Förra veckans krypteringsnyheter väcker en rad intressanta frågor, som bland annat Hasse Rosén ställer i en tweet (ovan).

När kryptering blir allt vanligare får myndigheter som FRA och NSA ett tuffare jobb. Mera data måste dekrypteras, trafikmönstrena på internet blir allt otydligare och teknologier som Deep packet inspection blir allt svårare att implementera. Efter den senaste tidens stålbad av utökade övervakningslagar, tar internauter saker och ting i egna händer och använder sig av en slags teknologisk aktivism, som jag förutspår kommer att bli en brännande fråga inom en snar framtid. I Det nätpolitiska manifestet skriver jag:

Kombinationen av dessa två teknologier, kryptering och paketförmedling, ger upphov till ständigt nya darknets. Cyberspace blir cipherspace - ett krypterat internet inuti internet där det är nästintill omöjligt att röja en avändares identitet. Följden av denna identitetslöshet blir att inga lagar kan verkställas och inga straff utdömas; cipherspace är ett tillstånd av teknologisk anarki.

Ur detta tillstånd kan man påbörja ett resonemang om ansvar. Men inte vilket resonemang som helst, åtminstone inte om vi vill ta oss till själva sakfrågan. Att bara kräva att det tas ansvar innebär att man inte säger någonting alls. Att dessutom fastna för det suggestiva A-ordet i kryptoAnarki leder också fel, eftersom det tillsammans med A som i Ansvar i princip motsäger varandra redan per definition. Så låt oss ta en sak i taget och vandra från A till A varsamt.

För det första måste vi historicera debatten. Samma problemställningar diskuterades redan för 20 år sedan, bland annat av Timothy C. May i The Crypto Anarchist Manifesto (ca. 1992)*:

The State will of course try to slow or halt the spread of this technology, citing national security concerns, use of the technology by drug dealers and tax evaders, and fears of societal disintegration. Any of these concerns will be valid; crypto anarchy will allow national secrets to be trade freely and will allow illicit and stolen materials to be traded.

På nittiotalet var krypton klassade som ammunition, och i USA fördes en debatt om huruvida de skulle tillåtas över huvudtaget. Men mot slutet av nittiotalet beslöt man sig för att släppa kryptering helt fritt, eftersom det inte fanns några tecken som tydde på att varken nationell säkerhet skulle hotas, att det handlades med droger eller att samhällen kollapsade. Tvärtom stärkte anonymiteten människor som befann sig i diktaturer och under hot, men framförallt möjliggjorde krypteringen i princip IT-bubblan. Utan säkra kreditkortstransaktioner skulle vi inte ha handel på internet, vi skulle inte ha säkra login på Facebook etc.

Man skulle kunna säga att ansvaret istället vändes upp och ned. Det började ses som ansvarslöst att inte kryptera, eftersom man då exponerade användarna mot kreditkortsbedrägerier och att deras personliga data hamnade på vift. Så fort man har mer än en användare på sitt system argumenterar många för att man har en skyldighet att kryptera personliga data.

Detta bryggar över till den debatt som nu börjar formeras.

Andreas Ekström ställer ungefär samma fråga i sin kommentar till Det nätpolitiska manifestet, publicerad på Netopia. Men nu i ett nytt sammanhang, 20 år efter den första kryptoanarkidiskussionen:

Den digitala revolutionen fortsätter. Tydligen ska en miljon idiotiska småstrider behöva utkämpas innan världen på allvar blir bättre på grund av den – men striden om hur rättsstaten agerar eller utesluts från ett framtida genomkrypterat internet, den blir inte liten. Det är allas ansvar – och det säger jag trots att ganska lite i vår historia tyder på att kollektivt ansvarsutkrävande är en riktigt lyckad idé – att se till att den då åtminstone inte blir idiotisk.

