MC's journal

Boomtime, the 1 day of Confusion in the YOLD 3175

Datalagringsdirektivet och möjliga vägar runt det

En varning: Jag är inte jurist. Jag kan däremot åtminstone något om datorer och datornätverk. Den här texten är en privatpersons tolkningar av lagtext och offentliga utredningar. Naturligtvis kan jag ha fel i mina tolkningar.

Bakgrund

Det verkar råda stor förvirring vad gäller EU:s datalagringsdirektiv och det som en del nyligen kallat för ett hemligt lagförslag. DN skriver om det under titeln Lagförslag: ip-adresser ska lagras ett halvår. SvD skriver om det under titeln Utkast till lagförslag om datalagring har läckt ut och förra året sa Bodström att han ser lagen som en framgång.

Det som framför allt verkar vara förvirrat bland många rapportörer i media är dels att det skulle vara fråga om något hemligt och dels vad som faktiskt skall lagras. Det är snårigt, det är helt klart, men det kanske går att få fram något klart kring det.

Själva arbetet är alltså inte hemligt. Det är en offentlig utredning som legat hos lagrådet ett tag och troligen är på väg att bli en proposition från regeringen. Medan den propositionen tas fram är själva lagförslaget inte offentlig handling, men så fort texten är klar och läggs som proposition så blir den det. Efter att propositionen lagts blir det omröstning i riksdagen och först om det då blir en majoritet som röstar för förslaget finns en angiven tid då texten också blir gällande lag. Om en majoritet röstar nej har vi troligen en regeringskris på handen.

En annan sak som verkar rätt förvirrat är att det här lagförslaget skulle "ge kraft åt IPRED", som bland annat Aftonbladet skriver i en rubrik, men sedan motsäger sig själva i brödtexten.

Det är långt ifrån klart att det här har något att göra med IPRED. Det kanske rent av blir så, att uppgifter som lagrats i enlighet med EU:s datalagringsdirektiv inte får lämnas ut alls i civilmål!

Det hela rör sig om det sedan länge väntade lagförslaget på den offentliga utredning som publicerades redan 2007. Utredningen, som alltså ännu inte blivit lag, är SOU 2007:76, Lagring av trafikuppgifter för brottsbekämpning.

Grunden för utredningen är EU:s datalagringsdirektiv 2006/24/EC

som Sverige som EU-medlem är ålagda att införa i sin egen lagstiftning. Det borde vara ett väntat beteende och ingen överraskning för någon.

Swedish Network Users Society (SNUS) har lämnat ett läsvärt remissvar på denna utredning i mars förra året:

http://www.snus.se/media/utkast/SnusRemissvarTrafikdata.pdf

Patrik "paf" Fältström har upprepade gånger skrivit på sin blog om hur frustrerad han varit över hur arbetet framskred med utredningen, se till exempel det snarast uppgivna meddelandet här:

http://stupid.domain.name/node/803

Varför datalagring?

Många har spekulerat i varför datalagringsdirektivet och lagimplementationerna överhuvudtaget kom till. Min gissning, utan att vara alltför konspiratorisk, är att det handlar om att harmonisera vad som faktiskt loggas hos de olika leverantörerna, att ge en minsta nivå som alla kan förlita sig på när det gäller hantering av missbruk. Kanske är det till och med meningen att ge en högsta nivå av integritetsskäl?

Alla leverantörer lagrar metadata om trafik. Det behövs dels för att kunna skicka räkningar till abonnenterna, dels för att kunna hantera missbruk, till exempel sändning av massiva mängder reklambrev eller olika former av nätverksattacker.

En internetleverantör som inte har några trafikdata lagrade alls och därmed inte kan hantera missbruksrapporter på adekvat sätt lever farligt; de kan mobbas ut av andra leverantörer och kanske inte kunna få till bra trafikavtal med andra leverantörer. Lagring av åtminstone viss data om abonnenternas trafik är därför nödvändig.

Olika leverantörer lagrar idag olika mycket. Datalagringsdirektivet och lagimplementationerna är nog tänkta att ge besked om hur mycket som skall lagras och vad som skall lagras för att harmonisera vad man kan förvänta sig av de olika leverantörerna. Vilka dessa data skall lämnas ut till och under vilka omständigheter är än så länge mindre klart. En del länders lagstiftning går också mycket, mycket längre än vad som kanske var tanken med en harmonisering (se nedan).

