Nu verkar det som att en version av Chat Control går igenom till slut efter att ha varit en långkörare. Jag tänkte försöka skriva lite om vad jag anser i frågan. Den korta versionen är att jag faktiskt inte riktigt vet vad jag tycker om Chat Control om jag måste välja en sida, för frågan är svår. Däremot vet jag att jag tycker att både förespråkare och motståndare i många fall är ute och cyklar och gör det extremt enkelt för sig. Om man på principiella grunder tycker att frågan är lätt att avgöra är man nog egentligen inte särskilt insatt.
Tekniken
Diskussionen om Chat Control handlar kanske framför om tjänster som baseras på end-to-end kryptering (e2ee) där meddelanden krypteras i den ena enheten, i allmänhet en mobiltelefon, på ett sådant sätt att bara mottagaren kan kryptera upp och läsa det. Tjänsteleverantören själv har på olika sätt inte tillgång till nyckeln och kan därför inte veta vad som skickas.
Det här utnyttjar tjänsteleverantörer cyniskt genom att hävda ädla motiv och upplåta sina tjänster till vad de vet är kriminell verksamhet. Genom att hävda att de inte kan veta och att de bara är en databärare väljer de att titta åt ett annat håll, och går sedan småleende till banken. Det är en absurd brist på ansvarstagande.
Den ursprungliga varianten av Chat Control sa i princip helt enkelt att man inte fick göra så. Tjänsteleverantören måste kunna läsa meddelanden och försäkra sig om att det inte handlar om viss brottslighet. Det var en otroligt disruptiv lagstiftning som skulle tvinga en del leverantörer att göra om hela sin produkt från grunden, samtidigt som det i stort sett eliminerade affärsidén. Det var helt orealistiskt att tro att det skulle vara möjligt, lagstiftningen skulle i realiteten helt förbjuda många tjänster i EU.
Utan att vara helt insatt i det bantade förslaget låter det som att man nu istället tänker sig att man kan göra kontrollen av meddelandet i den sändande enheten, innan krypteringen. I teorin skulle det verkligen kunna ske i den, meddelandet aldrig röjas för någon annan och e2ee fungera i stort sett som avsett. Initialt lär det ofta gå till så att meddelandet skickas till en tjänst som får klassa det och meddelandet blir därmed röjt för någon tredje part. Men text borde vara möjlig att analysera direkt i en app och även åtminstone enklare bildanalys.
Skillnaden är att det nya förslaget inte är disruptivt på samma sätt som det gamla förslaget utan går att lägga till en befintlig tjänst, kanske till och med bara inom EU. Så det är praktiskt genomförbart på ett helt annat sätt än tidigare, och det är väl det som gör att det nu ser ut att bli verklighet.
Historisk tillbakablick
Motståndare mot Chat Control talar om vår rättighet att kunna skicka meddelanden utan att någon annan kan läsa dem. Det är historiskt en “rättighet” vi bara har haft i några år. Under nästan hela 1900-talet ansågs kryptografi vara en militär teknik som reglerades hårt framför allt i exportlagstiftning, det var nationella hemligheter. Men även i allmänhet var all kryptering förbjuden att använda för privatpersoner i erkänt totalitära stater som tex Frankrike.
Befintliga tjänster för kommunikation, post och telefoni är hårt reglerade i alla länder, okrypterade, och precis alla stater tar sig rätten att avlyssna dem när de anser sig ha rätt till det. Det är ett direkt krav på telefonisystem att medge avlyssning. Utan att veta gissar jag att det gäller precis alla länder.
Sedan kom “Internet”, dvs egentligen WWW, i början på 90-talet och snabbt började det komma ett behov av att skydda lösenord och kreditkortsinformation. Så SSL lades till HTTP och blev HTTPS, men här började man kollidera med lagstiftningen. USA tillät inte export av krypto. Som en nödlösning medgavs export av krypton med upp till 40 bitars nycklar vilket var lätt att dekryptera med brute-force redan då, men det gick iaf inte bara att läsa informationen direkt.
Ett närmast bisarrt exempel på detta är PGP som, för att ta sig förbi den amerikanska exportlagstiftningen, exporterades i form av en publicerad bok formaterad på ett sätt så att den skulle vara enkel att läsa in med OCR igen med dåtida teknik.
Ett annat exempel är Kerberos, det system för autentisering som idag utgör grunden i t.ex en Windows domän, och som bygger på tillämpning av krypto för att utväxla “biljetter” som ger tillgång till system. MIT utvecklade systemet, men kunde inte tillhandahålla det utanför USA pga restriktioner på kryptoalgoritmerna DES och senare 3DES. Det man kunde tillhandahålla var en version där de kryptografiska anropen tagits bort.
Men DES- och 3DES-algoritmerna var kända och implementationer fanns utanför USA. Entusiaster på KTH tog MIT:s kerberos kod och återinförde de saknade delarna som kunde exporteras från Sverige. Paketet kth-krb kom att bli den vanligaste implementationen i Linux-distributioner. En förfinad, specificerad version av Kerberos, Kerberos 5, utvecklades mer eller mindre samtidigt som helt separata implementationer av MIT och personer på KTH (Heimdal). Både projekten lever fortfarande.
