avtale ende-til-ende kryptering. I dag nekter de deg tilgang til SIP.

      Det forbauser meg at ingen har etablert ‘private’ SIP-nett, for avlyttingsfrie telefonsamtaler. SIP-klienter for smartphones har eksistert i årevis. Eneste ulempen med et privat IP-nett er at samtrafikk med klassiske telefon-nummer krever en ekstern gateway – men ble SIP-klienter utbredt på mobiler, ville vel gradvis ‘telefonnumre’ gli bakover i glemselen som et forhistorisk fenomen.

      Problemet er at om et dusin mennesker gjør slikt som dette, er det suspekt. Gjør et par millioner nordmenn det, er det ikek suspekt. Og da får etterretningen ganske sterkt redusert mulighet for å drive sin overvåking.

  3. Javel, om jeg chatter med madammen som er for tiden bosatt i utlandet så skal en klovn i etterretningsvesenet sitte å lese høyst private betroelser. Eller som i dag der jeg bestilte en del til en motorsykkel fra USA så skal det i utgangspunktet være mistenkelig.

    Svar på denne kommentaren

    • Masterstudent (svar til Terje Osmo)

      Det er veldig liten sannsynlighet for at det er et menneske som analyserer dataen. Kanskje hvis man har valgt ut spesifikke ting som en datamaskin har flagget som mistenkelig på forhånd. Trolig er det datamaskiner, gjennom en rekke teknikker som blant annet maskinlæring, som gjør denne jobben — siden det er snakk om ekstreme mengder med data. Uavhengig, på slutten av dagen vil jeg nok tro at E-tjenesten ønsker å holde de tekniske detaljene skjult.

  4. Det meste av trafikken går over TLS nå til dags.

    Hvordan kan utsagnet «E-tjenesten sannsynligvis kunne se hvem som kommuniserer med hverandre» da stemme?

    Og hvis det aller meste er kryptert, hvordan kan man i det heller tatt lagre noe som helst hvis «Etterretningstjenesten får ikke lov å lagre innholdsdata uten en forhåndsgodkjennelse av Oslo tingrett.» (hvis man ikke vet hva man lagrer da det er kryptert).

    Vil anta at USA har mulighet til å få tak på noen av sikkerhetssertifikatene slik at man kan dekryptere. Vil Norge utveksle data med USA? Kan Norge med lovhjemmel kreve sikkerhetssertifikater utlevert fra f.eks. Google?

    Finnes det en god beskrivelse av hva det planlagte systemet vil kunne og ikke kunne?

    Svar på denne kommentaren

    • Alfred (svar til Emil)

      La oss forenkle tekniske detaljer veldig mye her, så gjør vi det enkelt.

      Du bruker Signal, som er ende-til-ende-kryptert. Det er ikke mulig for noen å lese innholdet, med unntak av deg, og mottakerne.
      Trafikken mellom din telefon og signal er også umulig for andre å lese, så når du sender en melding er det kun du og signal som vet hvem som mottar den.
      Signal praktiserer data-minimalisme, så de lagrer ingen informasjon om hvem du _har_ sendt melding til – de bare sender den riktig NÅR de får den av deg.

      Men metadata om trafikken er helt åpen, ellers hadde den aldri kommet frem.

      Når man har tilgang til «alt» av trafikk, så åpner det seg noen spennende muligheter.

      Hvis du sender en kryptert «datapakke» som er på 54329 bytes til Signal, og tre andre personer mottar en kryptert «datapakke» fra Signal som er på 54329 bytes – har dere da kommunisert med hverandre via Signal?

    • Emil (svar til Emil)

      Alfred: Ang. Signal, så stemmer ikke dette. Payload fra deg til Signal-serveren, og fra Signal-serveren til mottaker vil høyst sannsynlig være ulik, men riktignok i samme str.ordenen. Allikevel så er nok ikke dette på langt nær nok for en overvåker, til å avgjøre noe som helst.

    • keal (svar til Emil)

      Emil: «Det meste av trafikken går over TLS nå til dags. Hvordan kan utsagnet «E-tjenesten sannsynligvis kunne se hvem som kommuniserer med hverandre» da stemme?»

      TLS er ikke ende-til-ende-kryptering – slett ikke i forstand «bruker-til-bruker». Gjør meldingen flere hopp, fra din PC til en epost-tjener, derfra til en annen epost-tjener, derfra til mottake, da beskytter TLS på hvert enkelt av disse hoppene (hvis det brukes TLS på alle!). For hvert hopp pakkes meldingen opp til klartekst.

      For HTTPS er – det ihvertfall tilsynelatende – bare ett hopp fra deg til nettjeneren. Men det betyr ikke nødvendigvis selve tjener-programmet: Meldingen blir pakket ut til klartekst med en gang den når «husveggen», og kan sendes mye rundt i huset før den når den tjeneren som behandler den.

