Svenska politiker vill att säkra meddelandeappar såsom Signal ska förses med bakdörrar. Genom dessa bakdörrar ska brottsbekämpande myndigheter kunna ta del av konversationerna trots att de är totalsträckskrypterade. Detta innebär slutet för möjligheten att kommunicera säkert, åtminstone för de laglydiga.
Bakdörrsdrömmarna diskuteras inte bara på EU-nivå utan även lokalt i Sverige. Utöver EU:s massövervakningsförslag Chat Control 2.0 och Europols Going Dark-initiativ har Sverige tagit fram ett eget utkast till svensk lagrådsremiss. Remissen heter ”Datalagring och tillgång till elektronisk information”, och remissinstansernas synpunkter har precis publicerats.
I veckans podd går Peter och Nikka igenom vad remissinstanserna tycker om det svenska förslaget. Samtidigt som Säkerhetspolisen stöttar förslaget blir det sågat längs fotknölarna av remissinstanser med teknisk säkerhetskompetens. Säkerhetsföretaget Truesec anmärker rent av på att den underliggande utredningen uppenbarligen saknade cybersäkerhetskompetens. Truesec får medhåll av Netnod som underkänner utredningens resonemang och konstaterar att förslaget förutsätter att tjänsterna bygger in sårbarheter. Journalistförbundet varnar därutöver för att förslaget tar bort journalisters möjlighet att kommunicera säkert med sina källor.
Kritiken påminner om varningarna som IT-säkerhetsbranschen redan har framfört mot massövervakningsförslaget Chat Control 2.0. Den här gången väljer dock även den tyngsta spelaren att invända. Försvarsmakten tar bladet från munnen och varnar för att förslaget ”inte kommer att kunna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part”. Politikernas bakdörrsdrömmar har blivit en fråga om det svenska samhällets säkerhet.
Remisskommentarer i urval
Utifrån sin sakkunskap genom uppdraget att leda och samordna signalskyddstjänsten ser Försvarsmakten anledning att kommentera vad som anförs i utkastet om hur anpassningsskyldigheten kan genomföras vid totalsträckskrypterad kommunikation. Försvarsmakten bedömer att kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kunna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part.
– Försvarsmakten
Detta innebär därmed att bakdörrar måste byggas in i kommunikationstjänster. Bakdörrar är att likställa med sårbarheter ur ett riskhanteringsperspektiv, och sårbarheter får aldrig byggas in i tjänster enligt Netnod. Dessutom går det lagda förslaget stick i stäv med NIS2, speciellt skäl 98.
– Netnod
Enligt Truesec saknas tillräcklig sakkunnig expertis inom cyber och cybersäkerhet i utredningen. Detta gör att konsekvenserna för totalsträckskrypterade s.k. nummeroberoende interpersonella kommunikationstjänster (”NOIK”) inte är tillräckligt utredda, särskilt hur förslaget kan leda till sämre säkerhet för samtliga användare.
– Truesec
Det är, rent tekniskt, så att anpassningsskyldigheten är omöjlig att tillgodose utan att bryta totalsträckskrypteringen. Därmed är lagförslaget att jämföra med att förbjuda totalsträckskrypterade tjänster av den allmänt tillgängliga sorten.
– DFRI, Isoc-SE och Snus
Förslaget till reglering av nummeroberoende interpersonella kommunikationstjänster i utkastet till lagrådsremiss har mycket gemensamt med CSAM-förordningen, EU-förordningen som även kallas Chat control, eftersom båda förslagen skulle omöjliggöra fullsträckskryptering. Mot bakgrund av de negativa effekter förslaget skulle få för journalister och andra som har stort och legitimt behov att kommunicera anonymt avstyrker Journalistförbundet förslaget.
– Journalistförbundet
Vidare kan krav på att tillhandahålla bakdörrar och nyckeldeponering avseende totalsträckskrypterade tjänster få motsatt effekt, eftersom det inte bara är brottsbekämpande myndigheter som kan göra bruk av dessa utan även kriminella och andra hotaktörer. Detta påpekades t.ex. av Europol och EU:s cybersäkerhetsmyndighet ENISA i ett gemensamt yttrande 2016.
– Stockholms universitet (Juridiska fakulteten)
Kapitel i avsnittet
- 00.00 Inledning
- 01.02 Microsoft inför skydd mot Teams-nätfiske
- 05.00 Bitwarden börjar kräva tvåfaktorsautentisering
- 15.49 Försvarsmakten varnar för bakdörrar
Omtalat i avsnittet
- Bluffsamtalet från Microsoft Support från 2016 (via Kjell & Company)
- Sophos artikel om Teams-baserat nätfiske
- Microsofts artikel om motverkande av Teams-baserat nätfiske
- Bitwardens artikel om nytt krav på tvåfaktorsautentisering
- Bitwardens artikel om ”security readiness kit”
- Bitwardens artikel om Webauthn PRF
- Utkastet och kommentarerna till lagrådsremiss Datalagring och tillgång till elektronisk information
- Utredningen Datalagring och åtkomst till elektronisk information (SOU 2023:22)
- NIS2-direktivet
- Europols och Enisas gemensamma yttrande från 2016
Hej
Jag har lyssnat på er de drygt 100 senaste avsnitten. Och tycker det är intressant för det mesta.
Men jag har inte fattat det här med 2fa.
Jag tycker det känns tokigt att bitwarden kräver det. Det känns som man måste byta till ett kortare och sämre lösenord på mailen bara för att kunna komma åt övriga lösenord.
Eller alltid ha med sig papper och penna för återställnings koden.
Hur ska jag komma vidare för att förstå?