Det har skrivits mycket bra om problematiken med förslaget Chat Control 2.0, men här tänkte jag göra ett försök att förklara lite mer om tekniken som det hela handlar om. Förhoppningen är att ge lite grundläggande kunskap om kryptering och kryptografi för den som är nyfiken på vad det hela handlar om.
Konsten att hålla en hemlighet Link to heading
Kryptering är i grunden matematik. Det börjar med att man har någon form av meddelande som man inte vill att vem som helst ska kunna läsa eller se. Meddelandet kan vara text, bilder, video, ljud eller vilken annan data som helst. Meddelandet omvandlas först till ett stort tal och sen skickar man talet genom en komplicerad matematisk formel och får ett annat nytt tal. Det nya talet går bara att förvandla tillbaka till originalmeddelandet om man har rätt nyckel.
Nyckeln är ett slags lösenord i form av ett annat stort tal, som man sen kan ge till de man vill ska kunna läsa meddelandet. Man behöver alltså två olika tal, det krypterade meddelandet och nyckeln, för att kunna få fram det ursprungliga meddelandet. På så sätt kan man vara säker på att meddelandet bara går att läsa eller se av de man själv väljer.
Efter krypteringen går det inte att härleda något alls om innehållet om man inte har nyckeln. Det går inte att se vilken typ av meddelande det är, nån slags sammanfattning av innehållet och inte heller hur långt det är. Man brukar säga att ett kännetecken för en bra kryptering är att det efter kryptering inte går att särskilja från rena slumptal. Det kan alltså lika gärna vara nån som suttit och slagit en tärning och skrivit ned resultatet som att det är en krypterad text.
Innan det har krypterats brukar meddelandet kallas för “klartext”. Det är alltså oavsett om det handlar om text, bilder eller annat. Efter att det gått igenom våran matematiska formel som krypterar det så kallas det för “kryptotext”. När man med hjälp av nyckeln återställer kryptotexten till klartext kallas det för att dekryptera eller avkryptera.
Symmetriskt och asymmetriskt Link to heading
Symmetrisk och asymmetrisk kryptering låter komplicerat men i grunden är inte koncepten så svåra. Symmetrisk kryptering är när samma nyckel används för att kryptera och avkryptera ett meddelande. Vid asymmetrisk kryptering så har vi istället två nycklar och om man krypterar något med den ena nyckeln så går det bara att dekryptera med den andra nyckeln.
Den asymmetriska krypteringen gör att jag kan skapa två krypteringsnycklar och kalla den ena för privat, och den andra publik. Den privata behåller jag själv och håller hemlig, medan jag skickar den publika till alla som vill kommunicera med mig. Om någon vill skicka något till mig så krypterard de sitt meddelande med den publika nyckeln. På grund av att krypteringen är asymmetrisk så kan inte alla andra som har den publika nyckeln dekryptera meddelandet, utan bara jag som har den privata nyckeln kan göra det.
Vid symmetrisk kryptering så måste jag alltså dela med mig av den nyckeln som kan både kryptera och dekryptera meddelanden, men vid asymmetrisk kryptering så slipper jag det och kan hålla nyckeln för dekryptering helt hemlig.
Kryptografi är mer än bara kryptering Link to heading
Den asymmetriska krypteringen öppnar upp för mycket mer än bara kryptering. Ponera att jag istället krypterar något med min privata nyckel. Nu kan vem som helst som har den publika nyckeln dekryptera meddelandet. Så vad vinner vi på det? Jo, de som har den publika nyckeln kan nu vara säkra på att meddelandet kommer från mig, eftersom det är bara den som har den privata nyckeln som hade kunnat kryptera meddelandet.
Vi har alltså skapat en slags signatur med hjälp av kryptografi. Koncepten brukar ofta kombineras, så att jag först signerar ett meddelande med min privata nyckel och sen krypterar jag det igen med någon annans publika nyckel. Nu kan endast personen som meddelandet är tänkt att skickas till läsa det, och den personen kan också verifiera att meddelandet faktiskt kommer från mig!
Vem är det som använder kryptering egentligen? Link to heading
Du använder med högsta sannolikhet kryptografi varje dag. Faktum är att bara genom att läsa det här blogginlägget så använder du flera kryptografiska tekniker. Din webbläsare pratar krypterat för att hämta texten du läser, och den här sidan är digitalt signerad för att bevisa för din webbläsare att du kommit till rätt sida och att det inte är någon som försöker avlyssna informationen. Din internetuppkoppling i sig är också krypterad på flera olika sätt.
Din internettrafik, dina telefonsamtal, dina bankärenden, dina betalkortstransaktioner och dina chat-meddelanden är alla krypterade och signerade på flertalet olika sätt. Kryptografi har helt enkelt blivit en grundläggande teknologi i vårat samhälle.