Vad skall lagras

Apropå vad som skall lagras är förvirringen lika stor. Det beror delvis på att det inte är riktigt klart vem som kommer att bestämma vad som skall lagras och vad som skall lämnas ut. Troligen kommer detta så småningom att ligga på en myndighets axlar, troligen Post- och telestyrelsen.

Än så länge har vi den offentliga utredningen, som ger en fingervisning om vad som kommer att lagras. Här är ett utdrag ur utredningen som visar vad den föreslår om lagring:

Vid telefoni ska uppgift om följande lagras:

  • uppringande telefonnummer,
  • nummer som slagits och nummer till vilka samtalet styrts,
  • uppgifter om abonnent och registrerad användare,
  • datum och spårbar tid då kommunikationen påbörjades och avslutades,
  • den tjänst som använts, samt
  • slutpunkter.

Vid mobil telefoni ska utöver det som anges under telefoni uppgift om följande lagras:

  • uppringande parts abonnemangsidentitet och utrustningsidentitet,
  • uppringd parts abonnemangsidentitet och utrustningsidentitet,
  • lokaliseringsinformation för kommunikationens början och slut, samt
  • datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst.

Vid Internettelefoni ska utöver det som anges under telefoni uppgift om följande lagras:

  • uppringande parts IP-adresser, samt
  • uppringd parts IP-adresser.

Vid meddelandehantering (t.ex. e-post och SMS) ska uppgift om följande lagras:

  • avsändarens och mottagarens meddelandeadress,
  • uppgifter om abonnent och registrerad användare,
  • datum och spårbar tid för på- och avloggning i meddelandetjänsten,
  • datum och spårbar tid för avsändande och mottagande av meddelandet, samt
  • den tjänst som har använts och spårbar tid för användandet.

Vid Internetåtkomst ska uppgift om följande lagras:

  • användarens IP-adresser,
  • uppgifter om abonnent och registrerad användare,
  • datum och spårbar tid för på- och avloggning i Internettjänsten,
  • typen av Internetanslutning som använts, samt
  • slutpunkter.

Vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst ska uppgift om följande lagras:

  • uppgifter om abonnent,
  • vilken typ av kapacitet för överföring som har använts och spårbar tid för användandet, samt
  • slutpunkter.

De uppgifter som ska lagras vid telefoni, mobil telefoni och Internettelefoni ska även lagras vid misslyckad uppringning, alltså fall där någon t.ex. inte har svarat på uppringningen.

Vad gäller de mystiska "slutpunkter" som omnämns ovan definieras de så här på annan plats i utredningen:

Med slutpunkt avses den tekniska utrustningen i en fysisk ändpunkt som står under leverantörens kontroll, såsom telefonväxlar, routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet.

I Ethernet-terminologi skall alltså följande lagras vad gäller just slutpunkten:

  • Porten på switchen som kunden är ansluten till.
  • MAC-adressen på datorn/routern som finns bakom porten
  • Abonnemanget som är knutet till den porten.

Kommentar

En viktig poäng i ovanstående utdrag ur utredningen är att HTTP-trafik inte skall loggas. Vanliga surfares vanor skall alltså inte alls lagras som trafikdata. Å andra sidan lagras någon slags inloggningsförfarande när de kommer åt nätet, i den mån det finns något sådant, och slutpunktsinformationen angiven ovan, så det går alltså att i efterhand spåra ända till lägenhetsuttaget (eller motsvarande) vem som vid ett givet tillfälle hade en viss IP-adress, helt oavsett vad de gjorde på nätet.

Naturligtvis har detta också varit möjligt tidigare, beroende på vad leverantörerna lagrat för metadata. Hos somliga ISP:er har det alltså varit självklart att känna till exakt vilken kund som finns bakom ett viss uttag i en switch vid en viss tidpunkt. Dessa uppgifter har de sedan kunnat lämna ut till polisen efter att en åklagare begärt det. Det är egentligen inget märkvärdigt.

Meddelandehantering är jobbigt. Vad är ett "meddelande"? Gäller detta alla system som tillåter generellt skickande av meddelande? Är Instant Messaging (till exempel XMPP) eller olika former av chat (IRC, MSN, et c) meddelanden? Skall trafikdata lagras här?

