Mer seminarierapporter

Som utlovat ska jag berätta lite om Tännsjö/Falkvinge-seminariet också. De två möttes redan på morgonen i en debatt i TV4:s morgonsoffa men samtalet på ABF-huset blev något helt annat. Tännsjö tillämpar i boken fyra olika etiska synsätt för att pröva hur man bör förhålla sig till övervakningssamhället och kommer till väldigt tydliga slutsatser om att vi bör se övervakningen som något positivt, med villkoret att storebror även öppnar sig för oss (hemligstämplade papper bör exempelvis offentliggöras efter fem år, föreslår Tännsjö). Det räcker med ett mycket litet privat rum (som bör vara verkligt, fysiskt) för hemligheter och den som vill ha såna bör får acceptera att avstå från att diskutera dem via digitala medier där man får räkna med övervakning. Falkvinge invände att själva kännedomen om övervakningen påverkar människors beteende och det enda verkliga skyddet för integritet är osynlighet inför storebror. Tännsjö svarar att övervakningen ändå kommer att ske och att det är bättre att det sker öppet och känt av alla. Falkvinge tog upp kryptering som ett exempel på hur privata rum kan skapas även i digitala medier, men Tännsjö menade att det är farligt att lita på att krypteringen inte kan knäckas. Den intressantaste publikfrågan kom från Netopias flitigaste kommentarsskrivare Scary Devil Monastery, som menade att oknäckbara krypton nu finns tillgängliga för alla och det kan inte jämföras med något tidigare historiskt skede. Tännsjö fick medge att om det stämmer så måste han överge sitt argument. (Haken är att det är först efteråt man vet om ett krypto är oknäckbart eller ej!)

Hela seminariet kommer inom kort på webben, publicerar länk så snart jag får den.

9

Kommentarer

  1. ”Tännsjö svarar att övervakningen ändå kommer att ske och att det är bättre att det sker öppet och känt av alla.”

    Faktum är att enda sättet för ”din sida” att vinna, Per, det är kryptering förbjuds. Så länge kryptering är tillåtet så kommer det aldrig att vara möjligt att förhindra privat kopiering av upphovsrättsskyddat material. Ju mer repressiva regler och omfattande övervakning som införs, desto mer kommer användningen av kryptering att öka. Tills dess att den förbjuds, förstås, om man nu vill fortsätta på den mörka vägen.

  2. Per Strömbäck

    Hmm, nu känner jag mig lite missförstådd! Jag tycker att det är problematiskt med just den här typen av det analoga samhällets instrument – förbud, repression, övervakning – för att reglera nätet. Det måste gå att hitta en väg som fungerar med det digitala. Nycklarna till det finns hos aktörer som ISP:ar, teknikföretag, Google, Facebook, the usual suspects…

  3. ”Det måste gå att hitta en väg som fungerar med det digitala. Nycklarna till det finns hos aktörer som ISP:ar, teknikföretag, Google, Facebook, the usual suspects… ”

    Då ställer jag samma fråga som vanligt: vilka åtgärder är det du vill se? Om du anser att exempelvis ISP:er är centrala så är det ganska uppenbart att du vill att de ska övervaka sina kunders trafik, för att kunna filtrera och blockera viss trafik.

    För övrigt gör du samma sammanblandning mellan infrastrukturaktörer och tjänsteleverantörer som vanligt. IPS:er har att leverera en neutral kommunikationstjänst. Tjänsteföretag får de tjänster som människor är intresserade av att använda.

    Men om jag missförstått dig, hjälp mig att reda ut missförståndet! Förklara vad det är du menar egentligen. Exakt vad är det du vill att ISP:er, teknikföretag, Google och Facebook ska göra?

    • Per, är du intresserad av att reda ut missförståndet eller inte. Jag väntar fortfarande på ett svar på den fråga jag ställt 23 gånger nu: ”Vad är det för konkreta åtgärder du tycker är nödvändiga?”

  4. Scary Devil Monastery

    Man tackar för omnämnandet, Per. Kul att träffas irl. Vi får ta en kopp kaffe och tala informationsteori någon gång. 🙂

    Angående oknäckbara krypton så kan jag rekommendera denna sida:
    http://www.truecrypt.org/

    Och för mer saklig information om och kring kryptering och datasäkerhet rekommenderar jag Bruce Schneier’s böcker och blogg.

    Moderna krypteringsalgoritmer som exempelvis Rijndael/AES, Twofish och Serpent har man tillbringat mycket tid på världens universitet och myndigheter att försöka knäcka. Då källkoden är öppen har varje tänkbart IT-universitet och enskilda hackers tillbringat många tusen timmar och arbeten med att leta reda på och reparera varje tänkbar svaghet som något geni eller annat lyckats finna. I dag utgår man som regel ifrån att en modern krypteringsalgoritm inte går att bryta genom analys och fokuserar därmed på att på ena eller andra sättet spekulera ut vilken nyckel som använts.

