Piratpartiet borde kryptera, inte skrika varg

Visst, jag tycker också att “FRA-lagen” är hemsk på många sätt. Men Piratpartiet försöker av visserligen uppenbara anledningar skrämma upp allmänheten istället för att utbilda den. De dömer ut hela riksdagen istället för att lära ut hur man gör för att kryptera informationsutbyte. De sörjer svarta måndagar istället för att slå på kryptering på hemsidan och e-post (HTTPS respektive StartTLS) för piratpartiet.se. Från min horisont försöker de primärt att skaffa sig medlemmar istället för att se till att FRA inte kan avlyssna dem.

Normalt är jag inte särskilt politisk, men se det här som en teknisk uppmaning att kryptera din kommunikation istället. Så småningom kanske jag själv tillhandahåller alla mina tjänster krypterade, men StartTLS kör jag åtminstone för min e-post.

23
Jun 2008
POSTED BY
POSTED IN Politik Säkerhet
DISCUSSION 30 Comments
TAGS

30 Responses to : Piratpartiet borde kryptera, inte skrika varg

  1. Sveder says:

    Visa gärna begriptligt hur man sätter upp StartTLS. Det verkar väldigt kryptiskt.

  2. pawal says:

    Det beror helt på vad du har för MTA, förstås. Men enkelt beskrivet så skapar du ett nyckelpar för din MTA, och sedan berättar du för den att de ska använda dessa nycklar för att prata med andra MTA:er. Du kan läsa något mer utgående från den här Wikipedia-sidan: http://en.wikipedia.org/wiki/STARTTLS

  3. Problemet är att kryptering inte är någon lösning för att på sikt skydda demokratin och rätten till ett privatliv. FRA kommer fortfarande se vilka som är i kontakt med vilka, och få ett fullständigt sociogram över politiskt aktiva personer. Har de väl identifierat en politisk dissident kan de med en knapptryckning få fram alla hans kompisar. Det blir mycket svårare att föra en öppen politisk diskussion i ett samhälle där alla vet att de kan råka ut för tråkigheter om de umgås för mycket med politiskt radikala personer.

    Regeringen kan också genom ett enkelt beslut skaffa sig tillgång till en fullständig förteckning över alla som väljer att besöka “olämpliga” sajter, där “olämpliga” betyder det som regeringen för stunden tycker är olämpligt. Det är inte någon bra grogrund för det öppna demokratiska samhället.

    För att i praktiken upphäva källskyddet för den som tipsar en journalist är det normalt inte nödvändigt att ha en läsbar kopia på själva mejlen. Det räcker med att se i trafikloggarna att person X på den och den myndigheten hade täta kontakter via mejl och telefon med journalist Y, som sedan gjorde ett avslöjande om missförhållanden på myndigheten. Då kan tipsare X känna sig rökt, vad det än finns för fina formuleringar om att det är förbjudet att efterforska källor.

    Och vad ska vi medborgare göra när staten väljer att förbjuda kryptering och/eller anonymiseringstjänster? De är ju redan förbjudet i England att kryptera saker om man inte ger myndigheterna en kopia av nyckeln. Det leder till fängelse i upp till två år.

    Jag håller med om att kryptering är bra, och att det är mycket värdefullt med alla som lär medborgarna hur man gör, och försöker propagera för ökad användning av de hjälpmedel som finns för att skydda sig.

    Men i slutändan är det här en politisk fråga som bara kan lösas på politisk väg. Ännu så länge är det möjligt att vända utvecklingen på parlamentarisk väg genom att ställa upp i val och be om väljarnas förtroende. Då måste vi ta den chansen medan den fortfarande finns.

  4. Belorn says:

    Visst, det finns ingen bra ursäkt för en hemsida att inte ha HTTPS eller StartTLS om man inte har massiva mängder trafik som tex Wikipedia. Men FRA kan, med den nya lagen, ändå avlyssna och därav identifiera vilka som besöker Piratpartiets webbsida oavsett om de har HTTPS eller ej. Det är ändå den informationen som är mycket mera intressant för FRA än vad som faktiskt sägs. Man skulle kunna utbilda allmänheten om nätverk såsom Tor, men jag har ännu inte blivit övertygad att system som Tor är en bra slutgiltig lösning på problemet då det idag är så ineffektivt.

