Fra taktisk til strategisk overvåkning

Idealister innenfor matematikk og IT kjemper for å forsvare prinsippene om personvern og privatliv som verdens etterretningstjenester jobber for å avvikle. Matematikken er på idealistenes side – om vi bare tar oss bryet med å bruke den.

Tori Aarseth
Aarseth er statsviter, og fast journalist i Ny Tid.

Det er nå to år siden Edward Snowden dokumenterte det mange innenfor datasikkerhetsmiljøene hadde mistenkt over lengre tid: Amerikansk etterretning samler og lagrer all informasjon de klarer å få fingrene i fra internett og fra mobiltrafikk – om alle i hele verden. Snowden avslørte også at flere amerikanske nettgiganter gir NSA tilgang til informasjon de har lagret om sine brukere, blant annet private meldinger og e-poster. Steget fra taktisk overvåkning til strategisk overvåkning er altså så godt som fullført: der etterretningstjenester tidligere identifiserte et mål for å så sette i gang overvåkning spesifikt av det målet, samles nå all informasjon det er mulig å samle for å bygge et så komplett arkiv over all menneskelig aktivitet som det er mulig å få til.

Terrorhysteri. Snowdens avsløringer har ført til mye diskusjon rundt reformering av etterretningstjenestene og de enorme fullmaktene de fikk i etterkant av 11. september 2001. Den 2. juni vedtok den amerikanske kongressen loven USA Freedom Act, som skulle begrense noen av disse fullmaktene. Vedtaket kom etter en lang prosess med mye motstand og utvanning av lovteksten, og det endelige resultatet innskrenker ikke overvåkningen av utenlandske statsborgere på internett. Etter over et tiår med terrorhysteri hvor nasjonal sikkerhet har trumfet de fleste andre hensyn, er det kanskje for optimistisk å tro at kongressen skal klare å tøyle NSAs fremferd ovenfor resten av verden i en fei. De positive endringene som ligger i USA Freedom Act er moderate, og det er fremdeles et veldig langt lerret å bleke for å gjenvinne rettighetene til personvern og privatliv som en gang eksisterte.

Ta kontrollen tilbake. Heldigvis har vi andre verktøy enn lover og regler for å gjenerobre personvern og privatliv som universelle prinsipper. I kretsene som jobber med datasikkerhet snakker man om et skille mellom erklært personvern og innebygd personvern. Det vanligste i dag er erklært personvern: eieren av en løsning har muligheten til å samle inn informasjon om brukerne, men erklærer at de kommer til å avstå fra å misbruke denne muligheten. Mye av lovgivningen på feltet har denne modellen som basis. På den andre siden har man innebygd personvern, som betyr at man bygger den tekniske løsningen slik at den ikke kan misbrukes – for eksempel ved at firmaet som eier løsningen ikke har mulighet til å samle informasjon om brukerne. Slik vi kjenner det i dag må folk flest bare håpe på at gode lover blir laget, stole på at lovene blir fulgt, og gamble på at sensitive personopplysninger ikke vil bli brukt mot dem på et senere tidspunkt.

En av de viktigste måtene folk flest kan ta kontrollen over sine opplysninger tilbake, og sørge for å bygge inn personvern i sin aktivitet i digitale kanaler, er å bruke kryptering. Når man krypterer noe, bruker man en nøkkel for å transformere lesbar tekst til uforståelig chiffertekst. Å dechiffrere resultatet er nærmest umulig dersom man ikke har nøkkelen det ble kryptert med. Kryptering er altså et verktøy som gir vanlige folk makt til å sørge for sitt eget personvern. En av utviklerne bak anonymiseringsverktøyet Tor, Jacob Appelbaum, oppsummerer styrken ved kryptering slik: «Ingen mengde vold kan løse et matematisk problem.» Her må selv de mektigste etterretningstjenester gi tapt for matematikken.

Er kryptokrigen vunnet? Hvis vi ser noen år tilbake, var kryptografi en kunst forbeholdt militæret og etterretningstjenestene. I USA var krypteringsteknologi underlagt eksportkontroll på lik linje med avanserte våpen. Samtidig vokste det frem et behov for kommersiell bruk, blant annet for å beskytte banktransaksjoner. På begynnelsen av 90-tallet, i internettets spede barndom, begynte en del IT-folk å se kapasiteten for overvåkning som lå i den nye teknologien, og dermed også behovet for at folk flest måtte ha tilgang til krypteringsverktøy. Det ble begynnelsen på den første kryptokrigen og chifferpønkbevegelsen, som blant andre Julian Assange og Wikileaks assosierer seg med. I En chifferpønkers manifest skrevet av Eric Hughes i 1993, er posisjonen tydelig: «Personvern er nødvendig for et åpent samfunn i den elektroniske tidsalderen,» og: «Personvern i et åpent samfunn krever også kryptografi.»

Heldigvis har vi andre verktøy enn lover og regler for å gjenerobre personvern og privatliv.

Kontrollregimet over krypteringsteknologien ble utfordret både av individuelle chifferpønkere som begynte å lage løsninger for privat bruk, og fra kommersielle krefter som så behovet for å kunne sikre kredittkortbetalinger over internett. Forsøk på å forby privat bruk av kryptering ble slått tilbake den gangen – men er kryptokrigen vunnet en gang for alle, eller har tilhengerne av kontroll simpelthen byttet strategi? Blant Snowdens avsløringer er NSA-programmet Bullrun, som er bygget for å knekke etablerte krypteringsmetoder, og vi vet også at teknologifirmaer blir presset til å installere bakdører i løsningene sine slik at etterretningstjenestene kan hente ut informasjon. Storbritannias statsminister David Cameron har talt for å forby kryptering som ikke har en bakdørsløsning for etterretningstjenester, og USAs president Barack Obama er på samme linje når det gjelder kryptering av tjenester på smarttelefoner.

Kryptering for alle. Om et nytt kapittel åpnes i kryptokrigen, gjenstår å se – men dagens raske fremvekst av krypteringsløsninger basert på åpen kildekode vil i så fall gjøre målet vanskelig å nå for Cameron og Obama. Det er godt nytt for journalister, aktivister og andre som ønsker å beskytte sin private kommunikasjon fra overnysgjerrige spioner. Det vil kanskje være mulig for etterretningstjenestene å presse firmaene som eier proprietær programvare, der kildekoden er hemmelig, til å gi dem tilgang. Når kildekoden derimot er åpen, vil det være vanskeligere å få inn bakdører, og slike vil uansett kunne oppdages av andre utviklere i det internasjonale fagmiljøet. Med andre ord er åpen kildekode en helt essensiell attributt når man skal ta i bruk krypteringsverktøy for å beskytte sin egen informasjon og kommunikasjon. Hva kan så kryptering brukes til, og hvordan?

Du har nå lest 3 gratis artikler denne måned. Er du abonnement, logg inn i
toppmenyen eller tegn online abonnement (69kr) for å lese videre.

DEL

Legg igjen et svar

This site uses Akismet to reduce spam. Learn how your comment data is processed.