I början av 90- talet fanns en vida spridd teknikdeterminism: "Information
wants to be free." Det stämmer inte: "Information doesn't want to be free –
people want to be free." Kryptografin är tekniken som låter oss ta makten över
vår egen kommunikation. Tekniken ger mer makt till individen. Men ett samhälle
helt utan regleringar är inget alternativ. Det handlar om en delikat balansgång
där värderingar måste stå i fokus.
Mycket i vårt samhälle hänger på att vi kan hålla saker privata. Utan den
moderna tekniken och dess kryptografi skulle inte dagens finanssystem kunna
fungera globalt och snabbt så väl som de gör. Många avtal sluts över nätet, och
konfidentiella handlingar sänds över nätet varje dag. Journalister vill kunna
kommunicera med sina källor utan att någon läser deras korrespondens. Redan i
dag är trafiken över nätet avgörande för de flesta samhällen. Dess roll i
framtiden är ännu viktigare. Kryptografin ger oss möjlighet till de säkra
transaktioner som är livsviktiga för att vi skall kunna använda Internets
potential fullt ut.
E- handeln behöver säkra digitala signaturer och förmodligen också digitala
pengar. Elektronisk demokrati kräver omröstningar som inte kan manipuleras.
Viktigast är att kryptografin möjliggör det livsviktiga förtroendet hos
människor för att transaktioner över nätet är säkra. Utan detta förtroende
kommer inte användningen av Internet att drivas vidare.
Därför är det farligt att kryptografin och dess applikationer inte
diskuteras. I dag sänds nästan all e- post okrypterad. Skrämmande många
människor förstår inte farorna med detta. Det är den elektroniska motsvarigheten
till att folk skulle sända över känslig information, som kontrakt,
betalningsorder, beställningar, sina medicinska handlingar, sin privata
korrespondens etc skrivna på vykort i stället för lagda i kuvert. Vi vill skydda
våra privatliv, vår yttrandefrihet och våra transaktioner. Även i ett
demokratiskt samhälle är möjligheten att uttala sig anonymt viktig. Hur skall
man annars våga använda sin meddelarfrihet mot offentliga och privata
arbetsgivare, för att ta ett exempel.
Tyvärr handlar de få diskussioner som förs i samhällsdebatten i dag om hur
vissa individer och grupper kommer att använda kryptografin för olagligheter.
Ofta hör man åsikten "Den som har rent mjöl i påsen har inget att frukta"
uttalas till stöd för förbud, restriktioner och regleringar. Denna åsikt är rent
diktatorisk, och hör inte hemma i ett liberalt och demokratiskt samhälle. Vem
ska avgöra vad som är rent mjöl i påsen? Oftast bestäms detta mer av vem som har
makten än vad som är moraliskt.
Kan man med hjälp av kryptografi förhindra att olagligheter utförs? Kanske,
men kostnaden för att göra detta blir förmodligen mycket hög. Alternativ som att
öppna all e-post och förbjuda Internet har på allvar diskuterats, och på vissa
håll applicerats, men i dag ser vi vilka kostnader det skulle medföra.
EU på obehaglig väg
Hittills har Sverige haft en rätt liberal lagstiftning kring kryptografi;
medborgarna får använda kryptoteknik om de vill och importen är fri. Detta
kommer förmodligen att ändras snart, eftersom EU:s tidigare tämligen frihetliga
inställning till kryptografi har ändrats.
EU förbereder regler som innehåller ordalydelser som: 1. Skyldigheten för
operatörer att radera och anonymisera datatrafik "hindrar allvarligt"
brottsutredningar. 2. Det är av "yttersta vikt" att "tillgång" till datatrafik
blir "garanterad" för brottsutredare. 3. Kommissionen skall: a) vidta "omedelbar
handling" för att säkerställa att brottsbekämpande myndigheter nu och "i
framtiden" skall få access för att "utreda brott där elektroniska
kommunikationssystem används eller har använts". b) "handlingen" skall vara en
"revidering av de regler som tvingar operatörerna att radera datatrafik eller
anonymisera den".
