Justitsminister Peter Hummelgaard hævder, at der kan gøres undtagelser fra kryptering, og at Apple og Meta kan, men nægter at hjælpe med at fjerne materiale, der indeholder scener med børnemishandling. Begge udsagn er i modstrid med både eksperter og virksomhederne selv og rejser spørgsmål om, hvorvidt regeringen forstår, hvad den ønsker at lovgive om.
I 2019 udtalte Mark Zuckerberg, at »kryptering forhindrer alle, inklusive os, i at se, hvad folk deler på vores tjenester.« Justitsminister Peter Hummelgaard sagde imidlertid i et interview med teknologiprogrammet DR Prompt, at Meta placerer annoncer baseret på krypteret indhold, og at de let kunne hjælpe myndighederne mere, hvis de ønskede det.
Det er prisværdigt og sjældent, at en minister udtaler sig om et teknisk emne som kryptering og EU’s forslag til bekæmpelse af seksuelt misbrug af børn.
Men et interview til DR Prompt-podcasten, som jeg er medvært for, afslørede to centrale misforståelser i argumentationen. Og det er problematisk, når Danmark som formandskabsland i EU insisterer så meget på at gennemføre et kontroversielt forslag uden at forstå teknologien, selvom den faktisk er kompleks.
Den såkaldte EU CSA-forordning (forordning om seksuelt misbrug af børn), også kendt som chat-kontrol, har ifølge dens tilhængere til formål at stoppe spredningen af billeder og videoer, der viser seksuelt misbrug af børn.
I en artikel i Jyllands-Posten om emnet ‘Red børnene, børns levevilkår, digitalt ansvar’ forklarer Medierådet for Børn og Unge, Center for Digital Pædagogik og UNICEF i Danmark, hvorfor de anser det danske forslag for nødvendigt for at begrænse den enorme mængde stødende materiale, der distribueres i krypterede messengers.
Den kronik, som ministeriet delte med os forud for interviewet, besvarer imidlertid ikke spørgsmålet om, hvordan dette kan gøres i praksis uden at udsætte uskyldige mennesker for overvågning og sikkerhedsrisici.
I et skriftligt svar til DR-magasinet går Peter Hummegaard ikke ind på specifikke tekniske indvendinger. I stedet skriver han, at det er »forskere (…) og lobbyister, der med succes bruger falske oplysninger«, der skal besvare spørgsmålet om, hvad der skal erstatte »chat-kontrol«.
Desværre er virkeligheden, at der hver dag offentliggøres en absurd mængde videoer og billeder, der skildrer vold, på disse tjenester. Efter min mening lægger kritikere af lovforslaget for lidt vægt på dette, selvom den barske virkelighed burde vække vrede og opfordre til handling.
»Efter min mening er eventuelle tekniske problemer med den foreslåede model ikke et argument for passivitet,« sagde ministeren i et skriftligt svar.
Der kan ikke være begrænsede »undtagelser« til kryptering
Justitsminister Peter Hummelgaard sagde i et interview, at vi skal kunne kommunikere sikkert og fortroligt, men at politiet skal have »lovlige midler« til at få adgang til os.
»Man kunne argumentere for, at alle bør have lov til at kommunikere ved hjælp af kryptering. Men vi må erkende, at der er undtagelser, og at der er måder, hvorpå vores politimyndigheder på forskellige niveauer kan få adgang til disse oplysninger,« sagde han og tilføjede:
Ved første øjekast lyder dette rimeligt.
Men ifølge nogle af verdens mest anerkendte kryptografer kan kryptering ikke designes uden undtagelser: enten er kommunikationen sikker, eller også er den brudt. Hvis man implementerer en bagdør eller et scanningsmodul, går sikkerheden tabt for alle – uanset om de er fredsaktivister, embedsmænd eller kriminelle.
Justitsminister Peter Hummelsgaard argumenterer for, at tech-giganter som Apple og Meta allerede scanner indholdet af krypterede samtaler med henblik på målrettet reklame og derfor bør kunne scanne dem for stødende materiale. (Foto: © Sebastian Elias Uth, Ritzau Scanpix)
En rapport udarbejdet af blandt andre Bruce Schneier, Whitfield Diffie og Ronald Rivest konkluderer, at selv scanning ved såkaldte »endpoints« (brugernes egne telefoner og computere) er en krænkelse, der gør systemet sårbart. I rapporten ‘Errors in our pockets: the risks of client-side scanning’ advarer de:
“Hvor vi tidligere kunne tale om målrettede indgreb (…), er kursen nu sat for konstant massescanning af alles personlige data. Konstant, uden specifikke mistanker og uden retskendelser. Dette overskrider en rød linje”.
Eksperter advarer også om, at udenlandske efterretningstjenester og kriminelle kan og vil udnytte sådanne smuthuller.
Den kinesiske hackergruppe Salt Typhoon demonstrerede, hvordan dette kunne ske, ved at infiltrere amerikanske telekommunikationsnetværk og få adgang til fortrolige beskeder, private og følsomme samtaler – netop gennem den type bagdør, som regeringen foreslår.
Nej, Apple og Meta kan ikke læse dine beskeder.
Hammelgaards anden påstand er, at tech-giganter som Apple og Meta allerede scanner indholdet af krypterede samtaler med henblik på målrettet annoncering og derfor også bør kunne scanne dem for stødende materiale.
»Jeg er helt sikker på, at når de er i stand til at skabe teknologi, der giver dem mulighed for at scanne, hvad folk skriver og/eller siger ved hjælp af kryptering for at målrette deres reklamer så præcist som muligt, vil de også have mulighed for at slette og rapportere f.eks. billeder og videoer, der indeholder scener med seksuelt misbrug af børn,« siger Peter Hummelgaard i Prompt .
Denne påstand tilbagevises dog af eksperter samt Apple og Meta selv.
WhatsApp og iMessage bruger ende-til-ende-kryptering, hvilket betyder, at kun afsenderen og modtageren kan læse beskederne.
Apple gemmer ikke indholdet af beskeder eller vedhæftede filer; de er alle beskyttet af ende-til-ende-kryptering, så ingen andre end afsenderen og modtageren kan få adgang til dem, skriver Apple.
»End-to-end-kryptering forhindrer alle, inklusive os, i at se, hvad folk deler på vores tjenester,« sagde Meta-grundlægger og CEO Mark Zuckerberg i 2019.
WhatsApp viser reklamer, men de er baseret på metadata og offentligt tilgængelige data, ikke indholdet af krypterede beskeder. Selve beskederne er beskyttet af den samme kryptering som Signal, og ingen har hacket den.
Tekniske problemer kan have politiske konsekvenser
Begge fejl kan virke som esoteriske tekniske detaljer, som ministeren ikke burde have at gøre med. Men hvis EU vedtager en model baseret på falske antagelser, kan konsekvenserne være vidtrækkende: fra svækkelse af cybersikkerheden til underminering af borgernes, virksomhedernes og aktivisternes mulighed for at kommunikere privat.
Det er også uklart, om dette forslag vil stoppe spredningen af stødende materiale helt.
De samme eksperter peger på alternativer: målrettet hacking af mistænktes enheder efter retskendelse, mere sofistikerede efterforskningsværktøjer, undercoverarbejde i miljøer, hvor materialet distribueres, og mere effektive rapporteringssystemer.
Disse metoder kan beskytte børn uden at kompromittere den kryptering, der beskytter os alle. Hvis EU i sidste ende vedtager lovgivning baseret på et teknisk mangelfuldt grundlag, kan vi ende med en lov, der hverken beskytter børn eller borgernes ret til privatliv, men i stedet gør alle mere sårbare.