Att kringgå datalagringsdirektivet, del 1

Igår medverkade jag kort i kulturnyheterna angående datalagring. Som vi alla vet leder den breda övervakningshåven till många falska positiver, men datalagringen är ganska lätt att kringgå på internet, dock med vissa undantag. Ett sådant är e-post.

Som vi alla vet riktar sig tvångsdatalagringen mot trafikdata. När det gäller innehållsdata i e-brev så har vi ju GPG, som effektivt gör att endast den mottagare som har rätt nyckel kan läsa innehållet. Men, att köra GPG i den vanliga e-posten lämnar ändå trafikdataspår. Detta beror på att e-post är en uråldrig teknologi, som utvecklades innan EUkraterna drabbades av övervakningsiver.

Datalagringsdirektivet kommer tvinga alla som tillhandahåller e-postservrar att lagra trafikdatan, alltså vem som mejlar med vem. I fall av en klåfingrig polis eller en slarvig hantering av dessa högriskloggfiler finns det alltså goda skäl att dölja även trafikdatan.

Men hur gör man det egentligen? Next level kryptering funkar inte, utan vi måste börja re-maila… återposta(?). Det låter komplicerat, men egentligen handlar det endast om att vi blir isomorfiska med de paketförmedlade internäten, så som de konstruerades i sitt ursprungsläge. Det Nätpolitiska manifestet påbjuder:

Nätpolitiken flyttar in i cipherspace i syfte att återta kontrollen och undvika den panspektriska övervakningen. Att kringgå övervakning är en direktpolitisk handling som ställer den långsamma parlamentariska processen frågande inför nästa möjliga reglering. Att förvandla de distribuerade nätverken till cipherspace är bara en fråga om kunskap, och teknologin ligger redan i händerna på användarna.

Upp till bevis!

På nittiotalet löste man detta dilemma med re-mailers. En återpostare funkar som en snäll brevbärare som ser till att skydda dig genom att du först går genom återpostaren innan du viker upp ditt brev på vaniljinternet. Den mest avancerade varianten är chifferpunksåterpostaren (snart ballar försvenskningen av begreppen ur). Den funkar som så att du hämtar en kryptonyckel som du krypterar ditt brev med. Därefter ger du kommandon för vart chifferpunksåterpostaren ska skicka ditt brev. För att mottagaren sen ska kunna svara måste han eller hon följa samma steg tillbaka.

Ett mera modernt sätt är att använda i2p. Inuti darknetet finns både POP och SMTP-servrar som man kan använda, samt en inbyggd webmail i själva i2p-routern som man installerar. När man befinner sig i ett riktigt darknet finns ingen trafikdata att samla in inom själva nätverket… well… förutom femhundra tecken långa kryptografiska adresser. Det är först när man viker över på vaniljinternet som trafikdatan blir meningsfull, men då har man redan anonymiserat sig i mörkret.

Om man vill ta steget ytterligare mot kärnvapensäkerhet finns även i2p-bote, som är helt serverlös och peer-to-peerbaserad. Den är dock endast tillgänglig i tidiga versioner, men ju fler som använder och rapporterar buggar, desto bättre blir den.

Sen finns ju även enklare lösningar. Någon sätter upp en webmail i ett land som inte omfattas av datalagringsdirektivet. Kanske Rumänien, kanske Tyskland, kanske Island. Med en ordentlig https-anslutning sker all kommunikation krypterad till servern, och med en god systemadministratör hålls loggar till ett minimum. Som jag ser det finns det en affärsidé här… synd bara att Sverige inte får några så kallade ”entreprenörer” inom detta område då vi sabbar allt med hetslagringsdirektivet… Men allt för Madrid. Never Forget… eller whatever…

Ett lästips är för övrigt Hasse Roséns artikel om cyberkrig. Återkommer till denna senare i nästa vecka.

Förresten – varför är inte journalister tokarga på datalagringen? I princip omöjliggör ju detta meddelarskyddet som man har rätt till så fort man vill mejla, ringa eller faxa en grundlagsskyddad reporter. Srsly, det finns liksom inget sätt att ”undvika” att dessa uppgifter loggas, och om ex. polisen begär ut mina e-postloggar så kommer oundvikligen ett mail med whatever@nyhetsredaktion.se komma med. Det börjar bli lite frustrerande att det är hackers som hela tiden måste lösa detta när journalistkåren hela tiden fegar ur.

16 svar på “Att kringgå datalagringsdirektivet, del 1”

  1. Man behöver inte vara alls så noggrann. Jag pratade med en kompis som jobbar på en ISP och han hittade direkt ett halvdussin ”luckor/hål” i datalagringen.

    Hur mycket måste exemeplvis sparas om jag ringer med Skype via min mobiltelefon? Om jag surfar in på en anonym chatt och sitter och häckar där i ett chattrum? Eller använder en VPN som du skriver om?