Ekström öppnar åter den kanske ibland bortglömda frågan om relationen mellan stat och krypton. Den är inte alls mindre relevant idag. I länder som Kina, Iran, Förenade Arabemiraten, med flera, är kryptering hårt reglerad. Bara i veckorna har Förenade Arabemiraten haft stora problem med Blackberry-telefoner, vars kryptering är så stark att staten inte kan knäcka den (tillräckligt snabbt). Här tänker man sig att staten måste ta sig denna rätt för att förhindra hot mot den nationella säkerheten. Alltså, som Ekström argumenterar, rätsstaten släpps in i den krypterade trafiken.

Vems ansvar är det då? Och vad består ansvaret av? NSA tycker att franska Hadopi-myndigheten bär ansvar för att fildelare krypterar för mycket trafik. NSA utkräver (informellt) ansvar av Hadopi, och troligtvis dess motsvarigheter i andra EU-länder, att sluta upp med att övervaka ringa upphovsrättsöverträdelser så att de kan få tag på "the bad guys". I USA menas med detta allt som oftast terrorister.

När vi handlar roliga prylar på E-bay utkräver vi i rollen som konsumenter ansvar att E-bay inte skickar våra kreditkortsnummer i klartext hur som helst över internet. Vi kräver att våra mail förvaras på krypterade diskar så att de inte sprids vind för våg, och vi utkräver ansvar hos Facebook att data om exempelvis Iranska aktivister inte hamnar hos Basij-milisen.

Även kryptoaktivister utkräver ansvar, främst av sig själva. Att lova att ett system är fullständigt säkert innebär att man sätter någon annan i fara. Att inleda kommunikation med någon vars säkerhet man inte kan garantera är mycket dumdristigt, och kan leda till svåra konsekvenser om man exempelvis tunnlar in till/ut ifrån Kina.

Ansvar är således något som i princip alla utkräver av andra och sig själva i denna kryptiska ansvarsdebatt.

Jag skulle exempelvis mer än gärna vilja hålla Netopia ansvariga för en stundande konflikt med kryptorelaterade dimensioner. I sitt mantra om att "rättsstaten" måste flytta in på internet, som om den skulle saknas där (så vitt jag vet gäller lagen lika mycket där som någon annan stans), så medför detta konsekvenser. Den "rättsstat" som Netopia efterfrågar har teknologiska implikationer. Att skilja ett datapaket från ett annat, det "lagliga" och det "olagliga", kräver alltid någon form av övervakning. Den senaste trenden är Deep packet inspection, som jag länkar ovan, vilket innebär att varje paket lyfts upp, analyseras, och släpps vidare. Om det inte är oönskat, för då stoppas det. Teknologin implementeras hos våra internetoperatörer, och blir därmed ofrivillig samt i många fall omedveten för användarna.

DPI kringgås mycket enkelt genom att man krypterar trafiken från sin egen dator till destinationen. Den ciphertext man skickar blir därmed meningslös för DPI-maskinen hos internetoperatören. Den sekund som de första paketen börjar droppas i kablarna, kommer först ett litet antal internauter att börja kryptera. När måltavlan blir exempelvis bittorrenttrafik kommer det tillkomma en strid ström av användare. NSAs problem ökar. Så även FRAs. Att utkräva ansvar för de ytterst få riktiga brott som äger rum i det vita brus av krypterad trafik som uppstår blir då allt svårare.

Det verkar som det "kollektivt ansvarsutkrävande" som Ekström diskuterar inte fungerar. När man tar fram den breda håven på internet fångar man de vanliga användarna och inte de luriga bovarna. Samma förhållande gäller exempelvis med det läckta barnporrfiltret som Juliagruppen och AKZensur analyserade. Blockeringarna som Ecpat och Polisen överlämnar till internetoperatörerna leder till en allvarlig paradox. Den "stora massan" får ett hemligt blockeringsfilter, medan barnporrsajterna får fortsätta att finnas. På en halvtimma kan man stänga ned sajterna istället och överlämna bevis till myndigheterna. Det kan vem som helst göra med hjälp av kommandot "whois".