Vad detta betyder i praktiken är att alla data skall vara öppna för
undersökning av myndigheterna, om bara misstanke om brott föreligger. Detta
gäller inte bara det som misstänks vara organiserade brottssyndikats
transaktioner, utan all brottslighet. EU:s lagförslag har dessutom den
obehagliga sidoeffekten att inte bara de som utfört ett brott eller är
misstänkta för det, utan också de som kommunicerar med dem blir underkastade
granskning. Kommunikationsanalys där man spårar vem som kommunicerar med vem och
därmed försöker hitta misstänkta kluster används ju redan i dag av t ex SÄPO,
men med ett sådant här system blir det än mer lockande.
Det tvingar också den framtida lagstiftaren att inkludera denna möjlighet för
brottskämpande myndigheter att ha tillgång till datatrafik och kunna arkivera
den i 7 år. Denna lagstiftning ger betydligt större möjligheter till kontroll,
än vad t ex amerikanska FBI begärde och fick avslag på. Handläggningen sker
dessutom i skymundan, där EU:s myndigheter ofta har vägrat att lämna ut dokument
till intresserade parter som önskar bevara kryptografin. Vad vi ser här är en
europeisk variant av det amerikanska Echelon-programmet. Nyckeldeponering kommer
att krävas.
Begränsningar av civil kryptografi kommer att öka riskerna i samhället.
Brottslingar kommer alltid att använda de medel som står till buds, vare sig de
är tillåtna eller ej, så de kommer inte att störas. De som inte kan skydda sitt
privatliv blir de vanliga medborgarna.
Då brottslingar knappast kommer att deponera sina nycklar, blir det enda
sättet att garantera systemet att i nästa steg förbjuda all annan kryptering.
Det kommer inte att lyckas, eftersom nya kryptossystem ständigt utvecklas. Då
återstår att även forskning om kryptografi i slutändan skulle behövas förbjudas,
globalt,. Att direkt förbjuda kryptografisk forskning kommer nog inte att bli
det direkta medlet i de demokratiska länderna, men däremot att försöka återföra
den i en "ansvarig" fåra. Det är inte bara staterna som är pådrivande i att
försöka begränsa kryptografins spridning; många industrier (t ex musikbranchen
och filmindustrin) är ju starkt emot kryptoanalys av sina system (SDMI, DECSS).
Därför handlar det till viss del om att man försöker begränsa den akademiska
friheten, t ex genom hot om stämning.
Echelon medför problem
Även om man litar på staten i dag, kan ju saker och ting förändras och nya lagar
införas, som plötsligt gör en till en lagbrytare. Svensk politik verkar ju
ibland styras av moralpanik. Men vad händer om detta införs i praktiken? Kan det
bli effektivt? Echelon-programmet har exempelvis ett inbyggt problem att
kontrollera vissa typer av material, när man har snappat upp meddelandet. Först
måste man ju identifiera det som en viss typ av material, och det blir svårare
och svårare givet att mängden meddelanden på Internet ökar. Echelon utnyttjar
kontextkänslig sökning, så den försöker sålla ut relevanta meddelanden baserat
på sammanhang och inte bara sökord. Superdatorer räcker inte till för att
behandla den allt snabbare växande mängden information.
Snarast borde strävan efter en grad av laglydnad likvärdig andra
kommunikationskanaler vara mer berättigad. Jämförelsen med vanlig post blir här
relevant igen; sker det färre brottsliga transaktioner genom kuvert än genom
kryptering?
