Bakdörrar för kryptering: Tar den digitala integriteten ett steg bakåt?

Vad är krypteringsbakdörrar?

För att förstå varför bakdörrar för kryptering utgör en risk för den personliga integriteten måste du känna till vad kryptering är. Kryptering är en metod för att skydda digital information genom att förvränga eller ändra den så att den inte kan nås, ändras eller äventyras. Krypterad information kan endast läsas av en auktoriserad part som har en dekrypteringsnyckel. De flesta moderna algoritmer använder 256-bitars nycklar, vilket gör krypterad data praktiskt taget omöjlig att knäcka för cyberkriminella. Leverantörer av kommunikationstjänster använder den här metoden för att säkra användarnas privata uppgifter, t.ex. inloggnings- och bankuppgifter och digital kommunikation.

En krypteringsbakdörr är en metod för att kringgå den auktorisering som krävs och få tillgång till säkrad data. Det är en ingång i krypteringsmekanismen, eller en svaghet, som tjänsteleverantören har implementerat med flit för att ge tillgång till information som annars skulle vara skyddad från alla enheter. Men detta väcker en fråga – varför försvaga en säkerhetsmekanism överhuvudtaget?

Varför föreslår lagstiftarna krypteringsbakdörrar?

Regeringar och lagstiftare baserar sina förslag om krypteringbakdörrar på argumentet att brottslingar använder krypterade kommunikationstjänster, som e-post och meddelandeplattformar, för olaglig verksamhet. Genom att skapa en bakdörr skulle man kunna övervaka kommunikationen och eventuellt upptäcka och förhindra brottsliga handlingar. Om de klubbas igenom skulle bestämmelserna om krypteringsbakdörrar tvinga leverantörer av digital kommunikation att korrumpera sina krypteringsalgoritmer.

Detta är dock ett enbent argument, för om det finns en bakdörr som lagstiftarna kan använda innebär det att cyberkriminella också kan använda den. Ingen kan garantera att hackare aldrig kommer att få tag på dessa krypteringssvagheter. Detta skulle äventyra huvudmålet med krypterade tjänster – deras säkerhet – och än mindre bryta mot användarnas integritet. Men låt oss titta på ett exempel från det verkliga livet för att få en tydligare bild.

Bakdörrstillträde i EU: Från frivilligt till obligatoriskt

Den senaste utvecklingen på EU:s rättsliga front visar att lagstiftarna tenderar att kräva obegränsad tillgång till krypterad digital kommunikation. I juli 2021 antog Europaparlamentet en förordning, den så kallade Chat Control 1.0, som gör det möjligt för digitala företag att upptäcka och rapportera sexuella övergrepp mot barn på sina plattformar utan rädsla för att bryta mot Europas integritetslagar. Med andra ord tillåter lagförslaget kommunikationstjänster att skanna sina användares privata kommunikation efter explicit material i syfte att stävja övergrepp mot barn.

I maj 2022 lade Europeiska kommissionen fram ett förslag, känt som Chat Control 2.0, som går ännu längre än Chat Control 1.0. Denna förordning skulle göra det obligatoriskt för leverantörer av kommunikationstjänster att söka igenom sina användares privata chattar, meddelanden och e-postmeddelanden, även krypterade sådana, för att hitta misstänkt innehåll. I huvudsak innebär detta obligatorisk massövervakning med hjälp av helt automatiserad övervakningsteknik i realtid (artificiell intelligens). Misstänkta meddelanden som flaggas av artificiell intelligens skulle rapporteras till brottsbekämpande myndigheter och utredas. Lagförslaget har stoppats på grund av farhågor om att det undergräver EU:s integritetslagstiftning och eventuellt öppnar dörren för företag att övervaka annan privat kommunikation.

Men vad skulle det innebära för dig som användare av kommunikationstjänster? Förordningen om Chat Control 2.0 skulle ge företag rätten att gå igenom din privata krypterade kommunikation i jakt på utlösande faktorer, t.ex. fraser, bilder och videor som förknippas med barnmisshandel. Tänk dig att din make skickar dig bilder på ditt barn. Du tittar på bilderna och sms:ar tillbaka något helt oskyldigt, utan att veta att AI just har flaggat din konversation som misstänkt och överfört bilderna på ditt barn till en särskild databas.

Krypteringsbakdörrar för massövervakning: Ute på hal is

Förespråkare för personlig integritet motsätter sig denna storskaliga övervakning av kommunikation, inklusive end-to-end-krypterat innehåll, och menar att det är ett brott mot privatlivet. Låt oss ta exemplet Chat Control 2.0:

• Massövervakning kan endast utföras med hjälp av automatiserad teknik, nämligen artificiell intelligens. Utan tillräckligt sammanhang och uttrycklig kalibrering producerar AI en häpnadsväckande mängd falska positiva resultat. Foton och videor av barn och tonåringar, som felaktigt flaggas som möjliga måltavlor för barnmisshandel, hamnar i databaser där de inte hör hemma. Oskyldiga personer, inklusive minderåriga, kan felaktigt hamna under misstanke på grund av en fras eller bild som saknar kontext som utlöser kontrollsystemet.
• Den överväldigande majoriteten av de människor som använder e-post och meddelandetjänster är inte kriminella, men deras kommunikation kommer ändå att skannas efter utlösande faktorer.
• Flaggat innehåll kommer att behöva granskas och utredas av brottsbekämpande tjänstemän. En enorm mängd personliga foton, videoklipp och meddelanden, inklusive sådana som delas av minderåriga, kommer att granskas och analyseras av flera personer.