Situationen runt kryptolagstiftningen blev alltmer ohållbar och mot slutet av 90-talet, jag tror det var 1998, släppte USA restriktionerna för kryptografi utom för ett antal utpekade sk terroriststater.
Så tillgången till tjänster med starka krypton för privatpersoner är i stort sett begränsad till de sista 20-25 åren. Men praktiskt har sådana, och e2ee-lösningar baserade på dem varit vanliga ännu väsentligt kortare tid än så. Tjänsten Signal har tex funnits sedan 2018, även om dess mindre kända föregångare varit tillgänglig sedan 2010. Med dem har staternas kontroll över medborgarnas kommunikation, på gott och ont, börjat försvinna.
Will someone please think of the children
På senare tid har stater börjat vakna upp för att man har tappat medel man tidigare haft i kampen mot den organiserade brottsligheten. Att inte ens ha möjligheten till insyn i kommunikation som är lätt tillgänglig för alla har öppnat upp för en obehindrad kommunikation i brottsliga syften som vi aldrig har sett maken till. Idag sitter personer på flykt från den svenska rättvisan i andra länder och beställer mord på personer i Sverige som betalas i kryptovaluta med väldigt liten risk för upptäckt eller att det ens går att använda spåren som bevisning när man hittar dem.
Så det vi ser är att stater försöker återta förmågor man har haft med liknande möjligheter som man alltid har tagit sig inom telefoni och post utan att någon har bråkat särskilt mycket om det.
Det jag tycker är osmakligt är att man driver det med argumentet att det bara ska handla om sexuella övergrepp mot barn. Det är ju mer än lite genomskinligt att man tar just den aspekten, för vem kan vara emot det? Hur kan dina principer vara viktigare än barnen? Det är förstås alltid hemskt när barn är drabbade, men samtidigt känner jag mig lite skeptisk till många skattningar av hur stort problemet faktiskt är, och om ändamålet helgar medlen.
Det är helt uppenbart att det kommer att finnas ett starkt tryck för att tillämpa det mot annan grov brottslighet när verktygen väl är på plats och att det med stor sannolikhet kommer att ske en glidning med tiden. Men, det kanske till och med är rätt och är det vi borde prata öppet om redan nu. “Think of the children”-argumentationen är ett sätt att kringgå en sådan diskussion.
Det libertarianska argumentet
Inte helt förvånande flödar sociala medier just nu över av, milt uttryckt, överdrivet indignerade reaktioner på regeringens beslut att stödja chat control.
Det är lätt att förstå den libertarianska ståndpunkten här. Den förs med resonemang om frihetskämpar i totalitära stater, visselblåsare som trotsar övermäktiga organisationer. Ädla saker, och vem kan vara emot det?
Jag måste förstås ha rätt att skicka meddelanden till vem jag vill utan att någon annan ens kan se vad jag skickar eftersom jag har haft möjligheten i några år. Allt annat är ett oacceptabelt ingrepp i min frihet. Jag är ju en god människa omgiven av andra jag inbillar mig har grumligare uppsåt.
Men tekniken gör ingen skillnad på om samhällsomstörtande verksamhet görs i gott eller ont syfte. Så när du väljer ringhörna här är det inte vara den utländske frihetskämpe som vill ha dina rättigheter som står där. Där står också de som fullständigt pissar på dina rättigheter. Här, i Sverige. Och då pratar jag inte bara om rättighet till anonymitet på nätet, utan alla dina rättigheter. Hela vägen ner till din rättighet att leva.
Är det en bra principiell ståndpunkt? En gång kanske jag hade sagt ja. Idag är jag skeptisk. Det här handlar inte längre om att försvara andras rätt att uttrycka dumma åsikter.
Och på något sätt ska jag tro att journalistisk verksamhet helt omkullkastas pga att man lägger till vissa villkor till tjänster som knappt fanns för tio år sedan. Hur överlevde man ens?
Det förekommer svepande, verklighetsfrånvända argument som att ”polisen måste utveckla sina metoder” för att möta problemet istället. Hur det skulle gå till lämnas såklart därhän.
Är det värt det?
Det finns just nu flera frågor av samma typ. Anonymitet i sociala medier, oreglerade, decentraliserade kryptovalutor, e2ee kommunikationstjänster. Teknik som medger möjligheter och kan användas i goda syften, men som lika gärna kan användas på annat sätt.
Problemet är att det faktiskt hotar den samhällsordning vi lever i. Organiserad brottslighet får tillgång till effektiva verktyg för transaktioner och kommunikation. Utomstatliga fientliga aktörer göder oro i samhället, polarisering och politiska åsikter där även fundamentala rättigheter vi tagit för givna i decennier alltmer ifrågasätts. Inte rättigheten att trolla på nätet utan sociala konsekvenser, utan tex flyktingars och hbtq-personers rätt att ens existera.
Är den upplevda friheten på nätet värd konsekvenserna?
Kanske kämpar folk för det här för att de ser sig som framtida signal-krigare i ett dystopiskt, totalitärt Sverige, men jag har ingen lust att jag eller mina barn ska behöva leva där. Och jag tror kanske att vi ändå behöver göra vissa justeringar av de här mer perifera rättigheterna på nätet för att slippa det.
Att bara säga att jag ska ha rätt till allt och någon annan måste hantera konsekvenserna på något ospecificerat sätt som inte påverkar mig det minsta är för dåligt.