Totalsträckskryptering Link to heading
Allt jag pratat om hittills var förr i tiden oftast implementerat genom att meddelandena inte är krypterade hela vägen.
Föreställ dig att du och jag vill prata med varandra och låt säga att vi använder Facebook Messenger. När jag skriver ett meddelande så krypterar jag det, men med Facebook som mottagare, och skickar det till dem. De dekrypterar meddelandet och kollar vem det ska till innan de sen krypterar det igen, fast med dig som mottagare. Facebook har alltså möjlighet att se meddelandet i klartext, men så länge vi båda litar helt på Messenger så är vi kanske okej med det.
Om vi vill så är det inget som stoppar oss från att skapa våra egna nycklar, dela dem med varandra och sen skicka kryptotexterna över valfri tjänst till varandra. Ingen mellanhand kommer att kunna läsa vad vi skriver till varandra, och vi kan alltid vara säkra på vem meddelandena kommer från. Det jag beskriver är så kallad “totalsträckskryptering”. Avsändaren krypterade meddelandet och sen hölls det krypterat hela sträckan ända fram till mottagaren. Det är mottagaren och endast mottagaren som har möjlighet att dekryptera meddelandet.
Totalsträckskryptering är något som har funnits väldigt länge, men det som är nytt är att det har blivit mer tillgängligt i och med att det nu finns appar som gör att nyckelskapandet och distribueringen av de publika nycklarna sker automatiskt. Det gör att vem som helst enkelt och utan djupare kunskaper kan kommunicera säkert med vem de vill. Signal och Element är exempel på relativt enkla appar som sköter allt sånt åt en.
Är totalsträckskryptering verkligen nödvändigt? Link to heading
Totalsträckskryptering utnyttjas av allt från journalister, politiker och dissidenter i totalitära stater till vanliga människor som vill kunna prata med varandra och vara säkra på att ingen annan läser vad de skriver. Det kan handla om kärleksförklaringar mellan samkönade par i ett land där deras kärlek är olaglig eller någon som lever under förtryck som behöver ett säkert sätt att få kontakt med omvärlden. Det kan också vara något så enkelt som högst privata tankar och känslor som man inte vill dela med någon annan än den man skickar dem till.
Jag pratade tidigare om att vi kanske är okej med att Facebook kan läsa våra meddelanden om vi litar på dem. Men det finns ett stort problem med det och det är att en vacker dag kanske vi inte längre kan lita på dem. Då kan de mycket väl ha kvar våra gamla meddelanden i klartext. Om vi använder totalsträckskryptering så skyddar vi oss också från det då de aldrig har kunnat och aldrig kommer att kunna läsa dem.
Det kan såklart också utnyttjas av kriminella och inte minst av pedofiler som försöker grooma barn på internet eller sprida övergreppsmaterial. Det är det som politikerna som står bakom Chat Control-förslagen vill kunna stoppa, och vilken rimligt sinnad människa vill väl inte det? Förslagen försöker stoppa det genom att införa någon form av övervakning på de meddelanden som människor skickar till varandra. Problemet blir då att på något sätt måste klartexten skickas till en tredjepart för genomgång.
Hur man än vrider och vänder på förslaget och kommer med nya ändringar till det så kommer det inte att påverka det faktum att man blir tvungen att bryta krypteringen i något steg. Antingen skickas klartexten till en tredje part innan den krypteras, eller så tvingar man den att gå igenom en mellanhand som måste ha nycklarna för att dekryptera den. Hur det än görs så är resultatet att kommunikationen inte är säker då den avlyssnas och övervakas av andra. Och dessa andra måste man då lita på både nu och för all framtid.
De tekniskt kunniga kommer inte att övervakas Link to heading
Det är som sagt inget som stoppar att du och jag skapar våra egna nycklar och fortsätter kommunicera krypterat med varandra. Vi kan sen utan att vara oroliga för övervakning skicka våra kryptotexter över epost, SMS, valfri chat-tjänst eller till och med vanlig post.
Det kan också de kriminella göra utan problem, bara de vet hur. Det kommer alltid gå att installera andra appar än de som tvingats att införa övervakningen, eller bygga egna appar för de som är riktigt kunniga. De kriminella kommer att hitta enkla vägar runt det, och i slutändan kommer det att leda till att det bara är vanligt folk som övervakas.
Var kan jag läsa mer? Link to heading
Här kommer ett litet axplock av krönikor och sidor som förklarar mer om problematiken kring förslag som Chat Control.
- Samuel Skånberg - Progressiva bör oroa sig för massövervakningen
- Linus Larsson: Chat control sabbar kryptering – och försvårar journalistiska granskningar
- Oisín Cantwell - Bedrövligt av regeringen att säga ja till chat control
- Rasmus Fleischer - Turerna kring Chat Control bygger på okunskap
- DFRI - Chat Control 2.0 – ett farligt lagförslag om massövervakning
- Allt om Chat Control 2.0