Fra taktisk til strategisk overvåkning

Idealister innenfor matematikk og IT kjemper for å forsvare prinsippene om personvern og privatliv som verdens etterretningstjenester jobber for å avvikle. Matematikken er på idealistenes side – om vi bare tar oss bryet med å bruke den.

Tori Aarseth
Aarseth er statsviter, og fast journalist i Ny Tid.

Det er nå to år siden Edward Snowden dokumenterte det mange innenfor datasikkerhetsmiljøene hadde mistenkt over lengre tid: Amerikansk etterretning samler og lagrer all informasjon de klarer å få fingrene i fra internett og fra mobiltrafikk – om alle i hele verden. Snowden avslørte også at flere amerikanske nettgiganter gir NSA tilgang til informasjon de har lagret om sine brukere, blant annet private meldinger og e-poster. Steget fra taktisk overvåkning til strategisk overvåkning er altså så godt som fullført: der etterretningstjenester tidligere identifiserte et mål for å så sette i gang overvåkning spesifikt av det målet, samles nå all informasjon det er mulig å samle for å bygge et så komplett arkiv over all menneskelig aktivitet som det er mulig å få til.

Terrorhysteri. Snowdens avsløringer har ført til mye diskusjon rundt reformering av etterretningstjenestene og de enorme fullmaktene de fikk i etterkant av 11. september 2001. Den 2. juni vedtok den amerikanske kongressen loven USA Freedom Act, som skulle begrense noen av disse fullmaktene. Vedtaket kom etter en lang prosess med mye motstand og utvanning av lovteksten, og det endelige resultatet innskrenker ikke overvåkningen av utenlandske statsborgere på internett. Etter over et tiår med terrorhysteri hvor nasjonal sikkerhet har trumfet de fleste andre hensyn, er det kanskje for optimistisk å tro at kongressen skal klare å tøyle NSAs fremferd ovenfor resten av verden i en fei. De positive endringene som ligger i USA Freedom Act er moderate, og det er fremdeles et veldig langt lerret å bleke for å gjenvinne rettighetene til personvern og privatliv som en gang eksisterte.

Ta kontrollen tilbake. Heldigvis har vi andre verktøy enn lover og regler for å gjenerobre personvern og privatliv som universelle prinsipper. I kretsene som jobber med datasikkerhet snakker man om et skille mellom erklært personvern og innebygd personvern. Det vanligste i dag er erklært personvern: eieren av en løsning har muligheten til å samle inn informasjon om brukerne, men erklærer at de kommer til å avstå fra å misbruke denne muligheten. Mye av lovgivningen på feltet har denne modellen som basis. På den andre siden har man innebygd personvern, som betyr at man bygger den tekniske løsningen slik at den ikke kan misbrukes – for eksempel ved at firmaet som eier løsningen ikke har mulighet til å samle informasjon om brukerne. Slik vi kjenner det i dag må folk flest bare håpe på at gode lover blir laget, stole på at lovene blir fulgt, og gamble på at sensitive personopplysninger ikke vil bli brukt mot dem på et senere tidspunkt.

En av de viktigste måtene folk flest kan ta kontrollen over sine opplysninger tilbake, og sørge for å bygge inn personvern i sin aktivitet i digitale kanaler, er å bruke kryptering. Når man krypterer noe, bruker man en nøkkel for å transformere lesbar tekst til uforståelig chiffertekst. Å dechiffrere resultatet er nærmest umulig dersom man ikke har nøkkelen det ble kryptert med. Kryptering er altså et verktøy som gir vanlige folk makt til å sørge for sitt eget personvern. En av utviklerne bak anonymiseringsverktøyet Tor, Jacob Appelbaum, oppsummerer styrken ved kryptering slik: «Ingen mengde vold kan løse et matematisk problem.» Her må selv de mektigste etterretningstjenester gi tapt for matematikken.