Utifrån utredningen blir det troligen så att de enda meddelanden som trafikdata kommer att lagras om är mail som går över SMTP, SMS och MMS och dessutom inte från alla leverantörer (se nedan).

IP-telefoni är också lite krångligt, för med SIP och liknande tekniker kan man tänka sig att det inte finns någon egentlig leverantör av själva telefonitjänsten, utan att det bara är min dator som direkt pratar med din dator. Inga specifika telefoniabonnemang behövs. Den enda leverantören är min generella internetleverantör. Är de då skyldiga att lagra trafikuppgifter även om mina SIP-samtal och därmed aktivt analysera min trafik för att hitta SIP- signalering? Troligen inte. I utredningen står:

6.6.3 Telefoni Begreppet telefonitjänst definieras i 1 kap. 7 § LEK som en elektronisk kommunikationstjänst som innebär möjlighet att ringa upp eller ta emot samtal via ett eller flera nummer inom en nationell eller internationell nummerplan, inklusive nödsamtal. Samtal definieras i samma bestämmelse som förbindelse för överföring av tal som medger tvåvägskommunikation i vad som för användaren upp- fattas som realtid.

Många Internettelefonitjänster medger inte alltid att nödsamtal genomförs. Den definition av telefonitjänst som används i lagen om elektronisk kommunikation blir därför för snäv för att kunna användas i detta sammanhang. Telefoni enligt vårt förslag bör därför definieras som i 1 kap. 7 § LEK men utan kravet att nödsamtal ska kunna genomföras.

[—]

Telefoni enligt vårt förslag ska omfatta fall där E.164-nummer används, dvs. nummer ur en telefoninummerplan. Definitionen av telefoni inkluderar därmed fast och mobil telefoni och de flesta Internettelefonitjänster. Internettelefoni som använder andra "adresser" som identifiering kommer inte att omfattas.

Ett samtal som rings med till exempel en SIP-URL, som sip:mc@example.com faller alltså troligen inte under den kommande lagen!

Vilka skall lagra?

Det är inte helt klart vilka lagen gäller. I utredningen föreslås att de som redan nu är anmälningsskyldiga till Post- och telestyrelsen (PTS) enligt Lagen om elektronisk kommunikation (LEK) skall vara de som den nya lagen gäller.

LEK säger, i princip, att de leverantörer som säljer elektroniska kommunikationstjänster till allmänheten mot ersättning är tvingade att anmäla sin verksamhet till PTS. Det är dessa som den nya lagen alltså möjligen skulle gälla. Det säger egentligen inte så mycket. Tänk på IM-system, till exempel, där en XMPP-leverantör mycket väl skulle kunna ta betalt för sina tjänster och då troligen vara skyldig att anmäla sig till PTS.

Ett privat företag som ger tillgång till elektronisk kommunikation till sina anställda eller en organisation som ger det till sina medlemmar skulle troligen inte hamna under den nya lagen och behöver inte lagra trafikdata. Kanske skulle inte heller ett företag som utan att kräva betalning för det ger tillgång till Internet behöva lagra något, alltså till exempel ett stadsbibliotek med gratis WLAN. Det är dock mindre säkert.

Observera att ett privat företag naturligtvis skulle kunna ha ännu mer drakonisk loggning av trafik än vad den nya lagen sannolikt kommer att föreslå. Det är sannolikt att många företag och organisationer redan gör det. Flera skulle säkert också gladeligen samarbeta med till exempel polisen om en åklagare krävde ut uppgifterna, helt oavsett om de faller under datadirektivet eller inte.

Danmarks implementation

Andra länder har gått mycket längre i tolkningen av EU-direktivet. De som gått längst är troligen Danmark där direktivet redan är gällande lag. Den danska lagtexten finns här (tack till Kent Engström för letandet!):

https://www.retsinformation.dk/Forms/R0710.aspx?id=2445

Här är ett utdrag ur lagtexten:

§ 5. En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal registrere følgende oplysninger om en internet-sessions initierende og afsluttende pakke:

  1. afsendende internetprotokol-adresse,
  2. modtagende internetprotokol-adresse,
  3. transportprotokol,
  4. afsendende portnummer,
  5. modtagende portnummer og
  6. tidspunktet for kommunikationens start og afslutning.