Så frågan är om "vem tar ansvaret?" verkligen alltid syftar till "rättsamhället"? För det verkar som att de rättsvårdande myndigheterna knappast verkar bry sig. Det rättsvårdande samhället har överlämnat befogenheter och ansvar till privatpoliser när det gäller fildelning i och med IPRED1. Det verkar som att det blir allt svårare att motivera den manövern, med tanke på att IPRED-metoderna ständigt överklagas, kanske för att fällas i Europadomstolen.

För att återvända till Hasse Roséns inledande fråga om vilket ansvar "de som bygger cipherspace" har för att anonymisering kan komma att missbrukas, kan man ställa upp ett svar ungefär så här:

I första hand upplever de flesta jag känner att det primära ansvaret är att se till att de som förlitar sig på kryptering inte i blindo litar på att tekniken fungerar. Trots att kryperingen idag är mycket stark finns det förödande misstag som man kan göra, och därmed avslöja sin identitet på helt fel ställe. En oförsiktig Egyptisk bloggare kan hamna i fängelse.

"De som bygger cipherspace" är inte en homogen grupp av nätaktivister. Tvärtom står privata företag för den största delen av den krypterade trafiken på internet. Kommersiella VPN-tjänster säljs dagligen till kunder som vill skydda sin trafik. Som privata företag är dessa pragmatiska med hur de ska ta ansvar. Man kalkylerar ett övervägande mellan hur man får maximalt antal kunder utan att riskera att komma i konflikt med polisen.

De mera avancerade projekten som I2P och Tor, som byggs upp av "communities", är kanske de mest intressanta. Dels bygger de upp en infrastruktur som siktar in sig på att vara "kärnvapensäker", alltså att det är omöjligt att fastställa identiteter och ta ned sajter och tjänster, även för utvecklarna själva. Här är ansvarsdiskussionerna mycket levande, till skillnad från de kommersiella tjänsternas mera pragmatiska hållning. Att sammanfatta dessa här och nu är kanske inte möjligt, men kanske finns det ändå några punkter att urskilja.

Principen om fri kommunikation går före rättsstatens ingrepp för att stävja eventuella brott. Dels fann man ju i USA på nittiotalet att brott över datornätverken i princip inte existerade. Men i juridiska termer skulle man kunna placera dessa principer i hierarkiska kategorier: fri kommunikation är för det mesta placerade som konstitutionella och fundamentala rättigheter, medan brottsbalkar intar en sekundär position.

Men kryptoanarki manifesterar sig sällan som en "ideologi", utan snarare som en praktik. Med hjälp av min dator kan jag förvandla klartext till chiffertext, sedan kan jag skicka data till vilken annan nod i nätverket (internet). När lagen inte skyddar mig, när exempelvis meddelarskyddet kringskärs av FRA, då ligger ansvaret hos mig istället för hos staten att garantera ett informationsflöde. Det kan tyckas vara orättvist, men vi är redan där idag.

Egentligen borde även våra traditionella massmedier ta det ansvaret. Hittills har jag sett väldigt lite av just detta. Om jag ska kontakta en redaktion, så finns det väldigt få vägar att göra det på utan att meddelarskyddet bryts. Vad spelar en grundlag för roll när min trafik ändå avlyssnas, här och nu. Med datalagringsdirektivet kommer telefonsamtalet att vara loggat. När jag mejlar kan mejlet ha snappats upp på vägen. När hyrsnuten har begärt ut mitt IP-nummer för en delad upphovsrättskskyddad fils skull, är min anonymitet bruten.

Jag är övertygad om att kryptoaktivister mer än gärna tar sitt ansvar att sprida kunskaperna och göra dem tillgängliga för fler. Ty de behövs.

* De kryptoanarkistiska manifesten finns samlade i Crypto Anarchy, Cyberstates, and Pirate Utopias av Peter Ludlow. För den som har i2p här.

** För en relaterad men annorlunda diskussion, se min ståndpunkt om transparens.

Skriven av admin den 11 oktober 2010