Er kryptokrigen vunnet? Hvis vi ser noen år tilbake, var kryptografi en kunst forbeholdt militæret og etterretningstjenestene. I USA var krypteringsteknologi underlagt eksportkontroll på lik linje med avanserte våpen. Samtidig vokste det frem et behov for kommersiell bruk, blant annet for å beskytte banktransaksjoner. På begynnelsen av 90-tallet, i internettets spede barndom, begynte en del IT-folk å se kapasiteten for overvåkning som lå i den nye teknologien, og dermed også behovet for at folk flest måtte ha tilgang til krypteringsverktøy. Det ble begynnelsen på den første kryptokrigen og chifferpønkbevegelsen, som blant andre Julian Assange og Wikileaks assosierer seg med. I En chifferpønkers manifest skrevet av Eric Hughes i 1993, er posisjonen tydelig: «Personvern er nødvendig for et åpent samfunn i den elektroniske tidsalderen,» og: «Personvern i et åpent samfunn krever også kryptografi.»

Heldigvis har vi andre verktøy enn lover og regler for å gjenerobre personvern og privatliv.

Kontrollregimet over krypteringsteknologien ble utfordret både av individuelle chifferpønkere som begynte å lage løsninger for privat bruk, og fra kommersielle krefter som så behovet for å kunne sikre kredittkortbetalinger over internett. Forsøk på å forby privat bruk av kryptering ble slått tilbake den gangen – men er kryptokrigen vunnet en gang for alle, eller har tilhengerne av kontroll simpelthen byttet strategi? Blant Snowdens avsløringer er NSA-programmet Bullrun, som er bygget for å knekke etablerte krypteringsmetoder, og vi vet også at teknologifirmaer blir presset til å installere bakdører i løsningene sine slik at etterretningstjenestene kan hente ut informasjon. Storbritannias statsminister David Cameron har talt for å forby kryptering som ikke har en bakdørsløsning for etterretningstjenester, og USAs president Barack Obama er på samme linje når det gjelder kryptering av tjenester på smarttelefoner.

Kryptering for alle. Om et nytt kapittel åpnes i kryptokrigen, gjenstår å se – men dagens raske fremvekst av krypteringsløsninger basert på åpen kildekode vil i så fall gjøre målet vanskelig å nå for Cameron og Obama. Det er godt nytt for journalister, aktivister og andre som ønsker å beskytte sin private kommunikasjon fra overnysgjerrige spioner. Det vil kanskje være mulig for etterretningstjenestene å presse firmaene som eier proprietær programvare, der kildekoden er hemmelig, til å gi dem tilgang. Når kildekoden derimot er åpen, vil det være vanskeligere å få inn bakdører, og slike vil uansett kunne oppdages av andre utviklere i det internasjonale fagmiljøet. Med andre ord er åpen kildekode en helt essensiell attributt når man skal ta i bruk krypteringsverktøy for å beskytte sin egen informasjon og kommunikasjon. Hva kan så kryptering brukes til, og hvordan?

All informasjon kan i prinsippet krypteres, og hvordan dette gjøres avgjør hvilken type beskyttelse du får ut av det (se faktaboks). Kryptering kan brukes for å hindre uvedkommende i å lese informasjon på laptopen eller mobilen din, kryptere informasjon du legger inn i nettskjemaer, kryptere innholdet i eposter og meldinger, og til og med å skjule din identitet når du ferdes i de digitale kanalene. Det er allikevel viktig å huske på at kryptering ikke er noen magisk formula som beskytter mot alt. Brukerfeil skjer, programvare kan ha svakheter, og hemmelighetene dine er bare så sikre som tilliten du har til dem du deler dem med. Et eksempel er Chelsea Manning, som over kryptert chat fortalte hackeren Adrian Lamo at hun var kilden til Wikileaks-avsløringene. Krypteringen holdt, men Lamo loggførte samtalen og sendte loggen videre til FBI. Resten av historien kjenner vi alt for godt.