    Rijndael/AES i 128-bit är av NSA godkänt för att kryptera USA’s regeringshemligheter upp till säkerhetsnivå ”SECRET”. 192 och 256-bits kryptering av denna typ godkänns av NSA för behandling av regeringsmaterial upp till ”TOP SECRET”. Vad det egentligen betyder är att världens kanske skarpaste hjärnor inom kryptering och datasäkerhet har vågat sina karriärer på att ingen av dessa chiffer kommer att kunna brytas, oavsett hur mycket resurs man lägger ned, under de närmaste årtiondena.

    I samtliga fall när kryptering har ”brutits” i modern tid har det rört sig om att man har lyckats komma åt nyckeln. Krypterar exempelvis Falkvinge sin dators hårddisk och någon snor datorn så har de ingen chans, oavsett nedläggning av resurser, att avläsa disken. När datorn är påslagen och Rick redan har matat in nyckeln som låser upp hårddisken, så kan teoretiskt en hacker ta sig in i datorn och därifrån avläsa vad nyckeln är för något.

    Krypterings enda svaghet är därmed att någon måste ha möjlighet att låsa upp krypteringen – därmed måste det finnas en nyckel. Och den nyckeln kan i stort sett vara vad som helst. Är nyckeln ett lösenord, säg, på tio tecken, så kan man utan problem brute-forca fram nyckeln genom att köra alla upptänkliga kombinationer med en hyfsat snabb dator (”Brute-force approach”). Anger man däremot exempelvis en…tja, säg att jag beslutar mig för att min nyckel skall vara en särskild melodi från en särskild CD som jag rippat av i 128 bitrate…eller för den delen en serie på tjugotalet tecken utan rimligt sammanhang…så kommer ingen, myndighet eller privatperson, någonsin att kunna knäcka nyckeln om de inte på förhand vet vad jag har använt som nyckelfil.

    Rent praktiskt kan man se detta tillämpat i verkliga världen – ”skimming” är ett fenomen alla känner till, med bankautomater som riggats av kriminella för att ange kortkoder. Själva överföringen av data till banken är otroligt säker – men man förbigår detta genom att man avläser kort och kod innan materialet och överföringen ens krypterats.

    Digital Rights Management (DRM) är ett annat välkänt exempel. Problemet där är att man försöker skydda ett program mot uppspelning men av nödtvång måste förvara nyckeln på samma plats som den krypterade partitionen, och att den används kontinuerligt på den dator där materialet spelas upp. Alternativt kräva inloggning och ”fjärrupplåsning” av partitionen, vilket naturligtvis gör att om spelservern går ned har användaren en oanvändbar CD i stället för ett dyrt spel.

    Hela poängen med kryptering är att ju fler som använder ett och samma system, ju större problem har man med att få till en säker implementering. För enskilda individer som kan välja ett lösenord och inte behöver dela detta med andra är kryptering ett långt mer framgångsrikt skyddsvärn än vad det är för en stor organisation eller myndighet. Därmed kan man till och med hävda att enskilda individer idag har långt bättre vapen att effektivt värna sina hemligheter än en regering. Det är här jag skulle vilja säga Tännsjös argument faller.
    Skulle de glada gossarna från FRA stormat byggnaden och tillskansat sig Rick’s dator hade de helt enkelt kunnat köra den i TITAN de närmaste tjugo-trettio åren utan att få ut mer information ur den än vad de hade fått ur en genomsnittlig tegelsten.

    Samma fenomen gäller även krypterade uppkopplingar – för anonymisering, eller som skydd av banktransaktioner eller företagshemligheter. Om intresset finns kan vi behandla den saken framöver.

    Jag skulle rekommendera att man laddar ned Truecrypt eller liknande program och experimenterar med att skapa en krypterad partition.

  5. Scary Devil Monastery

    Slutnot. Det är även brister inom just implementering som gjort, exempelvis de flesta trådlösa nätverk till papier-mache-konstruktioner som i de flesta fall en trettonåring kan hacka sig in i på mellan fem minuter och en halvtimme.

    Det och att de flesta anger lösenord som kan avslöjas genom att köra en s.k. ”dictionary attack” – d.v.s. att om man provar tillräckligt många ord från väl valt lexikon så kommer man förr eller senare fram till att Svensson säkrat sin router med lösenordet ”gåslever” exempelvis. Vilket det naturligtvis finns programvara som gör.

Kommentera kommentaren