FRA-övervakningen i praktiken
Som gammal tekniker, med bland annat mer än 30 års erfarenhet av elektronisk kommunikation, så måste jag erkänna att jag är djupt fascinerad av den formidabla uppgift som FRA nu (av allt att döma) skall åläggas. Men först måste vi fastställa själva kärnpunkten i det 155-sidiga lagkomplexet, nämligen tillägget i lag (2003/389), 6 kap. 19a §, det tillägg som börjar med
För att inhämtning av signaler i
elektronisk form enligt lagen
(2006:000) om signalspaning skall
kunna ske, är operatörer som äger
tråd i vilka signaler förs över Sveriges
gräns skyldiga att överföra
dessa till samverkanspunkter.
Skalar man alltså bort allt juridiskt snömos i övrigt, allt trams om kontrollstationer och liknande, så är det ovanstående paragraf som skall tvinga alla nätverksoperatörer, som har kablar som passerar Sveriges gränser, att förse FRA med en skarvsladd till deras kablar. Men redan här ser det lite mystiskt ut, för lagen saknar så vitt jag kan se påföljd för den som bryter mot den (vägrar att ge FRA deras skarvsladd). Lagförfattarna har helt enkelt glömt att uppdatera 7 kap. 15 §.
Men bortsett från detta, och över till det rent tekniskt/praktiska, så låt oss först konstatera att internet inte är ett enda nätverk, det består av miljontals små och stora nätverk, som är ihopkopplade. Från det lilla hemmanätet med ett par apparater ihopkopplade, till de verkliga giganterna — de globala operatörerna.
I Sverige har vi ett nationellt stamnät (”backbone”) som är försett med fem knutpunkter. Dessa finns i “hemliga” bergrum i Stockholm (dubblerad), Göteborg, Malmö, Sundsvall och Luleå. Bergrummen sköts av PTS medan själva stamnätet sköts av Netnod, som ägs av Stiftelsen för Telematikens utveckling (TU-stiftelsen). Till detta stamnät är 51 olika nätverk anslutna. Av dessa 51 nätverk är drygt 80% utlandsbaserade.
Så här uppstår alltså ännu en fundering. Hur har regeringen tänkt sig tvinga giganter som exempelvis AT&T (USA), BT (UK), Verizon (USA — ett av världens största företag alla kategorier) eller Orange (Frankrike — Europas största operatör) att förse FRA med “samverkanspunkter”? Särskilt med tanke på att lagen alltså är helt tandlös eftersom den inte ens föreskriver vitesbelopp. Skall vi hota med att koppla bort dem från det svenska stamnätet, och därmed Sverige från större delen av internet, om de inte imponeras av Reinfeldts piska?
Och detta är alltså de 51 nätverk som är anslutna till stamnätet. Lägg till det ett okänt antal mindre operatörer som valt att i stället ansluta sig till en av dessa 51, och som mycket väl kan ha egna gränsöverskridande förbindelser. Vilka dessa är, är förmodligen väl förborgade företagshemligheter på de flesta håll; har Reinfeldt månne tänk ge FRA i uppdrag att utöva avancerat industrispionage för att avslöja dessa förbindelser?
Nåväl, låt oss säga att FRA verkligen (efter ett antal år med protester, hot, överklaganden med mera) lyckas få till stånd sina samverkanspunkter och att dessa är heltäckande. Då skall alla signaler skickas upp till Lovön utanför Stockholm. Hur skall detta gå till? Ja, antingen kan de ju propsa på att få använda stamnätet, men det betyder att detta då i ett slag får kapaciteten reducerad till en bråkdel. Allt som går ut skall skickas tillbaka och stamnätet är inte dimensionerat för att bära all trafik. Eller så måste FRA bygga ett parallellt nät, något som vi av erfarenhet vet tar åratal och kostar åtskilliga miljarder.