«Bare» metadata. En annen ting som er viktig å huske på når man krypterer digital kommunikasjon, som epost, chat, sms og telefonsamtaler, er at det er innholdet som krypteres. Såkalte metadata er fremdeles mulig å samle inn – såfremt du ikke i tillegg benytter anonymiseringsverktøy som Tor – og kan fortelle langt mer om deg og kommunikasjonen din enn det tilhengere av datalagring har vært villige til å innrømme. Metadata er all informasjon om kommunikasjonen din som ikke er «brødteksten», det vil si adressen du sendte noe fra, hva slags utstyr du brukte, hvem du kommuniserte med, tidspunktet, lokasjon,en emnefeltet i epostene, og ikke minst summen av kommunikasjonen din over tid.

Jo flere i flokken som krypterer, desto sikrere blir det for alle.

En studie utført av forskere ved Stanford University viser hvor avslørende slike metadata kan være: Selv i en tidsbegrenset studie av en relativt liten gruppe som selv visste at informasjonen ble samlet inn, kunne forskerne knytte subjektene til medisinske diagnoser, abort, innkjøp av våpen, aktivitet i fagforening, dyrking av marihuana, deltakelse i Anonyme Alkoholikere og besøk på strippeklubber. Man kan bare tenke seg til hva summen av metadata over tid kan fortelle om en person. I tillegg kommer det at metadata er enklere for datamaskiner å systematisere og analysere enn det innhold er, så når datamengden blir av de enorme proporsjonene man får ved å overvåke alt alltid, så kan metadata være enda mer verdifullt enn innholdet i kommunikasjonen.

Foreløpig samles det sannsynligvis inn mer informasjon enn det man har kapasitet til å analysere, men teknologien som skal til for å kunne analysere all informasjonen effektivt, er i galopperende utvikling. IBM er blant firmaene som jobber med å utvikle superdatamaskiner som kan analysere enorme mengder informasjon om folk. Selv antyder de at mulige bruksområder i fremtiden kan være å forutsi medisinske diagnoser eller hvem som kan tenkes å begå kriminelle handlinger. Det høres ut som science fiction, men i lys av firmaets historie er bekymringen høyst reell. IBMs hullkortteknologi muliggjorde nemlig i sin tid en høyst effektiv folketelling og kategorisering som utgjorde basisen for nazistenes folkemord på jødene.

Ta vaksinen. En konsekvens av Snowdens avsløringer er at langt flere er blitt oppmerksomme på den begredelige situasjonen vi alle har havnet i når det gjelder beskyttelse av privatlivet i digitale kanaler, og flere ønsker en endring. Flere av de store firmaene som tilbyr maskinvare, programvare og internettjenester har sett skriften på veggen, og er i gang med å legge om systemene sine til å støtte innebygd personvern og kryptering av frykt for å miste neste generasjon med brukere. Apple styrer nå apputviklere i retning av kryptering, og Wikipedia og mange andre nettsteder har gått over til bare å bruke kryptert forbindelse til leserne. Facebook tilbyr nå varsler via kryptert epost, og mange andre følger på. Det at flere av nettgigantene har begynt å ta kryptering på alvor er spesielt godt nytt, siden datasikkerhet fungerer litt på samme måten som vaksiner: Om bare et fåtall er vaksinert, vil sykdommen fremdeles spre seg. Jo flere i flokken som krypterer, desto sikrere blir det for alle.

Selv om flere gode krefter jobber for å få til bedre lovverk, er sannsynligheten stor for at denne tilnærmingen alene vil ta lang tid og komme til begrensede resultater. Det er heller ikke nødvendig å vente på parlamentarikerne når vi faktisk har løsningen og makten til å håndheve det personvernet vi vil ha på egen hånd. Dersom etterretningstjenestene ikke vil respektere vårt privatliv, kan vi tvinge dem ved å bruke kryptering – og dermed også øke presset for bedre regulering. Vi har makten til å begrense overvåkningen av oss selv og de vi kommuniserer med, hvis vi bare lærer oss å bruke den. Som Hughes skrev i En chifferpønkers manifest: «Vi må forsvare privatlivet vårt hvis vi forventer å overhodet ha et.»


Aarseth er frilansskribent og fast bidragsyter i Ny Tid. tori.aarseth@gmail.com.

 

---
DEL