Det hela låter rätt mycket som Ciscos Netflow, något som det alltså redan finns stöd för i hårdvaran i många routers, inte bara Ciscos. Det går alltså mycket effektivt redan nu att få ut den här informationen snabbt från internetleverantörernas routers. Lite senare i texten står dessutom:

Stk. 4. Forpligtelsen til at registrere oplysninger om en internet-sessions initierende og afsluttende pakke gælder ikke for udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere, hvis registrering som nævnt i stk. 1 ikke er teknisk mulig i udbydernes system. Hvis en sådan registrering ikke er teknisk mulig, skal de i stk. 1 nævnte oplysninger i stedet registreres for hver 500. pakke, der indgår i en slutbrugers kommunikation på internettet. Tidspunktet for registreringen af oplysninger om pakken skal tillige registreres.

Vilket låter väldigt mycket som "sampled Netflow". Det känns nästan som om beskrivningen är tagen ur något marknadsföringsmaterial!

Lite senare anges:

Stk. 5. Registrering af de i stk. 1 nævnte oplysninger skal ske ved overgangen mellem udbyderens eget net og et andet eller andre net. Tilsvarende gælder for registrering efter stk. 4.

Vilket jag uttyder som "Loggningen skall ske i kopplingen mot andra internetleverantörer, på peeringroutrarna".

Sammantaget betyder det här att den danska lagen är en långtgående loggning av all form av internettrafik, inte alls bara som i den svenska utredningen. Om du alls använder Internet i Danmark bör du alltså vara medveten om detta. Allt du surfar till, allt chattande du gör, alla terminalförbindelser du gör, alla videoströmmar, audioströmmar, ja allt du tar dig för på Internet loggas.

Möjliga vägar runt direktivet

Jag vill först påpeka att helt oavsett vad datalagringsdirektivet och implementationer av det i lag säger, så är det sannolikt att det finns många andra än leverantörer av elektronisk kommunikation till allmänheten som lagrar trafikdata och kanske rent av innehållet av det du överför. Kanske gör de till och med avancerad trafikanalys på dina data. Ett internetcafé, till exempel, kan ha goda (och några onda) anledningar att göra åtminstone delar av detta.

Betrakta alltså allt du sänder på Internet som vore det avlyssnat och att du är fullt spårbar. Du är inte anonym. Det du sänder och tar emot är inte hemligt. I synnerhet om du inte gör något åt det.

Vad finns det för möjligheter att gå runt eller åtminstone minska bettet från direktivet, både i svensk och dansk form? Nedan har jag samlat några tips som jag ser som möjliga utvägar.

Observera: Naturligtvis bör man börja med att göra en analys av sin hotbild. De nedanstående möjligheterna rör sig från sunt förnuft hela vägen till det åtminstone lätt paranoida. Hotbilden kan ju se helt annorlunda ut för en person som är på väg att läcka känsliga uppgifter om korruption till exempelvis Wikileaks eller Cryptome än för någon annan.

  1. Det första och antagligen svåraste: Undvik att kommunicera elektroniskt utom när det är absolut nödvändigt.
  2. Använd leverantörer där inga personliga uppgifter behöver lämnas för abonnemang. I händelse av att abonnemangen kostar pengar, undersök möjligheter att betala kontant eller att betala på annat sätt utan att lämna personliga uppgifter.
  3. Nät: Använd ett fritt tillängligt WLAN, Internet på biblioteket, ett café med gratis Internet eller genom förbetalt GSM- eller 3G-abonnemang där du gjort betalningen kontant. Se dock varningarna om mobiltelefon nedan.
  4. Använd en kraftig anonymiseringstjänst. Detta kan vara aktuellt även om du har tillgång till Internet på en relativt anonym plats, då du kanske röjer dig för din leverantör genom innehållet i din kommunikation.

    Det främsta exemplet på en kraftig ganska generell anonymiseringstjänst är Tor-projektet.

    Observera att de de olika tunneltjänsterna, till exempel Relakks eller Ipredator, eventuellt kan hamna under anmälningsplikt och därmed faller under den kommande datalagringslagen, så de är inte säkra. De gör dig hur som helst inte anonym, oavsett vad deras marknadsmaterial säger. Dina data passerar hela tiden en enda leverantör som kan lagra så mycket de vill.

    Tänk också på att om du använder Tor-nätet för att bli anonym så skyddar det inte alls din trafik när (om) du kommer ut på det vanliga Internet. Om du har känsliga data att förmedla, kryptera dem!

