personvern eller sikkerhet

Myndighetene vil lese meldingene dine

Mennesker har alltid utvekslet hemmelig informasjon, men datamaskinenes inntog har endret våre liv dramatisk. Nå må vi spørre oss selv om hvem som skal få lov å sende hemmelig informasjon, og når det skal være lov.

I dag er datamaskiner, nettbrett og smarttelefoner allemannseie, og over tre milliarder mennesker er tilknyttet Internett. Alle har tilgang til tjenester på nettet som både forbedrer og forenkler vårt daglige liv, hvor gode eksempler er handel i nettbutikk, nettbank, chat, epost og lagring av data i skyen. Men denne teknologien legger også til rette for organisert kriminalitet og terrornettverk. Politikere, teknologer og etterretningstjenester er nå midt i en debatt om hvorvidt og hvordan kryptering av informasjon skal reguleres og kontrolleres. Hva er viktigst; personvern eller sikkerhet?

Kryptografiens utvikling

Vi har funnet spor av cipher som ble brukt til å kryptere skriftlige meldinger helt tilbake til Egypt ca. 2000 år før Kristus, og Caesar har til og med fått oppkalt en krypteringmetode etter seg for hvordan han forskjøv alle bokstaver tre hakk i alfabetet da han sendte viktige beskjeder til sine generaler. Kryptering har alltid vert et nyttig verktøy for mennesker, og vi har mange eksempler for hvordan dette har blitt brukt i både krig og kjærlighet. Under andre verdenskrig hadde Tyskland bl.a. en maskin ved navn Enigma som man trodde genererte meldinger som var umulige å knekke, noe som gav store fordeler i krigen både i lufta, på land og i vann. At Alan Turing til slutt klarte å knekke disse kodene hadde mye å si for hvordan krigen utviklet seg de siste årene, og flere hevder at det kortet ned krigen med flere år.

Alan Turing blir også regnet som den moderne datamaskinenes far, maskiner som i løpet av kort tid har gått fra å være et verktøy i forskning og militære til å bli allemannseie. Moderne kryptografi utviklet seg videre under den kalde krigen fra å stokke om på og bytte ut bokstaver etter spesielle regler, til å erstatte bokstaver med tall og basere seg på større maskinbaserte beregninger. Spesielt har krypteringssystemene Diffie-Hellmann (Whitfield Diffie og Martin Hellman,1976) og RSA (Ron Rivest, Adi Shamir og Leonard Adleman, 1977) lagt grunnlaget for all trafikk av hemmelig informasjon på Internett idag. Men vi lever også i en tid hvor dette kan utnyttes til onde gjerninger.

Vil vi la oss overvåke?

Om vi ser tilbake på terrorangrepene i Madrid (2004), London (2005), Oslo og Utøya (2011) og Paris (januar og november 2015), er det naturlig at etterretningstjenestene i Norge og andre land setter overvåkning på agendaen. Etterretningssjef Kjell Grandhagen gikk i desember 2015 så langt som å ønske tilgang til all persondata og all tele- og datatrafikk innenfor og over Norges grenser.

Senest i februar 2016 har Apple blitt pålagt av en amerikansk domstol om å legge inn en bakdør i programvaren sin, slik at FBI kan bryte seg inn i en iPhone. I praksis betyr dette at FBI skal kunne bryte seg inn i hvilken som helst iPhone og få tilgang til persondata som ligger der, noe Apple nekter å la de gjøre.

Begge de nevnte tilfellene bryter sterkt med de lover og normer vi har i forhold til personvern idag, hvor vi alle har grunnleggende rett til respekt for privatliv og til beskyttelse av personopplysninger. Dette lå også til grunne for da Datalagringsdirektivet ble erkjent ulovlig i april 2014 og Safe Harbour-avtalen ble ugyldiggjort i oktober 2015. Begge dommene ble behandlet av EU-domstolen i Luxembourg og omhandlet hhv. lagring av personopplysninger nasjonalt og utveksling av personopplysninger mellom EU og USA.

Personvern eller sikkerhet?

Dette er, og vil alltid være, en debatt om balansen mellom personvern og sikkerhet. Skal vi tilgjengeliggjøre alle våre personopplysninger, slik at etterretningstjenesten lettere kan overvåre kriminelle og lettere kunne avverge farer? Eller skal vi beskytte bedre om individene i vårt samfunn, og akseptere at kriminelle får større spillerom?

En mulig regulering er å kreve at alle krypterte meldinger enten bruker svak kryptering eller har en innebygd bakdør. Dette vil si at meldingene kun kan leses enten av de få som har tilgang på de raskeste superdatamaskinene eller de som kjenner til den hemmelige bakdøren og hvordan de åpner den. Alternativt kan en godta at hvem som helst kan bruke sterk kryptering, hvor det er allmenn godkjent at det ikke finnes bakdører i koden eller raske nok datamaskiner til å knekke krypteringen.

De praktiske utfordringene med å regulere kryptering er mange. Hvordan kan vi garantere at kun nasjonale myndigheter kan knekke den svake krypteringen? Hvordan kan vi garantere at kun nasjonale myndigheter vet om og kan åpne bakdøren? I begge tilfeller utsetter vi oss og blir ekstra sårbare for hackere som kan hente ut personopplysninger om hele befolkningen. En annen utfordring er internasjonale reguleringer og ulikheter. Hva om noen land aksepterer sterk kryptering og noen ikke? Vil det da gå an å regulere? Det kan tenkes at da vil all kriminell kommunikasjon utveksles over servere i land som ikke regulerer kryptering.

Veien videre

Det er vanskelig å se for seg at dagens foreslåtte reguleringer er veien vi kommer til å gå videre. Det er heller ikke sikkert at løsningen er presentert i denne teksten, men trenden fremover ser ut til å bli som Sårbarhetsutvalget (NOU 2015:13) oppfordrer norske myndigheter om sin rapport – om å arbeide i mot reguleringer og forbud av kryptografi både nasjonalt og internasjonalt.