fredag, augusti 15, 2008

Elementärt, min käre Watson

De flesta av oss har sett den här pedagogiska bilden från stoppafralagen.nu:


Den illustrerar på ett utmärkt sätt det största problemet med den nuvarande FRA-lagen; att all gränsöverskridande trafik ska gå i kopia till FRA. Det talas mycket från lagförespråkarnas sida om att man måste göra en avvägning mellan den personliga integriteten och rikets säkerhetsintressen, och det håller jag villigt med om. Det finns omständigheter under vilka den personliga integriteten måste träda tillbaka. Naturligtvis är det så.

Men med den nuvarande FRA-lagen kränks integriteten hos all gränsöverskridande trafik. All vår mail, alla våra telefonsamtal, alla våra SMS och varje websida vi besöker, allt ska skickas i kopia till FRA så fort trafiken råkar korsa gränsen. Inkräktandet görs till norm, inte till undantag. Vad är det för slags avvägning?

Den nuvarande skrivningen av lagen är helt enkelt inte acceptabel.

Så vad gör vi istället? Helst ser jag att lagen slängs ut på öronen, att man börjar om, den här gången med sakkunnigt folk inblandat från början.

Men som ett tankeexperiment, vad är minimikravet för att lagen skulle gå att leva med? Om vi fortsätter tankegången i illustrationen ovan så är nästa logiska steg det här:


Det hjälper inte med ytterligare granskningar och utvärderingar av den automatiska filtreringen eller den manuella bearbetningen. Om huvudproblemet är att FRA har tillgång till hela trafikströmmen så måste det införas restriktioner på vilken trafik myndigheten har tillgång till. Det är enda sättet att göra reella förbättringar.

Man kan till exempel tänka sig att till varje spaningsinriktning knyta en viss begränsad mängd noder (IP-adresser, telefonnummer, etc) vars trafik får avlyssnas. FRA får därefter från operatören begära att få en kopia av trafiken till och från dessa noder, ungefär som det fungerar med den vanliga teleavlyssningen.

Jag är den förste att erkänna att det finns många problem med en sådan lösning. Jag är övertygad om att många motståndare till lagen skulle tycka att integritetsintrånget fortfarande är oacceptabelt stort, och FRA skulle förmodligen vara måttligt exalterade över att operatörerna får ta del av vilka noder som signalspaning bedrivs mot.

En teknisk konsekvens av den här lösningen är att fokus flyttas från de trådägande operatörerna till vad vi kan kalla trafikoperatörerna. Ofta är det nämligen inte ägaren av en fiberkabel som skickar signaler genom den, utan en trafikoperatör - exempelvis en Internetleverantör - som hyr kabeln i form av så kallad svartfiber. Den som hyr en svartfiber får helt enkelt två fiberändar att koppla in sin egen transmissionsutrustning på. Ägaren av fibern kan inte på något enkelt sätt komma åt innehållet i signalerna utan att veta hur trafikoperatören har konfigurerat sin utrustning, och kan följdaktligen inte heller göra något urval av trafiken. De kan leverera en kopia av hela den optiska signalen till FRA och låta FRA avkoda den, men de har inte praktisk möjlighet att skilja ut en delmängd av signalens innehåll. Det är det bara trafikoperatörerna som kan göra, och det är alltså de som måste leverera trafiken till FRA.

Det finns betydligt fler trafikoperatörer än trådägande operatörer, så det vore betydligt dyrare och krångligare för FRA att behöva gå till trafikoperatörerna för att få sina data. Men då ska man också minnas att poängen med den här konstruktionen ju faktiskt är att upprätta hinder för FRAs informationsinhämtning, så detta är inte nödvändigtvis en nackdel.

Det här är som sagt ett tankeexperiment. Jag är inte alls säker på att det går att klämma in så här fundamentala förändringar så sent i processen, ens om parterna kunde enas om att det är en acceptabel kompromiss.

Men, som sagt, om huvudproblemet är att FRA har tillgång till hela trafikströmmen så måste det införas restriktioner på vilken trafik myndigheten har tillgång till. Det är elementärt.

7 kommentarer:

Jörgen L sa...

Om man antar att grundfrågan för alltihop, verkligen är utredd, dvs:
1. Det finns konkreta hot.
2. Det är effektivt att kartlägga dem med avlyssning.
3. De är tillräckligt allvarliga och avlyssningen är tillräckligt effektiv för att motiveras.