    Lagen kommer, precis som FRA-lagen helt missa alla inom den organiserade brottsligehten och alla terrorister. De som blir övervakade är vanliga människor, som inte har en tanke på att begå brott…

  2. Lake: givetvis finns det många fler luckor. Detta inlägg handlade bara om mail.

    Med skype kringgår man datalagringsdirektivet, men hamnar istället i godtycklig kunds direktövervakning, ex. Kinesiska regimen. Dessutom är skype key escrowed, så ingen vet hur frikostigt krypteringsnycklarna säljs.

    Anonym chatt borde även funka. IRC-servrar omfattas knappast av datalagringsdirektivet.

    VPN är även det smart. Hjälper dock ej mot SMTP-servrar som i princip lagrar dina inloggningsuppgifter.

    Men visst. Det är inte de smarta kriminella som drabbas, utan the everyday user.

  3. Jag har en egen mailserver inom företaget och egentligen borde jag lagra men jag tänker inte anmäla mig frivilligt till lagring och om någon frågar efter loggar, tja, vad ska man säga? Jag erbjuder även mailadresser och hosting åt vänner och bekanta. All kommunikation in och ut är krypterad. Tyvärr är för låg andel av mottagande servrar krypterad men det börjar närma sig 50%. Hoppas det blir fler för då kan min överliggande provider inte sniffa på innehållet.

  4. Bongoman: Nice. Att drifta mailservrar är ganska meckigt har jag hört. Troligtvis (men inte säkert) så klarar du dig dock undan lagringsplikten om din tjänst inte görs tillgänglig för allmänheten eller driftas kommersiellt.

    Fler bra mailservrar/tjänster behövs.

  5. Ville: OTR är väldigt bra, men främst designat för att kryptera själva innehållsdatan. Men så länge man verifierar varandras nycklar, gärna i köttvärlden, så erbjuder det stor säkerhet.

    För att minimera trafikdata stödjer även många klienter att man använder sig av proxy-servrar. Själv kör jag pidgin under Linux, som är en väldigt trevlig klient (har för mig att Adium för MacOS är samma kod typ).

    Instant messaging kan man även kryptera med GPG-nycklar, vilket är smidigt om man ändå använder samma nycklar för att säkra sina mejl, och man då kan bygga web of trust.

    Tack för påminnelsen. borde skriva en tutorial om pidgin också!

  6. Mailservrar är lätta att köra men att bli av med spam, virus och phishing är klurigt att få att funka smärtfritt. Dessutom tar det datorkraft.

  7. En bra början är att anpassa sitt språk så att det engagerar och blir begripligt. ”Isomorfa med internäten”? Hur många Internet har vi? Och hur blir man likformig med ett nätverk? Formulerar man sig på ett sådant sätt är man inte särskilt intresserad av att påverka något i praktiken.

  8. Jonas: Det finns många andra artiklar där ute som handlar om samma sak som denna bloggpost. Om språket känns som ett hinder för dig, så kan du följa länkarna eller googla. Eller skriva en egen bloggpost, det är ju i princip gratis numera.

    Låt mig ändå förklara.

    1. Vi har så många internernet som vi bygger. TCP/IP specificerar hur en router ska fungera, vilket gör att vi kan bygga i det närmsta obegränsat många internet.

    2. Man blir likformig med ett distribuerat nätverk om man organiserar sig enligt samma logik som nätverket.

    Din sistnämnda spekulation får stå för dig själv.

  9. Hej Christopher

    Du har faktiskt ett svårt språk ibland. Åtminstone för en gammal gubbe som mig med bara 9-årig enhetsskola, och i övrigt autodidact (oj, jag kan jag med). Nåväl, du skriver oftast väldigt intressant så jag brukar tragla mig igenom dina texter.

    Med vänlig hälsning
    Roland Eriksson
    (en Göteborgare i förskingringen)

  10. Roland: Kul att du tycker att bloggen är intressant och tack för kommentaren!

    Många tycker att denna blogg är obegriplig, och kanske väljer de då att inte läsa den. Jag har dock ingen ambition att skaffa många läsare, utan jag ser bloggen snarare som en massa pågående diskussioner.

    På så sätt skriver jag väldigt talspråkligt här, ungefär som jag pratar. Det är en obskyr kombination av typ nätslang och akademikerspråk.

    Jag tror nämligen inte på att förenkla, att försöka skriva för alla. Sånt har vi tidningar till!

  11. Självklart får du formulera dig hur du vill på din egen blog. Frågan som uppstod är dock om man vill åstadkomma något med den. Då behöver man anpassa sig för att åtminstone bli begriplig.

    Jag köper inte förklaringen att TCP/IP gör att vi på något sätt kan bygga fler Internet. Det kunde vi göra ändå. Fast vitsen med Internet är ju att det endast finns ett. Tänk så tråkigt om det fanns ett EU-internet, ett Kina-internet osv.

    Det finns många saker som kännetecknar Internets organisation (frivilligt, kortfattade standarder, referenskod tillgängligt under fri licens, standarder kan ändras, globalt samarbete, stora core-nät, ett fåtal äger mycket, knutpunkternas placering och utseende etc.) så det är svårt att veta vad du menar. Jag skulle gissa att du menar att organisera sig autonomt, och då verkar det ju enklare att skriva det.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Time limit is exhausted. Please reload CAPTCHA.