  5. Björn Persson says:

    Visst ska man kryptera men det är också viktigt att vända utvecklingen innan övervakningskameror i sovrummen blir verklighet. Om makthavarna får hållas så kan nästa steg mycket väl bli obligatorisk nyckeldeponering hos FRA. Storbritannien har redan infört fängelsestraff för den som inte lämnar ut sina kryptonycklar till polisen.

    Säg alltså inte “istället”. Piratpartiet och alla andra bör kryptera sin kommunikation *och* skrika varg.

  6. Jag tycker det är helt rätt att Piratpartiet skriker varg.
    På många av dessa punkter tror jag att man
    både kan äta kakan och ha kvar den.

    Vi borde döma riksdagen OCH lära ut hur man gör för att kryptera.
    Vi borde sörja svarta måndagar OCH slå på kryptering.

    Generellt är sällsynt att teknik “bara funkar”, tyvärr är
    det vanligare att lite “mindre säker” teknik “bara funkar”, men
    det anser nog du också med tanke på din formulering innehållande
    “kanske”, och “så småningom” angående dina egna tjänsters krypterade.

    Jag skulle också vilja veta mer om hur krypterar mail etc.
    Kan man få det att fungerar det om man t ex mailar från
    hotmail/gmail etc, till hotmail/gmail etc?

    Exakt hur går det till, nån som känner till någon bra tutorial?

  7. Pingback: Rick Falkvinge (pp) » Blog Archive » Kryptering är inte lösningen

  8. Magnus Hansson says:

    Det viktigaste är att få stopp på avlyssningen, inte att hålla på med kryptering. Kryptering är ett komplement som troligtvis kommer att förbjudas om för många börjar använda det. Om staten vill läsa din epost så kommer den att skaffa sig möjligheten att göra det.

  9. Mind says:

    Jag tycker piratpartiet går rätt väg. Varför ska vi acceptera att de övervakar oss? De ska inte ha den jävla rätten till att börja med, jag är skitförbannad. Utbildning om kryptering kan någon annan göra, piratpartiet gör rätt som i första hand är ett politiskt parti.

    Dessutom, kryptering skyddar inte mot att de kartlägger var man går och vilka man håller kontakt med.

  10. magnusgus@AD says:

    Det är ju en helt felaktig uppfattning att det är mer hemighetsmakeri och smusslande som är svaret på rädslan för terrorism och organiserad brottslighet.
    De grabbarna har redan lärt sig att kryptera och använda vägar som inte är så enkla att kartlägga.
    Istället är det just lagligheten i kartläggningen av medborgarna som är problemet, och som alltså kan användas emot snart sagt vem som helst.
    Precis som på Stasis tid, fast nu så mkt mer effektivt.
    Det vet de som intresserat sig mer än ytligt för frågan.
    Det vet de flesta säkert inne i riksdagen också.

    Men det var ju redan bestämt att vår kommunikation skulle säljas ut som en byteshandel mot i dagsläget (men inte nödvändigtvis i framtiden med än mer kontrollberoende regimer) mer intressant info ifrån andra “terrorbekämpande” länder.
    Och då följer man ju det som man kommit överens om i det stängda rummet.
    Ett bevis så gott som något på att hemligheter hos myndigheter är odemokratiska.

    Hela saken har ju sitt ursprung i att Statsministern bedömde det som mer pinsamt att behöva komma tillbaka till bundisarna hos Onkel Sam och förklara att vi i Sverige inte vill gå med på detta, än att ana några knytna nävar i fickan hos svensson.
    Ack vilken felbedömning det var.

  11. pv2b says:

    Konkret angående kryptering av webbsidor…

    Faktum är att använda TLS på webbsidor kan göra det *enklare* för organisationer som FRA att kartlägga webbsidebesök.

    En kort förklaring till hur webben fungerar idag. När du skriver in ett namn i din webbläsare, t.ex. http://www.piratpartiet.se, anropas ett system som heter DNS (Domain Name Service), som översätter domännamnet till en IP-adress. Den här IP-adressen fungerar ungefär som ett telefonnummer som identifierar ett visst nätverksgränssnitt.