      Bruker du en web-tjeneste for å kommunisere med en annen person (chat, konferanse, …) går slett ikke trafikken kryptert ende-til-ende til motparten: All behandlingen i nett-tjeneren gjøres med klartest informasjon.

      TLS er vel og bra, men gir på lang nær så god beskyttelse som en del mennesker later til å tro!

    • Emil (svar til Emil)

      keal: vet godt hva tls er og hvordan det fungerer, så trenger ingen utredning om det 😉 men spørsmålene mine består fortsatt ubesvart 😉

    • keal (svar til Emil)

      For at en melding skal komme fram til rett mottaker, må mottakeren stå utenpå «konvolutten», enten det nå er en IP-pakke eller en SMTP-melding. Den som avlytter linja vil se mottaker-adressen. IP sender og mottaker kan du ikke skjule. Enhver mellommann kan – også med HTTPS alias TLS – se hvilket nettsted du kontakter (men ikke hvilken side på det nettstedet). Eller at du kontakter en TOR-node (antatt at avlytteren vet at mottaker-IP er en TOR-node, men det er neppe noen stor hemmelighet). For epost vet en avlytter hvilken epost-tjener du kontakter, ikke To: -headeren, men epost-tjeneren må kjenne den for å få meldingen levert, selv om innholds-delen er kryptert. Hvis det er få brukere på f.eks. et TOR-nett eller SIP-nett, og spionen ser at når du sender en melding inn i nettet på inngang X, og det kort tid etter kommer en omtrent like lang melding på utgang Y og går videre til Per Norman, da er det stor sjanse for at du utveksler data med Per Norman.

      Tilsvarende for SIP setup-meldinger – går det én forbindelse mellom din PC og SIP-nettet og en annen mellom SIP-nettet Per Norman, og de to kobles opp og ned omtrent samtidig, er det rimelig å tro at dere har hatt en samtale. Strengt tatt er SIP bare for oppsettet og å avtale en kanal; selve overføringen går ved siden av (men ofte velger IP-telefoni-leverandører å rute samtalen via sine tjenere, f.eks. for å kunne tilby samtrafikk med annen telefoni). Men går du til en SIP-tjener, og rett etterpå starter en strøm av IP-pakker direkte fra din IP-adresse til Per Normans IP-adresse, da er det rimelig å anta at dere snakker sammen. (Hvem som har fått tildelt hvilken IP-adresse er informasjon tilgjengelig for overvåkingen.)

      At de ikke har lov til å lagre hvasomhelst av data betyr bare at de ikke har lov. Les det slik du ønsker. Masse mennesker i Norge har en naiv tro på at når overvåkingen i Norge vurderer om de har lov til å lagre informasjonen, og svaret er nei, da medfører liksom det at de aldri har sett innholdet; det er totalt ukjent for dem, lissom, selv om det var på grunnlag av innholdet de besluttet å ikke lagre det. Er innholdet kryptert, er det selvsagt fortsatt teknisk mulig å lagre det, på grunnlag av sender og mottaker, for senere analyse.

      Den private nøkkelen som behøves for dekryptering ligger ikke i det sertifikatet du viser for deg for at andre skal kunne kryptere trafikk til deg. Sertifikatet er offentlig informasjon. Den private nøkkelen ligger hos deg, og ingen andre steder (med mindre du har bedt en CA å generere et nøkkelpar for deg, fordi du ikke vet hvordan du gjør det), og da bør du regne med at de har beholdt en kopi av din private nøkkel, selv om de egentlig ikke har noen grunn til det. Lager du ditt eget nøkkelpar og gir CAen kun den offentlige nøkkelen for å lage et sertifikat for, da kan ingenting i det sertifikatet hjelpe overvåkingen i å dekryptere meldinger til deg.

      Bruker du ende-til-ende-kryptering, f.eks. SMIME (men det gjelder ikke TLS!), da kan ikke innholdet dekrypteres av andre enn mottakeren. Du skal fortsatt vite hva du gjør: Om du får SMIME til en nettbasert post-tjeneste og dekrypterer det på tjeneren, da har du ikke ende-til-ende-kryptering!

      Du kan lese om hva etterretningen har og ikke har lov til i https://lovdata.no/dokument/NL/lov/2020-06-19-77 (Etterretninstjenesteloven), kap.7 og 8 spesielt. Legg merke til §8-10! Legg også merke til i hvilken grad det er basert på at loven sier at ‘Dette må dere ikke gjøre!’ og etterretningen sier ‘Neida, vi skal være så lydige og snille, så!’ Loven sier så å si ingenting om hvilke (eventuelle) mekanismer som kunne faktisk forhindre ulovlig overvåking. Alt er basert på snillhet og lydighet og respekt for loven.

      Dessuten er det usedvanlig mye ‘merkelig’ (i menigmanns øyne) tolking av lovparagrafer når det er myndigheter som skal utøve myndighet. Loven svarer ikke på hvordan overvåkingen har tenkt å realisere mekanismene – og det tror jeg ingen andre vil svare på, heller …

      Som oftest er det nødvedig å lese forskriftene for å se hvordan en lov skal tolkes, men for denne loven finnes det ingen forskrifter.

