Om FRA, kryptering, liberalism, etc

Flera personer har bett mig kommentera riksdagens beslut kring FRA och/eller frågat varför jag inte skrivit någonting om det. Om jag börjar bakifrån; huvudanledningen till att jag inte skrivit någonting är för att jag inte haft tid. Våren har varit hysteriskt fullbokad, vilket haft en väldigt negativ effekt på mitt bloggande.

Det handlar alltså inte om att jag skulle följa någon partipiska eller något sådant; det här är min blogg, om jag inte delar partiets ståndpunkter lär jag framföra det.

Innan jag går in på mina åsikter, låt oss bena upp frågan lite grann.

Finns det säkra krypton?

Ny var det några år sedan jag läste om kryptering på en akademisk nivå, men som jag minns det finns det ingenting som heter oknäckbara krypton. En googling gav vid handen att min minnesbild verkar korrekt. En kryptering med en nyckel som transporteras helt säkert och som är 2^N (2 upphöjt till N) bitar är knäckbart oavsett hur stort N är. Däremot växer den beräkningskraft som krävs för att knäcka krypteringen.

Vid symmetrisk kryptering, dvs dÃ¥ avsändare och mottagare använder samma nyckel (som dÃ¥ mÃ¥ste föras över pÃ¥ nÃ¥got säkert vis) och med en nyckel-längd pÃ¥ 128 bitar sÃ¥ fÃ¥r man 2^128 (2 upphöjd till 128) möjliga nycklar, eller ett väldigt, väldigt stort tal (ca 3,4 * 10^38). För att knäcka kryptot med s.k. “brute force” (dvs ren kraft) sÃ¥ behöver man i genomsnitt prova hälften av nycklarna, dvs 2^127 nycklar (ca 1,7 * 10^38). LÃ¥t oss anta att man med en normal dator kan prova 10 miljoner nycklar per sekund. DÃ¥ skulle det ta 17014118346046923173168730371588 sekunder, dvs 539514153540300709448526,45774951 Ã¥r. Om vi istället skulle ha tillgÃ¥ng till datorkraft som kan tugga sig igenom 100 miljoners miljarder nycklar per sekund sÃ¥ skulle det istället ta ca 1701411834604692317316 sekunder, eller (ca) 53951415354030 Ã¥r.

Därför brukar man säga att dylika krypton är tillräckligt säkra, dvs det krävs så mycket datorkraft att det inte är rimligt att anta att kryptot knäcks. Men, det är fortfarande inte oknäckbart. Med den utveckling som sker av datorer så är det inte orimligt att anta att man inom några år kommer att kunna knäcka den här typen av krypton på rimlig tid (med reservation för att jag faktiskt inte är specialiserad på krypton och kan ha missat någonting)

Men, vi pratar då om att den som lyssnar (exempelvis FRA) skulle välja att lägga alla sina resurser på ett enda meddelande under en längre period. Eftersom man inte kan avgöra om meddelandet var värt det innan man knäcker kryptot så är det inte rimligt att anta att FRA skulle plocka just det här viktiga meddelandet som betyder liv och död.

Dock, det är korrekt att det inte finns någonting som heter oknäckbara krypton. Man trodde tidigare att s.k. kvant-krypton skulle kunna erbjuda detta. Men, i maj i år visade forskare vid Linköpings Universitet att även dessa kan knäckas. Samtidigt så föreslår de sådana förändringar som skulle göra kryptot oknäckbart igen (tills nästa forskare kommer med en snilleblixt åtminstone).

Poängen är dock inte om det finns oknäckbara krypton eller ej, utan huruvida det finns krypton som kräver sÃ¥ pass mycket datakraft för att knäcka dem att det inte är rimligt att avkoda pÃ¥ ren chans eller att avkoda ens en liten del av de som skickas frÃ¥n “intressanta” adresser.

Liberalens val

Det är inte helt ovanligt att liberaler hävdar att “om man är liberal sÃ¥ mÃ¥ste man tycka det här”. Jag gör det själv ibland och ofta är det lätt att anta ett binärt perspektiv där man mÃ¥ste tycka pÃ¥ ett visst sätt.

Dock så är liberalismen en bred ism, med många olika tolkningar och åsikter. Därför köper jag att en del liberaler hävdar att man kan ställa personlig integritet mot säkerhet, att man måste väga nytta mot skada. Jag delar inte den åsikten; det finns en anledning till att jag citerar Franklin längst upp på sidan:

De som är beredda att ge upp väsentliga friheter för att få
lite temporär säkerhet förtjänar varken frihet eller säkerhet.

För mig finns det ingen nytta som kan väga upp en kränkning av den personliga integriteten. Det är därför jag är emot kameraövervakning på offentliga platser, emot avlyssning utan brottsmisstanke (finns det en brottsmisstanke anser jag dock att man har förverkat sina rättigheter), emot husrannsakan utan skälig misstanke om brott som leder till fängelse, emot drogtester som inte är frivilliga, osv.