    Redan här sker en okrypterad förfrågan. Bara genom att sniffa DNS-data kan man få väldigt mycket matnyttig information för att kartlägga surfvanor. DNS är ett stort system, och att lägga på kryptering på den nivån är väldigt svårt att genomföra. Redan där spricker alltså tesen att HTTPS på webbsidor skulle göra det svårare att kartlägga surfvanor.

    Nästa problem är hur själva förfrågan om webbsidan utförs. När det gäller vanlig okrypterad oautentiserad HTTP skickas bara en förfrågan om hela webbsidesadressen till servern, och servern plockar fram rätt sida och skickar tillbaka.

    Att hela adressen skickas på det här sättet gör för övrigt det också möjligt att flera servrar delar på samma ip-adress. Om t.ex. http://www.bomberochgranater.se och http://www.oskyldigasötakaniner.se skulle ligga på samma webhotell vore det därför omöjligt att utifrån bara IP-adressen att se vilken webbsida man besöker. Man skulle behöva kolla även HTTP-förfrågan som kräver mer resurser.

    När det gäller HTTPS finns ett viktigt säkerhetssystem i krypteringen — innan man tillåts påbörja den krypterade sessionen kollar webbläsaren att serverns krypteringscertifikat är utformat till rätt domän. Eftersom detta görs innan förfrågan om en konkret webbsida görs, gör detta även att det bara är möjligt att ha en enda HTTPS-site per IP-adress. Detta gör det även möjligt att med säkerhet veta vilken site man ansluter sig till, bara genom att titta på destinations-IP, vilket om något är en enklare analys för FRA än att undersöka sidinnehållet.

    Slutsatsen – att kryptera publikt åtkomliga webbsidor är ungefär lika effektivt som DRM. :-)

    När det gäller mail med TLS skall man också vara väldigt försiktig. När mail skickas med TLS dekrypteras det och återkrypteras igen (om du har tur) vid varje e-postserver mailet passerar. Kryptering på mailservernivå är något man måste vara mycket försiktig med om man vill att det skall vara säkert. En mycket bättre lösning är en end-to-endlösning som GPG.

    (Där tycker jag iofs att det vore bra om Piratpartiet publicerade publika kryptonycklar, och även möjliggjorde offlinekontroll av signaturer av dessa.)

    Fast även med GPG och även med TLS ser man ändå att Kalle mailar till Piratpartiet, så det är inte heller en komplett lösning för att hindra bildning av sociogram.

    Kort sagt — det här med kryptering är inte så jäkla enkelt som alla tror, och att slänga på HTTPS på en publikt åtkomlig sida löser inga problem. Du har fortfarande DNS-läckor, och gör det enklare att kartlägga besök nere på OSI-lager 3.

  12. Jonas says:

    Tjenare, skriver lite om kryptering och sådant på http://kryptera.se

  13. Pingback: Per von Zweigbergk » Blog Archive » Kryptering är inte lösningen på all världens problem!

  14. erik says:

    Tack för äntligen en sansad kommentar om FRA. Man tröttnar när pijatpartiet går man ur huse för det här (alla 10). Trodde de ville att all information skall vara gratis och tillgänglig.

  15. Det verkar som att det är omöjligt för mig att kryptera min e-post. Problemet är att jag använder Gmail, och att jag för det mesta kör via IMAP i Thunderbird, men ibland via Gmail webb-sida och då ofta från en främmande dator (t.ex. på ett Internet-kafé). Finns det någon genial lösning? Observera att Gmails superba sökfunktioner förstås måste fungera ostört i bägge fallen.

    Några förslag?

  16. Erik, då trodde du faktiskt helt fel.

    Enkelt uttryckt vill vi att publik information (t.ex. den som ingår i och bygger upp vår kultur) ska förbli publik, öppen och fri för alla medan den information som är privat ska förbli privat och personlig. Det är alla försök att privatisera publik information och publicera privat information som vi vänder oss emot.

  17. Niklas says:

    erik:

    Du skämtar förstås. Riktigt roligt faktiskt.

    Men skämt åsido: har du ens läst vad PP står för, eller gissar du bara?

  18. pawal says:

    Intressanta kommentarer, jag ska bemöta dem snart.