Och hela tiden bygger allt det ovanstående på att FRA verkligen lyckas samla upp 100% — inte 99,99999% utan 100,0%. När du exempelvis skickar en bild på 150kB via internet, så hackas den upp i ungefär 100 småbitar som sedan var och en kan gå precis vilken väg som helst mot målet. Några bitar kan ta vägen via Köpenhamn och Berlin, en del hittar en genväg via Helsingfors, Moskva, Warszawa och hem igen, inte ens genvägar över andra kontinenter är osannolikt — så fungerar internet.
Om nu FRA missar bara en enda av dessa 100 bitar, så kan de lika gärna kasta bort de 99 som de snappat upp, för de kan ändå inte återskapa den ursprungliga bilden. Ja, ni förstår säkert problematiken för FRA här?
Jojo, om denna lag går igenom, så skall det bli verkligt spännande att följa den tekniska utvecklingen. Även om så mycket som möjligt naturligtvis kommer att bli hemligstämplat, så lär det bli svårt att dölja allt fältarbete som kommer att krävas. Dessutom lär alla dessa fältarbeten kräva beväpnade vakter, och eftersom vi monterat ner hela vårt militära försvar, så kan man förmoda att aktieköp i företag som Securitas kan vara en god investering…
juni 16th, 2008 at 13:21
“operatörer som äger tråd”
Okej, man kan vara operatör som inte äger tråd, men man kan också äga tråd utan att vara operatör.. Borde vara rätt många som denna lag inte omfattar eftersom man både skall vara ägare och operatör. Dock så handlar det ju endast om de trådar som rent fysiskt passerar sveriges gräns, det reducerar antalet ganska rejält.
Hoppas på en rejäl portion civil olydnad från “ägaroperatörerna”. En strejk där fibern släcks som på två röda sänder sverige tillbaks till en IT-mässig stenålder, det om något skulle vara en markering som heter duga. - Vi lägger hellre ned än går med på det här!
juni 16th, 2008 at 13:37
Dessutom finns det säkert ett antal radiolänkar, som genom användandet av extremt riktverkande antenner gör det svårt, för att inte säga omöjligt, att avlyssna, i drift. Såväl direkta som via satellit.
Så nä, jag har väldigt svårt att se hur FRA skall kunna lyckas med annat än att tappa av några enstaka droppar av den formidabla flod det är fråga om.
Och, som du säger, det lär nog förekomma massor av civil olydnad framledes. Bättre marknadsföring än så, på en synnerligen konkurrensutsatt marknad, lär operatörerna få svårt att hitta.
juni 16th, 2008 at 13:54
Lite optimistiskt på ett plan, de flesta dataformat är av förståliga skäl skapade för att förlorade fragment ska göra så lite skada som möjligt. Men för bra krypterad data bör förlorade fragment vara fatalt.
Kanske ser vi helt nya designkriterier för dataformat i framtiden - Gör förlorade fragment så skadliga som möjligt
juni 16th, 2008 at 14:07
Jodå, det har du rätt i, RedLib. Vanlig text till exempel blir ju hjälpligt läslig även om det finns lite hål här och där.
Men vi som ibland råkat ut för att fastna på 99,5% när vi via BitTorrent hämtar hem filer, och sorgligt nog kunnat konstatera att vi därmed har en 700MB värdelös AVI-fil eller rent av 4,5MB av värdelös RAR-splittad ISO-fil, kan intyga att många filformat redan är synnerligen känsliga när det gäller missade fragment.
Detta gäller ju i varierande grad komprimerade filer, till vilket räknas MP3, JPG och AVI men framför allt förlustfri komprimering såsom RAR och ZIP.
juni 16th, 2008 at 14:33
Även en AVI, jo de flesta spelare hänger eller kraschar, och det är inget man ser för nöjes skull, men för den som vill leta finns en hel del info.
Ganska enkelt att göra konsekvenserna värre dock… Att vaska bitarna, så hundra småbitar blir småbitar med var hundrade bit… Det borde helt fördärva krypterad eller komprimerad data…. lite beroende på format dock.
juni 16th, 2008 at 15:17
Det är onekligen en lustig tanke. Värstingkrypteringar knäcks på löpande band av FRA:s superdatorer men vanlig enkel “borttappade bitar” gör att de står handfallna.