Jag är ganska övertygad att det inte är så, men OM det skulle visa sig vid en bred och förutsättningslös utredning att så ändå är fallet....

I så fall stämmer det du skissar på lite med en ide jag har framfört. Ungefär så här:

För att minska risken för missbruk bör inte FRA inte själva ha tillgång till filterdatorerna. De kan köras av en annan myndighet exempelvis under DI's huvudmannaskap, och lokaliserat ute hos operatören som ansvarar för att drifta filtren. Denna myndighet har inte som mål att producera underrättelser. "Filtermyndigheten" ska inte ha teknisk möjlighet att bestämma innehållet i filtren, utan ska granska elektroniskt signerade förslag till parameterfiler och kontrollera att de ligger i linje med domstolsbeslutde inriktningar.

Om de inte gör det så underkänns filen och FRA får justera och föreslå en ny. Om den är OK så skickas den krypterad och fortfarande signerad till filterdatorerna. På detta sätt kan inte parametrarna manipuleras av den som granskar.

Filterdatorena ska vara hårdvarumässigt och mjukvarumässigt granskade och plomberade så att de inte kan manipuleras.

Resultatet, dvs filterträffarna skickas krypterat till FRA via ordinarie nät, och statistik men inte innehåll är tillgängligt för kontrollerande myndigheter och filtermyndigheten.

Med en sån lösning minskar man ganska kraftigt risken för missbruk eftersom "filtermyndighetens" uppdrag är att bevaka så att så lite som möjligt går till FRA, och personer från flera myndigheter med motstridiga målsättningar måste vara inblandade för att missbruk ska kunna göras.

Genom att kommunikationen med de plomberade filterdatorerna sker krypterat så kan inte heller nätoperatören komma åt något.

Det problem som kvarstår med en sån lösning är fortfarande de falska träffarna, men det minska kraftigt möjligheten till medvetet missbruk. Man får också ta sig en funderare över vem som ska göra granskning och plombering av filterdatorerna så att de inte kan manipuleras av vare sig FRA eller "filtermyndigheten". Helst bör det vara en ytterligare, tredje part, som inte kan komma åt dem i ett senare läge...

Leif Nixon sa...

JörgenL: Lite omständligt kanske, men det är ju också en tänkbar lösning.

Grundförutsättningen måste ändå vara att FRA helt enkelt inte ges fysisk tillgång till hela trafikflödet, där är vi ense.

Jag är övertygad om att FRA skulle kunna uträtta goda saker, och kanske är det möjligt att minska integritetsintrånget så mycket att man når en rimlig avvägning. Jag vet inte om det går, men helt omöjligt är det inte.

Jörgen L sa...

Jo, jag håller med, det är lite omständigt, och därför en pedagogisk utmaning att övertyga folk om. :-)

Men min ide har ett antal tydliga fördelar:

-Så lite trafik som möjligt skickas till FRA.

-Sökbegreppen blir kontrollerade av nån annan än FRA så att de inte går utanför vad som får sökas.

-FRA har inte tillgång till maskinvaran eller mjukvara i första instans.

-Sökbegreppen kan inte manipuleras i något steg.

-Nätoperatören kan inte se vad som söks efter.

Leo sa...

Har ni någon Bellman där på NSC?

Leif Nixon sa...

Leo: Jodå. Se www.nsc.liu.se.

David sa...

Jag undrar hur FRA skulle kunan skydda oss mot sådana saker som Botnets? För att göra det måste de väl kunna stoppa trafik i realtid? Eller?

Jag skrev den här:
http://frapedia.se/wiki/Hypotetiska_tveksamheter_kring_FRA:s_filtermetoder
Du verkar vara rätt person att ge mig lite insikt om om jag talar helt i nattmössan.

Leif Nixon sa...

David: Ja, FRA kan naturligtvis bara övervaka trafiken passivt. Deras roll är att upptäcka och analysera angrepp, inte att ingripa aktivt mot dem. Se dem mer som ett IDS än som en brandvägg.

Just dDOS-attacker från ett botnet är väl inte ett särskilt bra exempel på vad de skulle kunna hjälpa till att skydda mot - man behöver inte ett FRA för att upptäcka att man är utsatt för en dDOS-attack, om man säger. Men det finns många andra fall där de skulle kunna vara till nytta vid mer smygartade attacker.

 
MediaCreeper Creeper