Innehav av tryckpressar har varit förbjudet i många diktaturer; detta har
ofta pekats ut som ett av diktaturens kännetecken. Men ofta förs just liknande
resonemang även i demokratier med motiveringen att "det är svårt att reglera den
nya tekniken". För vad är egentligen kravet på att nycklar till de
kryptografiska koderna skall deponeras? Det är ett krav på att tekniken måste
utformas på ett visst sätt, ett sätt som passar lagstiftaren. Faran är här
tendensen att bygga in regler om hur programmen får användas redan i mjukvaran,
som exempelvis Microsoft gjort med många av sina produkter. Detta är
motsvarigheten till att Volvo skulle bygga en bil som maximalt kan gå i 90
km/tim, för fortare än så skall ju ändå inte användaren köra. Kan ni tänka er
vilket ramaskri det skulle bli? Med rätta, det är inte producenten som skall
bestämma hur konsumenten använder sin produkt. Ansvaret för bruket ligger hos
användaren.
Ska tekniken regleras?
Det skrämmande är ju att detta kan bli ett konkurrensmedel; om ett
mjukvaruföretag kan visa content providers och staten att dess system hjälper
dem att implementera önskade restriktioner, kan man få dem att gå ifrån
konkurrenterna. Sedan kan man fråga sig om det verkligen är tekniken som skall
regleras? Är det inte informationen som tekniken översänder, precis som med
andra medier?
Det finns en tröghet i att stifta nya lagar. Det är bra. Det är livsviktigt i
en demokrati att beslut inte sker förhastat, men det sker för långsamt i
jämförelse med den tekniska utvecklingen. Lagarna kommer med stor sannolikhet
bara att drabba dem som inte kan så mycket om kryptografi. De som kan den och
hänger med i utvecklingen fortsätter som tidigare och bevarar sin "privacy". De
som inte kan kringgå reglerna genom snabb utveckling kan inte använda den nya
tekniken. Risken finns att dessa lagar om kryptografi skapar och befäster en
digital kunskapsklyfta mellan människor. Kanske vi måste acceptera att vi, för
att bevara ett öppet samhälle, precis som i fallet med brevhemligheten för
slutna försändelser och brev som kan hjälpa brottslighet att hålla sig hemlig,
måste se till att alla kan ta del av Internet.
De regler som finns i EU och USA påverkar ju också vilket tillstånd som
kommer att råda för kryptografin i mindre demokratiska länder. En restriktiv
politik spelar diktaturerna där i händerna. Då har även dessa möjligheten att få
bättre genomslag för sina ännu mer restriktiva linjer. Om två dissidenter
skickar krypterade meddelanden mellan sig kan man stoppa dem, men om alla gör
det? Det kan kanske vara värt att vissa kriminella transaktioner får ske via
kryptografi här hos oss, om det innebär att människor i Kina, Irak och andra
diktaturer kan utföra s k "kriminella" transaktioner mot sina diktatoriska
regimer.
Något som ofta tas upp är risken för organiserat industrispionage. EU gick
nyligen ut med en deklaration att man anser att Echelon är en risk för
europeiska företag och institutioner. Både USA, EU och andra har anklagat
varandra för dataintrång. De underrättelsetjänstemän som såg ut att bli
arbetslösa när det kalla kriget tog slut, har i stället fått en ny lönsam
marknad. Här kan faktiskt nyckeldeposition öka problemen och öka misstron. Om t
ex ett amerikanskt företag med strategiskt viktig forskning, verksamt i Europa,
av lagen tvingas att lämna ifrån sig sina nycklar till någon myndighet, hur
länge kommer det att dröja innan någon högt uppsatt person inom
underrättelsetjänsten begär att få en kopia omgående?
En kryptografisk elit
Tillgången till kryptografi kan bli en klassfråga. Kanske kommer det att skapas
en kryptografisk elit som kan behålla sina hemligheter och knäcka alla andras
koder. Vi vill ju veta allt om alla andra, men inte att de ska veta något om
oss. Kontrollmekanismerna kartlägger den vanliga medborgaren, men den
kryptografiska eliten skyddar sig genom system som t ex Freedom Net, som
anonymiserar användaren.