  5. Carsten Simonsen

    På et tidspunkt bør man ta diskusjonen – er det at forhindre et terrorangrep så viktig at det er akseptabelt at fjerne hele folkets frihed, som vel er eksakt det vi mener adskiller vore lande fra de terroristene kjemper for…

    Svar på denne kommentaren

    • Tja, hva med at Forsvarets hovedoppgave er å bevare vårt demokrati – mens masseovervåkning er, via forskning, vist å undergrave demokratiske verdier og meninger?

  6. Bruk en kryptert meldingstjeneste, f.eks Threema:
    https://threema.ch/en/

    Bytt mailen din fra Gmail, hotmail osv. til noe annet, f.eks Protonmail: https://protonmail.com/

    Eventuelt lag din helt egen e-postadresse, her er oppskrift:
    https://sneak.berlin/20201029/stop-emailing-like-a-rube/

    Slutt å bruke Google, Bing, Kvasir osv. for å søke på nettet. Bruke heller en annen som ikke sporer alle søkene dine, f.eks:
    https://duckduckgo.com/

    Bytt også til en annen nettleser, f.eks Firefox Browser og legg til utvidelsene Privacy Badger og HTTPS Everywhere.

    Da begynner det å ligne på noe. Lykke til!

    Svar på denne kommentaren

  7. Stein-Erik Mattsson

    Nå er det på tide at vi utarbeider en «Demokratisk borgererklæring», der vi sverger å gjøre ALT nødvendig mot den eller de som akter å føre Norge i udemokratisk retning og/eller søker å innføre totalitær overvåkning av dets borgere. Herunder, i verste fall, henrettelser av den som løper diktaturets ærend. Og sender denne erklæringen til PST. Så hvis riktig mange gjør det så vil de få det JÆVELIG travelt i Nydal’n!

    Dernest er det på tide at vi får en lov, som i USA, der du efter en viss tid, f.eks. 25 år, har innsyn i hva som er samlet opp av data om deg selv og andre borgere. Det er en SKAM at Norge ikke har noen slik lov! Jeg vil se ikke bare mappa, men REOLEN min!

    Svar på denne kommentaren

  8. Harald Andersen

    Denne havnet av ukjent grunn som et svar til Daniel, beklager for det.
    Skulle være en generell kommentar

    «Forsvarsdepartementet besluttet i forrige uke at to kapitler i etterretningstjenesteloven skal tre i kraft fra nyttår»

    Er det slik å forstå, at den vanlige teksten:
    «Trer i kraft når Kongen bestemmer» ikke er medtatt i denne loven.
    Er vi kommet dit at det er det enkelte departementet, ikke Kongen i statsråd som bestemmer når lover trer i kraft?

    Svar på denne kommentaren

    • Hadde du tatt deg bryet med å titte på lovteksten ville du sett svaret: Jo, standard-formuleringen er med, også her.

      Men: Kongen i statsråd betyr regjeringen, som jo er toppsjefene for departementene. Så formuleringen betyr i praksis ‘detpartementene, med Harald Rex som møteleder’.

      Det er ikke slik i dag at Harald sitter og finleser og vurderer hver enkelt paragraf og tenker grundig over dem for å beslutte når kap.7 skal tre i kraft, når kap.8 skal tre i kraft. Det har han sine rådgivere til å gjøre. Hans øverste rådgiver i etterretnings-spørsmål er forsvarsministeren, topplederen i forsvarsdepartementet.

      Antagelig har verken helseminister, kunnskapsminister eller landbruksminister (eller diverse andre) særlig sterke meninger om datoen for når kap.7 og 8 skal tre i kraft; de nikker antagelig bekreftende når kongens høyeste rådgiver i slike saker presenterer et forslag.

      i praksis er det forsvarsministeren (/forsvarssdepartementet) som velger en dato, uten at andre ministre eller H Rex blander seg inn i valget. Formelt sett er det naturligvis slik at de andre ministrene samt møteleder sier ‘Greit, vi aksepterer det’. Formuleringen ‘Forsvarsdepartementet besluttet’ er nok godt i samsvar med realitetene, selv om det kreves visse formaliteter for den praktiske gjennomføringen av iverksettelsen.

      Forøvrig må vi ikke glemme at verken konge eller regjering / departementer vedtar én eneste lov her i landet. Stortinget, og kun stortinget, vedtar lover. Stortinget har vedtatt etterretningstjenesteloven, og sagt til kongen råd: Dere setter denne loven i verk når dere finner det praktisk mulig.

      Og det er det de nå har gjort. Nå har forsvarsdepartementet funnet det mulig å gjennomføre loven, slik lovgivende makt, stortinget, har bedt dem om.

Legg igjen en kommentar til Carsten Simonsen Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.