    Ett spännande sätt att använda Tor-nätet är att stanna inne i Tor-nätet hela tiden, utan att passera några "exit nodes" till det vanliga Internet. Genom att göra så blir dessutom automagiskt all trafik krypterad hela vägen från sändare till mottagare. En sådan lösning för att göra Tor-nätet helt transparent för IPv6-tillämpningar är OnionCat.

    OnionCat är just nu kanske inte så tillgängligt för Vanliga Användare, men det kommer nog med lite ytterligare utveckling. Kanske slås en OnionCat-liknande utveckling ihop med vanliga Tor-programvaran.

    Ett liknande projekt som OnionCat är Invisible Internet Project, I2P. Detta nät kräver dock särskild anpassning av programmen du vill använda. Det kräver inte OnionCat, som fungerar med alla program som kan prata IPv6, oavsett vad de använder för protokoll i högre lager.

    Observera att en kunnig observatör kommer att kunna lista ut att du använder Tor eller I2P, bara inte vem du kommunicerar med efter ingången till Tor- eller I2P-nätet.

  5. Telefoni: För de flesta kontantkort för mobiltelefoner behöver du inte lämna några personliga uppgifter, men tänk på att ett mobiltelefonnummer med lätthet kan spåras till en fysisk plats (GSM-celler är väldigt små) och till en viss telefon. Telefonens IMEI-nummer (i GSM och UMTS) är unikt och den använder det när den identifierar sig mot basstationen. Likadant är det med ditt SIM-korts IMSI-nummer.

    I princip säger alltså din mobiltelefon hela tiden vem den är och var den är. Observera att en del telefoner gör detta även i avstängt skick. Det kan finnas anledning att ta ut batteriet, beroende på telefonmodell.

    Det finns därför kanske, beroende på din hotbild, anledning att byta abonnemang såväl som fysisk telefon relativt ofta, om du inte på något vis kan byta ut telefonens identifikationsnummer (IMEI).

  6. Det finns en del SIP-leverantörer som inte kräver några personliga uppgifter för användning av sin SIP-proxy. Vanligen har dock dessa leverantörer ingen koppling till det vanliga telefonnätet.

    Tänk på att du troligen kommer att röja den IP-adress du använder för både leverantören (den som kör en proxy) och för motparten i din telefonkommunikation. Åtminstone vad gäller SIP så passerar själva röstdata normalt inte proxyn, utan går direkt mellan sändare och mottagare.

    Då IP-telefoni vanligen använder sig av UDP kan det för nuvarande tyvärr inte användas genom Tor (men faktiskt genom OnionCat), men det skulle antagligen ändå bli olidligt genom Tor eftersom latensen i Tor-nätet är så hög. Vill man på något vis få igenom röstkommunikation anonymt måste det nog i bästa fall bli i komradiostil, möjligen med långa pauser, snarare än som telefoni.

    Om du vill ha ett vanligt telefonnummer kopplat till ditt IP-telefoniabonnemang kan det troligen bli svårare om du inte vill lämna ut personliga uppgifter. Jag känner inte till någon sådan tjänst. Om någon känner till det, meddela gärna.

  7. Mail: Google Mail, Hotmail och alla de andra webmailtjänsterna där ute kräver inga personliga uppgifter. Observera att detta inte på något sätt gör dig anonym i sig självt. Mailleverantören har här koll på vilken IP-adress du kopplat upp dig från. Ett sätt att komma runt det är att använda tjänsterna i kombination med Tor eller åtminstone ett nät där du är anonym relativt leverantören.

    Ett intressant alternativ beroende på vilka du vill kommunicera med är att använda en mailtjänst inne i OnionCat, vanligen utan kontakt med det vanliga Internet.

    Om du vill ha sant anonym mail till mottagare på det vanliga Internet blir det svårare. Tidigare fanns lösningar som Mixmaster, men det är sannolikt att det numera finns ganska få fungerande Mixmaster-servrar, så Mixmasters era är troligen över. Jag kan i alla fall just nu inte hitta någon gällande lista över Mixmaster-servrar att använda i en kedja.

    Ett möjligt alternativ är Mixminion, men det vet jag än så länge mycket lite om. Det är sannolikt att på grund av missbruk i form av spam så är det mer eller mindre hopplöst att använda sådana här tjänster nu för tiden.


Written by MC using Emacs and friends.