Denna bild är en variant av den framtid som målas upp av David Brin i boken
The transparent society, där han pekar på att vi antingen får ett mycket slutet
samhälle, där användningen av kryptografi är starkt begränsad till de kunniga,
eller ett öppet samhälle där alla använder det.
Jag tror att problemet med lagstiftarna i dag är att de alltför ofta ser
lagen som något som måste konstrueras snarare än upptäckas av lagstiftaren. Man
ser inte att tekniken faktiskt kan förändra samhällssystem eller göra vissa
rättsregler och förhållanden mer eller mindre önskvärda. I dag ser man ofta att
nya lagar tenderar att stiftas utan hänsyn till hur tekniken ser ut. Är PUL
bekant? Detta styr in lagarna i en tendens att bli generella och abstrakta och
därmed öppna för godtycke, vilket gör dem svåra att förstå och följa.
En reglering skall vara en styrning med faktiska effekter, inte bara ett sätt
att "markera" att lagstiftaren inte tycker om något. Detta försvagar lagarna.
Man medger egentligen redan vid stiftandet, under bordet, att lagen inte går att
efterleva. "Varför skulle det då vara annorlunda med andra lagar?", kan
tankegångarna börja gå.
I dag finns dessutom en tendens hos lagstiftaren att lägga över ansvaret för
att lagarna efterföljs på de tekniker som administrerar datasystemen. Detta är
samma sak som att åtala Posten och Citymail som medansvariga för de brott som
skett via post.
Utvecklingen är mycket oroande. Teknologer skall inte vara jurister. Dessa
saknar kompetensen att göra goda juridiska bedömningar, vilket hotar vår
rättssäkerhet. Systemadministratörerna blir då oerhört restriktiva och
konservativa när de bedömer vilka användare och användningar i deras system som
är önskvärda. Varför blir systemoperatören restriktiv? Därför att han förstår
att han inte kan lagen tillräckligt väl och därför inte tänker ta några risker.
Det är därför bättre att inskränka än att öppna upp systemen, så att ingen annan
än användarna kan klaga, och de klagar ju ändå alltid. Dessutom kan vissa
systemadministratörer ha egna agendor, som inte alls sammanfaller med
lagstiftarens intentioner. Det kan bli mycket svårt att granska att den praxis
som dessa upprätthållare av lagen utvecklar, verkligen följer lagens anda.
Det öppna samhället
En statlig reglering av användandet av kryptografi innehåller alltså faror för
demokratin. Men har inte samtidigt reglering positiva effekter? Reducerar inte
regelverk transaktionskostnader för dem som vill interagera? Skapar de inte en
trygghet för användarna? Lider inte krypto-anarkister av en övertro på
kryptografins möjligheter? Det helt säkra kryptografiska systemet är ju
oanvändbart, för ingen kan lösa det. Alltså kommer ibland kryptering att kunna
knäckas. Vad kommer då konsekvenserna att bli?
Är inte faran att kryptoanarkin också kan omöjliggöra användandet av god
kryptografi? Detta stämmer, men alternativet till statlig reglering är inte
anarki.
David Brin hävdar att samhällen som väljer den öppna vägen, där all
information är tillgänglig för alla, måste befolkas av mer moraliskt utvecklade
människor för att kunna fungera. Detta är absurt. Vi kan inte förutsätta detta
för att ha ett öppet samhälle; då kommer vi aldrig att få det. Djävulen måste
kunna styra ett samhälle, bara reglerna är goda. Reglerna måste vara utformade
så att de är lönsamma att följa i det långa loppet. Vilka alternativ till
statsreglering och anarki ser vi då?
Självreglering, d v s att aktörerna på marknaden bestämmer vilka regler som
skall gälla för kryptografin. Detta är en väg som är riskabel. Stora företag och
organisationer har mycket större politisk makt i samhället, och vi kan få en
minoritet som reglerar en majoritet, vilket gör att inte heller dessa regler
följs. Vi kan dessutom få samma problem med att reglerna reglerar en redan
föråldrad teknik.