    Men först. Det är förvisso med stor humor som jag läser att ni vill kryptera er e-post i Gmail. Förvisso sunt, men trodde ni att ni inte redan var övervakade av främmande makt (vilket borde skrämma er mer än att vara övervakade av svenskar) när ni använder utländska tjänster för er kommunikation?

    Angående kryptering i Gmail finns det tydligen två lösningar som sägs fungera. En är FireGPG som är en addon till Firefox. En annan är ett Greasemonkey-script som gör ungefär samma sak: Gmail Encrypt.

  19. David K says:

    Förvisso hjälper kryptering en del och givetvis måste man utnyttja det så långt man kan, men jag skulle tro att en stor del av det som FRA ägnar sig åt är trafikanalys och det har kryptering en begränsad inverkan på, givet långa trafikmönster kan man rimligtvis i många fall ändå räkna ut vem som pratar med vem. Använder man enbart PGP får man exakta kopplingsgrafer, krypterar man kommunikation mellan mailservrar och mellan mailservrar och slutanvändare får man (i bästa fall) inexakt data…

    Men det klart man ska kryptera allt som går att kryptera. Hur jag ska hindra FRA för att samla in vilka utom-svenska webbplatser jag använder utan att använda en utomsvensk webbproxy vet jag inte. Men man kan ju hyra serverplats i något lämpligt land som inte gillar avlyssning, förstås.

  20. “Angående kryptering i Gmail finns det tydligen två lösningar som sägs fungera. En är FireGPG som är en addon till Firefox. En annan är ett Greasemonkey-script som gör ungefär samma sak: Gmail Encrypt.”

    Men båda lösningarna gör ju att man bara kan läsa e-posten från sin egen dator. Tji Internet-kafé. Jag tror det är ganska många som använder sin webb-baserade e-post från alla möjliga olika datorer. Då är sådana lösningar helt ogörliga.

    Dessutom tror jag att all användning av IMAP fallerar om man redan har krypterat sin post med någon av de lösningarna.

    Jag har ställt samma fråga i ett flertal forum, men hittills har ingen ens förstått frågan, utan bara rapat upp lösningar som inte är några lösningar alls. Är min situation verkligen så komplicerad och så egendomlig och så ovanlig?

  21. CM says:

    “De sörjer svarta måndagar istället för att slå på kryptering på hemsidan och e-post (HTTPS respektive StartTLS) för piratpartiet.se”

    Lysande!

  22. Kanske says:

    Bertil: Om du har en egen webbmailserver som ingen annan har tillgång till så kan du ha krypteringsfunktionen på servern och använda HTTPS från cafét. Det borde vara säkert. Annars är det kärft om det inte finns och inte kan installeras programvara för e-postkryptering på cafédatorn.

  23. Glenn says:

    Pawal: Det är en viss skillnad om myndigheterna i azerbadjan lyssnar på min post, eller om myndigheterna i det landet jag bor i gör det, myndigheterna i andra länder kan inte tillämpa sina lagar och regler på mig ändå.

    Sen är det så klart bra att kryptera allt som är hemligt eller privat, men det är ju inte det som allt detta handlar om, utan om integriteten.

    En myndighet ska inte avlyssna sina medborgare på NÅGOT sätt utan brottsmisstanke, FRA-lagen urholkar exakt detta, och ger möjligheten att när som helst utan domstolsbeslut eller ens polisiär inblandning lyssna på exakt vad dom vill, något som är DIREKT olagligt i de flesta länder förutom diktaturer.

    Vad är nästa steg ? en censurmyndighet som läser alla pappersbrev ? det är ju exakt samma sak. ..Snart så sitter vi i något som är värre än DDR där halva befolkningen övervakar den andra halvan och man åker i fängelse utan rättegång om man har skrivit något som en person tyckte verkade misstänkt eller om TV-antennen hade blåst fel.

    Jag är hemskt ledsen, men jag kan inte annat än att tycka att de som inte förstår detta är sjukligt naiva eller rent av korkade. Ta en pratstund med någon som levt i exempelvis DDR och vakna upp!

  24. Mind says:

    Glenn: Håller helt med. Eller ta en pratstund med ryssarna på mitt förra jobb. De vågade inte prata i normal samtalston, de viskade bara av rädsla för att bli överhörda. Det hjälpte inte att de nu var i Sverige, det satt i ryggmärgen, de ville inte bli dödade för att någon tolkat nåt de sagt.