Alla typer av övergrepp mot barn är allvarliga brott som kräver tydliga, effektiva och samordnade åtgärder för att bekämpa dem, med fokus på de bakomliggande orsakerna och socialpolitiken. Att skanna miljontals människors meddelanden, varav de flesta inte har något med problemet att göra, framstår som ineffektivt och skapar frågetecken kring den personliga integriteten. Även om skanningen skulle ske med godkännande har tillvägagångssättet brister och det är osannolikt att det skulle ge det önskade resultatet i kampen mot barnmisshandel, eftersom:

• Brottsutredare skulle översvämmas av tusentals, om inte miljontals automatiserade rapporter, varav de flesta skulle vara straffrättsligt irrelevanta.
• Brottslingar som skapar kränkande innehåll delar vanligtvis inte med sig av det via kommersiella e-post-, meddelande- eller chattjänster. De sprider vanligtvis innehållet via egna hemliga forum och andra tjänster som inte omfattas av den föreslagna förordningens tillämpningsområde. De kriminella hittar också sätt att kringgå kontrollsystemen genom att använda kodord och fraser som inte utlöser kontrollsystemen.
• Genom att skanna privata meddelanden och chattar kan man inte hindra spridningen av kränkande innehåll. Facebook har till exempel redan använt automatiska verktyg i flera år för att skanna Messenger-chattar för länkar till skadlig kod och bilder på barnmisshandel, men antalet automatiska rapporter har inte minskat.
• Chat Control 2.0 erbjuder inget ramverk för hur processerna för övervakning, lagring och rapportering av skadligt innehåll ska se ut, utan överlåter det åt företagen. Detta innebär att det innehåll som vi försöker hindra från att spridas kommer att ses och delas i stor utsträckning av företag, brottsbekämpande tjänstemän och eventuellt andra intressenter utan specifika riktlinjer för hur det ska gå till.

En grundläggande rättighet på spel

År 1948 förklarade FN att integritet är en mänsklig rättighet i sin allmänna förklaring om de mänskliga rättigheterna, artikel 12. De flesta som använder krypteringstjänster är laglydiga medborgare som har rätt till integritet och säkerhet samt till att använda relevanta verktyg. Bakdörrar kränker helt enkelt dessa rättigheter. Om man en gång tillhandahåller en bakdörr till krypterad kommunikation kommer snart ingen krypteringstjänst att vara verkligt privat.

Utan end-to-end-kryptering skulle inte oberoende journalister, visselblåsare eller dissidenter kunna kommunicera online utan att riskera att arresteras. Många NGO:er som arbetar i länder med bristfälliga mänskliga rättigheter förlitar sig också på krypterad kommunikation. Aktivister, läkare och jurister skulle inte heller kunna kommunicera konfidentiellt med sina klienter online eller skydda dem utan krypteringstjänster.

Integritet kontra anonymitet

Begreppen “integritet” och “anonymitet” används ofta synonymt trots att de betyder olika saker. Detta är förvirrande, särskilt när man diskuterar krypteringstjänster.

Anonymitet innebär att man döljer sin identitet. I den digitala världen kan detta innebära att man skapar en falsk profil och sprider information utan att avslöja sin verkliga identitet. Anonymitet spelar en viktig roll i visselblåsarrörelser och i kampen för mänskliga rättigheter och yttrandefrihet under restriktiva regimer, men den kan också bli ett hot i händerna på kriminella. Det är dock praktiskt taget omöjligt att uppnå fullständig anonymitet på nätet.

Integritet å andra sidan handlar däremot aldrig om att dölja något, utan om vad du är villig att dela med dig av. Det innebär att du behåller viss information, t.ex. personliga chattar, bilder och videor, för dig själv och att du har kontroll över vem som kan få tillgång till den. Krypteringstjänster ger den integritet som vi alla behöver i våra digitala liv. På NordVPN förespråkar vi integritet på nätet och att hålla oss i linje med lagen.

Vi står för integritet och säkerhet

På NordVPN står vi bakom alla internetanvändares rätt till ett privat och säkert digitalt liv.

NordVPN erbjuder en krypterad VPN-tjänst som ökar din integritet och säkerhet online. Den krypterar all din onlinetrafik med hjälp av sofistikerade algoritmer och döljer din virtuella plats genom att dirigera din trafik via fjärrservrar, så att du kan surfa med ökad säkerhet och integritet.