Lite grand som alla böcker och filmer som bygger på idén att det är jordens minsta organismer, bakterierna, som vinner slaget mot invaderande utomjordingar för oss, när alla våra egna supervapen visar sig vara verkningslösa.
juni 16th, 2008 at 16:13
Jag tror också att saker i stil med Offsystem kan erbjuda en del intressanta saker (rätt genialt det där..), där både kryptering och anonymisrering blir överflödigt.
Dock så är e-post fortfarande ett problem, för där vill man ju oftast inte vara anonym inför mottagaren, bara för utomstående part som inte har att göra med hurvuda jag brevväxlar med X, och detta oavsett om de kan läsa vad som skrivs eller inte.
juni 16th, 2008 at 16:24
Ahhh… Det där Offsystem verkar riktigt spännande. Ger vibbar tillbaka till gamla MS-DOS 4.01, operativsystemet som hade en bugg som gjorde att en pekare inte initierades ordentligt utan bibehöll default 0000:0000 och som då kunde medföra att delar av FAT-tabellen på disken skrevs över med vanligt data. Det var en verkligt spännande uppgift att försöka rädda alla data på disken efter en sådan krasch. Åtskilliga timmars arbete nerlagt där…
Och jovisst, det är nog främst e-post som FRA kommer att koncentrera sig på de första åren, innan de fått byggt upp sin nya infrastruktur. Särskilt då sociogrambyggen baserade på avsändarens och mottagarens adresser, vilka ju går att extrahera från ett enda uppsnappat litet paket.
juni 16th, 2008 at 16:33
Aloha!
Först Björn Felten: Om du med “värstingkrypteringar” avser väl testade symmetriska krypton som AES-128, AES-256, Twofish eller assymetriska krypton som RSA med långa nycklar vore det kul att få se vad du bygger det på. Om nycklarna inte har gravt förämrad entropi, ex “sigge” som AES-nyckel, bör du kunna lita på att FRA inte knäcker kryptot, än mindre på löpande band och på rimlig tid.
Men sedan har du flera vettiga poänger. Inte minst frågan om hur de internationella operatörerna gör, och rätten till transittrafik genom Sverige. Att få saken prövad i EG-domstolen vore mycket intressant.
Vidare till kostnader. Håller helt med om att hur informationen skall till FRAs system är en mycket intressant fråga. Kommer man att göra som i datalagringsfallet och tvinga operatörerna att stå för notan? I slutändan blir det konsumenterna som får betala - antingen via skatten eller som högre kostnader för sin access.
Över huvud taget är lagförslaget riktigt dåligt. Missar bla helt konceptet med svartfiber. Men är det något som framkommit i den här soppan är bristen på kompetens vad gäller hur Internet och digital kommunikation fungerar. Iaf hos politikerna. FRA kan nog.
En teknik som skulle vara svår att avlyssna är free space laser, dvs lasersytåle rätt ut i luften. Går att köra flera hundra meter, upp mot en km med mycket hög bandbredd. Ex över ett sund eller mellan ett par stationer på var sin sida om ett naturligt hinder (gräns).
MVH
juni 16th, 2008 at 16:46
Joachim, du har helt rätt i att jag, i stridens hetta, uttryckte mig mer än lovligt “opportunt” där med mina värstingkrypteringar. Ordentlig kryptering knäcks knappast ens av FRA:s (nuvarande) superdatorer på den här sidan solens kollaps.
Kanske med de datorer vi har om 30 år eller så, när vi fått kvantdatorer och annat spännande att fungera…?
juni 16th, 2008 at 18:21
Bahnhof är redan på… blogpost
juni 16th, 2008 at 18:30
Jepp, jag såg det. Jag har alltid velat ha Bahnhof som ISP, men tyvärr är jag hänvisad till Telias monopol.