    De gick mest runt som gråa spöken, kuvade och tragiska. Usch, en sån framtid vill jag inte se i Sverige.

  25. Robert Andersson says:

    FRA upprättar sexlistor. Dvs vem kommunicerar med vem och hur mycket. Nästa steg är snarast att forcera eventuell kryptering. Med hjälp av trojaner. De har nu fått en lag som garanterar frisedel för övertramp.

    Idioti.

  26. Filip Magnusson says:

    Är du go eller?
    Är väl helt sak samma om Piratpartiet slår på kryptering så man inte kommer in på deras hemsida utan att först gå igenom en iris-scanner och satt sig vid servern fysiskt.

    FRA kommer fortfarande avlyssna allmänheten som surfar på andra hemsidor, skickar mail, sms eller pratar i telefon.

    Det här måste vara det dummaste blogginlägget igenom tiderna. Kontrollerade du ens om servern som Piratpartiet samt Rickard Falkvinges blogg ligger på befinner sig utanför Sveriges gränser innan du skrev det?

    Är så himla mycket du glömt att tänka på utan det viktiga för dig är att sitta som en apa i en bur och kasta bajs på Piratpartiet som faktiskt är ett av de få partierna som går rakt ut och säger, NEJ, vill inte ha någon övervakningslag. Vilket undersökningar visar att 87% av folket håller med om, och då är det de snälla undersökningarna som inte gjorts endast bland ungdomar.

    Sluta vara rädd för att ta itu med vargen och lös problemet istället!

  27. Jesper says:

    Mjo, man kan nog göra både och utan att lyckas sämre än om man bara gör det ena.

    Nu råkar piratpartiets sympatisörer tillhöra samma låtsaspolitiska drägg som dansar i kölvattnet kring övriga partier, där de bemöter all kritik på exakt samma sätt: säg tvärt emot.

    Det ser lite löjligt ut:

    Pawal: skrik inte varg, kryptera!
    Drägg: skrik bara varg, kryptera aldrig!

    Det bådar ju faktiskt gott; endast de som tänker själva behöver oroa sig, så dem som upprörts av Kapten Träbens vargrop kan sova lugnt.

  28. Jonas B. says:

    Glenn: Underrättelsetjänster delar information rutinmässigt. Om NSA har dina sociala data kan du lita på att FRA har tillgång till dem. Du tror väl inte att FRA får alla miljoner på grund av de oerhörda hoten mot Sverige? Sådan information har ett reellt värde.

    Bertil: Du kan inte lösa ett socialt tillitsproblem tekniskt. Litar du på servern eller på klienten? På en cafédator som du försätter är opålitning kan du ju inte ens skriva in ett lösenord, än mindre hantera nycklar. Om svaret är att varken klient eller server är att lita på så är enda lösningen för dig att skaffa en laptop.

    Pawal: Jag instämmer i invändningarna. Förra årtiondet var det kul att leka med meta-headrar med terroristord för att förvilla Echelon, men visst är det mer troligt att de kör med data mining-applikationer snarare än rena textsökningar. De (underrättelsetjänster i vidare bemärkelse) borde ha lite koll på sådant vid det här laget.

    Jag kan tänka mig att det skulle vara mer intressant att köra med anonyma remailers (eller Tor) än bara krypterat om man vill undvika avlyssningen. Däremot vet jag inte hur man gör med nycklarna, man vill antagligen ha temporära sådana för att inte identifiera trafiken allt för mycket, vilket inte är lätt. Någon som vet mer?

  29. Jonas B. says:

    Förlåt, x-headrar är det förstås i mail och usenet. Jag hoppas att jag uttryckte mig förståeligt ändå. Uppenbarligen är det inte bra för huvudet med för mycket html.

  30. Aldrich says:

    Givetvis skriker piratpartiet varg – hela deras väljarkår består ju av fildelande tonåringar som just nu är livrädda att FRA ska intressera sig för deras internettrafik. Förmodligen tänker de sig att utöka kåren med några av alla de svenssons kvällspressen ägnat sommaren åt att skrämma upp.

    Vargen är redan här, och oavsett vad som händer med den svenska vargen finns vargarna på andra sidan ip-kopplet kvar.