Men, jag kan köpa att man inte måste dela den uppfattningen och fortfarande kalla sig liberal. Då måste vi dock analysera vad vinsten är genom denna övervakning och i vilken utsträckning den personliga integriteten kränks.

Argument för

Det förs även fram en del argument för FRA:s spaning. Låt oss snabbt ta en titt på dessa innan jag går till mina åsikter och slutsatser.

  • De flestas mail kommer inte att läsas
    • Det är korrekt, det sker en massa filtrering innan man kommer till den nivÃ¥n där mail kommer att börja läsas, men eftersom vi inte vet vilka filter som FRA kommer att använda eller vilka mönsteranalyser som de kommer att göra sÃ¥ kan vi inte vara säkra pÃ¥ att vÃ¥ra mail inte läses.
  • Om informationen inte har säkerhetsmässigt värde sÃ¥ kommer den att förstöras.
    • Detta är tyvärr skitsnack. Det vi lärt oss om övervakning är att konfidentiell information kommer att spridas. NÃ¥gra av de som fÃ¥r ta del av den information som FRA sniffar fram kommer att sprida delar av den; det kan handla om affärshemligheter, snaskiga detaljer om kändisar, osv, men det kommer att läcka. Inte för att de som jobbar pÃ¥ FRA är sämre människor, utan för att de är precis som alla oss andra.
  • Det är nödvändigt för nationens säkerhet
    • Tyvärr stämmer inte detta heller. Som jag redovisat tidigare sÃ¥ kommer man inte att kunna knäcka en stor del av det som är krypterat. Det är alltsÃ¥ mycket info som aldrig kommer FRA till del, och framförallt är det sÃ¥dan information som de hävdar att de behöver som inte kommer att komma fram (eftersom den är krypterad).
  • Även om man inte kan avkoda meddelandet sÃ¥ kan man använda sig av mönster i form av vilka som skickar till vilka.
    • Inte heller sant. Det är inga problem att surfa anonymt, eller att skicka meddelanden frÃ¥n en anonym adress till en annan. Innan FRA ens börjat se ett mönster kommer de som skulle behöva spana pÃ¥ att ha bytt till andra anonyma adresser.

Sammanfattning

Jag tänker inte börja slänga anklagelser om att det enbart finns två liberaler bland de borgerliga ledamöterna i riksdagen, men jag tycker att det är förvånande att enbart två personer verkar dela min syn på konflikten mellan personlig integritet och säkerhet.

Mer förvånande är dock att varken regeringen, de borgerliga riksdagsledamöterna (med två undantag) eller alla borgerliga tjänstemän verkar ha någon som helst koll på IT-frågor. Finns det verkligen ingen i regeringen som har kunskap om kryptering? Hur lyckas FRA dupera så många intelligenta personer på en gång? Är det verkligen ingen som försökt sätta sig in i frågan?

Dessutom finns ett systemfel i hur gruppledarna i riksdagen agerar. Det är mycket tal om “vÃ¥r regering” och “vi fÃ¥r inte fälla regeringen”, men dÃ¥ har man ju vänt pÃ¥ hela processen. Det är regeringen som ska lyda riksdagen; inte tvärt om. Om riksdagen bara ska rösta igenom regeringens förslag sÃ¥ behöver vi ju ingen riksdag. Det skulle räcka med att de samlades precis efter valet och röstade fram en regering. Sedan kunde riksdagsledamöterna Ã¥ka hem igen.

Extra salt i såren är att en borgerlig regering väljer att klä skott för ett idiotförslag som har socialdemokratisk stämpel. Om regeringen hade gått och sagt att man har fri röstning i den här frågan, att man vill att alla ledamöter ska rösta som de själva vill och att det inte kommer att finnas en partipiska så hade inte sossarna kunnat låtsas som om de var emot förslaget. Då hade det varit socialdemokraterna som röstade igenom förslaget medan en majoritet av de borgerliga hade röstat emot.

Överhuvudtaget är det mellanting som vi har mellan partival och personval ett problem. Man kan inte ha bÃ¥de och utan vi mÃ¥ste välja färdväg. Antingen har vi rena partival (och dÃ¥ behövs knappast lika mÃ¥nga i riksdagen) eller sÃ¥ har vi rena personval (där man som väljare kan ställa “sin” politiker till svars). BÃ¥de och fungerar inte. Detta tarvar dock en egen artikel vid tillfälle.

Smileyn 25 år

För att jobba i IT-branschen så skriver jag förvånansvärt sällan om just IT-relaterade ämnen; någonting jag funderar på att ändra på. I vilket fall, igår så fyllde Smileyn 25 år och opassande tipsade om ett test för att se vilken smiley man är:

Jag var tydligen Rolling eyes vilket — faktiskt — kändes ganska träffande för mitt nätbeteende.