Här en länk till Karlungs PM.
juni 16th, 2008 at 22:29
Det där med samverkanspunkter verkar vara ett lite för stort hål för att ingen på FRA skulle ha tänkt på det. Kan det inte vara så att de säger till regeringen om ett halvår att de måsta koppla in sig på PTS noder och av lyssna allt som passerar där för att kunna lösa sin uppgift? skulle inte det göra dem allsmäktiga?
juni 17th, 2008 at 3:43
FRA är säkert fullt medvetna om alla de praktiska hinder som föreligger, men allt de gör är ju superhemligt, så de behöver ju inte utföra ens de mest elementära uppgifter som regeringen ålägger dem, eftersom ändå ingen kan kolla hur väl de sköter sitt jobb. Det räcker att de kan påvisa behovet av kraftigt utökade budgetanslag.
Låt oss inte glömma att FRA är ännu en statlig inrättning som inte levererar ett dugg som någon har den minsta nytta av. Allt de åstadkommit rent praktiskt sedan andra världskrigets slut är att ta död på åtta svenska medborgare — tre från Flygvapnet och fem från FRA ombord på Tp 79 — vid den så kallade Catalinaaffären i juni 1952. Någon värdefull information som gjort oss bättre skyddade mot “yttre militära hot” har de aldrig levererat.
juni 18th, 2008 at 20:11
Jag fick nyss en idé om att både äta kakan och ha den kvar, en lösning om att både låta FRA få som de vill, samtidigt som man värnar svenskars integritet. Jag tror att detta kan behöva lite feedback från någon mycket insatt. Som sagt, iden trillade just in i mitt huvud och är inte genomtänkt särskilt mycket.
Lösningen kan finnas i en teknisk lösning införd som lag i LEK (Lagen om Elektronisk Kommunikation). Låt säga att FRA får som de vill, allt gränsöverskridande kopieras till dem. Men låt säga att man samtidigt för operatörerna föreskiver kryptering och anonymisering där viss loggning tom. förbjuds. I princip att operatörerna tvingas i lag att skydda sina kunder från FRA. I praktiken skulle det innebära att varje internetuppkoppling sker över ett krypterat VPN till operatören, ett VPN där inga kopplingar mellan utgående IP och kundens IP får sparas. För vanligt surfande och chattande torde detta kunna fungera utmärkt. FRA kan se att information skyfflas runt, men de ser bara den svenske operatörens IP och får aldrig veta kundens (det skulle ju inte gälla svenskar.. eller hur). Men hur blir det e-post, där vill man ju inte vara anonym för mottagaren, bara för utomstående?
Utifrån ett strikt FRA-perspektiv, med de argument som framförts, så borde det vara svårt att argumentera emot ovanstående. IFPI, MPAA osv. lär dock gå fullständigt i taket. Men vaddå, när man ställer kombinationen av svensk säkerhetspolitisk signalspaning och hela befolkningens integritet emot sådana intressen så borde de inte ha särskilt mycket att säga till om.
Låt nu höra lite feedback på detta, är jag helt fel ute?
juni 18th, 2008 at 20:15
[...] i verkligheten. Bara att bygga upp transportnätverket för all post skall ta flera år, enligt Björn Felten, och han har ju varit med i flera år, så han borde veta. Fast det vet man ju hur det är med [...]
juni 18th, 2008 at 21:36
Jag förmodar att du menar att denna nya lag enbart skulle gälla trafik till och från svenska operatörer då alltså?
I så fall undrar jag om inte EU skulle kalla det för handelshinder.
Bortsett då ifrån att regeringen Reinfeldt aldrig skulle lägga ett sådant lagförslag, för då har de ju förfelat hela idén med FRA-förslaget — att få sitta vid GWB:s fötter och njuta.
juni 18th, 2008 at 22:14
Nej Björn, då har du missförstått mig. Korfattat skulle man kunna kalla det “anonym proxy till folket”. Inte konstigare än att om du har ett internt nätverk så har du ett annat IP på skrivbordsdatorn än vad din router har ut mot nätet. Något hadelshinder är ju inte det. Någon som spanar på dig utifrån ser ju bara din routers IP, inte ditt 192.168.x.x Eller jämför med t ex. Relakks, ingen skulle väl kalla det för ett handelshinder?