Samreglering, d v s att en industri tar fram reglerna i samråd med
lagstiftaren, medför samma problem. Det förstärker tendenserna till
korporativism i samhället, där särintressen får statsbärande funktioner. Vem får
sitta med vid förhandlingsbordet? Särskilt oroande är detta, då mycket av
tankarna bakom lagstiftningen har gått åt det här hållet. Många av
kryptolagförslagen försöker ju bibehålla en maktskillnad mellan medborgaren å
ena sidan och stat och stora företag å den andra. Dessa får rätten att gå långt
för att uppnå sina syften, men medborgaren ges inte motsvarande verktyg för att
hålla dem ansvariga.
Statlig reglering, självreglering och samreglering har alla problemet att man
vill sätta ett regelverk. Men det är kanske inte regler som kan skydda oss, utan
teknik: "The answer to the machine is the machine." Genom teknik och kunskap kan
man skydda sig.
Genom en förståelse av att tekniken utgör grunden för vårt skydd, öppnas
banan för spontan reglering, d v s att enskilda subjekt kan införa regler för
hur kryptografi kan användas och inte användas.
Privat och offentligt
Professor Irving L Horowitz hade ett intressant resonemang om detta på 2001 års
Hans L Zetterberg-föreläsning på Cityuniversitetet. Han anser att mycket av
dagens diskussion alltför ofta utgår från en väldigt abstrakt nivå. Även i rent
konkreta fall hamnar man i abstraktioner. Det vore bättre att använda sig av
strukturella och tekniska analyser från aktörerna, i det konkreta fallet. Detta
möjliggör en reglering som bevarar både det privata och det offentliga. Utan det
privata mister vi vår individualitet; utan det offentliga mister vi vår
sociabilitet.
Det helt öppna samhället är lika dåligt som det helt slutna. De samhällen som
skiljer minst mellan det offentliga och det privata är faktiskt diktaturer.
Horowitz menar att många av de diskussioner som förs i dag i dogmatiska termer,
skulle kunna lösas bättre om de diskuterades i termer av äganderätt. Det farliga
är att ge de kategoriska svaren uppifrån. Olika lösningar är möjliga på olika
problem, och olika lösningar är olika bra på olika nivåer. Jämvikten mellan det
offentliga och det privata kan se olika ut i olika situationer.
Ett exempel på detta är att synen på "privacy" i samhället är att man skall
hålla de mäktiga under uppsikt. Mängden "privacy" är omvänt proportionell mot
makten. De maktlösa kan faktiskt komma undan med en massa beteenden som aldrig
skulle accepterats hos de mäktiga. Att de mäktiga vill undvika alltför ingående
publicitet är egentligen inget nytt, och det öppna samhället har också som en
viktig uppgift att hindra dem från att kunna gömma sig på viktiga områden. Men i
dag trängtar många efter erkännande, så till den grad att de faktiskt ger upp
privatlivet för publiciteten, och dessutom har tröskeln för vad som uppfattas
som ett intrång, exempelvis övervakningskameror, minskat. Dessa tankar kan också
sprida sig till hur kryptografin appliceras i olika fall i framtiden.
I början av 90-talet fanns en vida spridd teknikdeterminism: "Information
wants to be free." Det stämmer inte: "Information doesn't want to be free –
people want to be free." Om människor vill kunna använda Internet väl, så måste
man bevara möjligheten att kunna göra säkra transaktioner. Förlusterna av ett
Internet som inte når sin fulla potential kommer att bli enorma, särskilt för de
människor som lever i de relativt mer stängda samhällena jämfört med de relativt
mer öppna, och där verkar EU gå mot ökad slutenhet. Kryptografin är tekniken som
låter oss ta makten över vår egen kommunikation och de elektroniska spår vi
lämnar efter oss. Kanske för tekniken över mer makt till individen, men då måste
också individen göra något med den. Vi måste gömma nyckeln, men också se till
att dörren (samhället) den skall öppna fungerar.
