KOMMENTAR: Tilrettelagt og tilsidesatt innhenting: Slik unngår du å bli overvåket

[Redaksjonen.]

KOMMENTAR: Tilrettelagt og tilsidesatt innhenting: Slik unngår du å bli overvåket

[Anders Jensen]

Ja, det er litt urovekkende at e-tjenesten er så fokuseret på skallsikring. Det gir ikke trygghetsfølelse, all den tid vi vet hvor lite effektivt det er. At de i tillegg er villig til å stille seg på kant med lovverket for å få dette verktøyet er bare enda mer bekymringsverdig.

 

Det er også merkelig, og litt tilfeldig, å legge skallsikringen til geografiske grenser da det ikke vil være ensbetydende med at kritisk infrastruktur kommer på innsiden og angripere kommer på utsiden. Vi vil ofte ha begge deler på begge sider av dette grenseforsvaret. Så en vil kunne komme opp i tilfeller hvor kritisk infrastruktur er på utsiden og angriperen er hvor som helst, og ikke har det noe å si om han er på innsiden for kommunikasjonskanalen gjennom grenseforsvaret vil være kryptert.

 

Man burde heller begynne å legge en strategi for å organisere kritisk infrastruktur på en slik måte at vi evner å forsvare den. Øvrige etterretningsbehov skulle jeg tro var mulig å dekke med mer målrettede tiltak enn masseovervåkning?

Endret 19. februar 2019 av Anders Jensen

[Sandormen]

For å være først ute med et idiotisk stråmann-svar, som noen garantert vil benytte:

 

«Ja, men Norge er ikke i krig, så et sånt system er bra for borgerne».

 

Håper de fleste forsto sarkasmen...

[tommyb]

Erfaring fra nært utland viser at det vil være behov for, og faktisk gjennomføring av, å følge opp denne loven med en neste lovendring, det synlig politisk motiverte forbud mot bruk av kryptering "der intensjonen er" å motarbeide etterretning/etterforskning. I praksis gjøre det straffbart å være noen staten ønsker å straffe. Behovet som gjør at man avkler hensikten på denne måten er teknisk - ukryptert internett er allerede i ferd med å forsvinne takket være https og tilsvarende grep for epost.

[O.H.O.]

Moderne sikkerhetsprotokoller, som den nye versjonen av TLS (1.3) er laget med formål å hindre at aktører (også snille) skal kunne avlytte trafikken. Alle svake elementer er fjernet, og nøklene genereres og benyttes kun for en sesjon. Skal trafikken avlyttes må det derfor installeres et avlyttingspunkt i et av endepunktene, og jeg kan ikke se at aktører som facebook, google, apple, microsoft vil finne seg i at den norske stat kan pålegge dem om gjøre dette utenfor Norge.

Det andre endepunktet er jo vår PC, Nettbrett eller Telefon, og der vil vi vel ikke ha noen bakdør?

 

Forøvrig ser IETF på slik masse-overvåking som et angrep på internett, og at det derfor skal gjøres så vanskelig som mulig ved å utvikle motstandsdyktige protokoller! https://tools.ietf.org/html/rfc7258

 

Innenfor etteretningsmiljøene burde det være kunnkskap om at god krypto ikke kan knekkes, for eksempel vil de jo selv benytte svært sikker kryptering i flere nivåer(ytre kryptering+indre kryptering), og kan vel ikke forvente at slemme aktører skal være noe dummere?

 

Lykke til med forsøket, Norge!

[fuzzy76]

Definitivt. Den eneste ulempen som gjenstår da, slik jeg ser det, er at HTTP over TLS fortsatt avslører domenenavn og IP-adresse. Vet ikke om det har vært brukt før, men hvis det kan bevises at din nettleser gjorde requests til gmail.com samtidig som en gitt e-post ble sendt fra en gmail-adresse, vil jeg tro det kan brukes mot deg.

 

Spesielt hvis denne korrelasjonen kan bevises for flere e-poster enn bare en.

[Anders Jensen]

TLS 1.3 krypterer SNI (domenenavn, FQDN) så man ikke kan filtrere på det, men klart hvis det er 1:1 forhold mellom IP og FQDN så er det nokså greit å koble de.

[tommyb]

Mange domenenavn er politisk dynamitt i seg selv, og da er det vel heller flere IPer til et domenenavn, enn omvendt.