I det jag föreslår skulle FRA bara se operatörens IP, inte ditt, och operatören skulle dessutom vara förbjuden att lämna ut det, ja inte ens kunna det eftersom det inte ens får loggas, och all trafik mellan dig och operatören är krypterad. FRA kan rimligtvis inte ha någonting emot det eftersom den har spaningen inte skulle gälla svensk trafik.
juni 19th, 2008 at 0:54
Men vilken sorts trafik menar du skulle skickas i den där VPN-tunneln, och hur långt?
Förr eller senare måste ju trafiken lämna tunneln och ge sig ut i allmänna nätet. Och all trafik är dubbelriktad — kräver avsändare såväl som mottagare i varje litet 1500-bytes paket. Detta bland annat för att mottagaren skall kunna begära omsändning ifall något paket försvinner.
Nja, jag ser inte att det skulle fungera om inte både mottagare och sändare befinner sig i varsin ände av samma tunnel.
Men jag missuppfattar dig förmodligen fortfarande…
juni 19th, 2008 at 15:48
Tror h*n menar så här:
Tänk dig att du har ett eget nätverk, vilket du troligtvis har. Utåt har du ditt IP, och ingen utanför kan veta vilken dator som är ansluten till ditt nätverk. Detta gör dig så att säga till en ISP i miniatyr. Tänk nu att du är förbjuden att tala om vilken dator i ditt nätverk som stod för en viss kommunikation om någon händelsevis vill veta det, att du inte ens ha några loggar på det så att du inte ens kan tala om det.
Var det rätt steelneck?
juni 19th, 2008 at 16:02
Jo, det är nog något åt det hållet steelneck tänkt. Lite grand som att jag har sex olika, trådlösa accesspunkter i mitt hem — alla öppna. Vem som helst i omgivningen kan med 100%-ig anonymitet använda internet den vägen. Och alla mina AP har loggningen avstängd.
Problemet är bara att man då endast kan få enkelriktad kommunikation, man kan inte ha något slags server eller liknande, något som jag är beroende av. Inte bara för den här bloggen och resten av sajten, utan dessutom har jag bland annat telnet (till min BBS), binkp (server för fidonet) och news (även det för fidonet) samt ett par andra tjänster som jag tyvärr inte kan avslöja.
Och samtliga dessa är alltså beroende av att jag — eller rättare sagt felten.yi.org — “syns utifrån” så att säga.
juni 23rd, 2008 at 9:40
AT & T och Verizon lär ju fortsätta på den redan inslagna banan att “stå till tjänst” åt de nekonservativa tomtarna i Washington… Nu är väl mig veterligen immuniteten t.o.m. lagstiftad.
juni 26th, 2008 at 1:51
Vi är snart inte långt till att bli lika duktiga som “SORM” i Ryssland.
Det är väl därifrån inspiration till FRA-lagen hämtats.
Intressant läsning här, jämför FRA-lagen med ryssarnas SORM.
FRA-lagen är rena rama blåkopian på ryssarna’s SORM-2;
http://en.wikipedia.org/wiki/SORM
http://www.motherjones.com/news/feature/2000/02/sorm.html
http://www.google.se/search?hl=sv&q=SORM-2&meta=
Det enda som saknas i FRA-lagen tycks vara möjligheten att stoppa och ändra i uppfångade mail, och sedan sända vidare det ändrade mailet….farligt..farligt!!
november 20th, 2009 at 11:56
[...] den eminente Mark Klamberg, verkar ha uppfattat det fatala misstaget i den nya lagstiftningen, som jag skriver om här, nämligen att uppdatera kapitlet om [...]