I alla länder i världen ser datorers säkerhetssystem till att lampor tänds, hyllor fylls på, dammar förblir stängda och transportsystem fungerar. I mer än ett halvt decennium har våra datorers och datornätverks sårbarhet rankats som den främsta risken av den amerikanska underättelsetjänstens gemensamma världsomspännande hotbedömning – högre än terrorism, högre än krig. Ditt banksaldo, lokalsjukhusets utrustning och USA:s presidentval 2020, är några av många, många andra saker som alla är beroende av datasäkerhet.
Och ändå, mitt i den största datorsäkerhetskrisen i historien, försöker den amerikanska regeringen, tillsammans med Storbritanniens och Australiens regeringar, undergräva den enda metod som för närvarande finns för att tillförlitligt skydda världens information: kryptering.
Om de lyckas i deras strävan att försvaga kryptering kommer vår offentliga infrastruktur och vårt privatliv bli permanent osäkra.
Kräver bakdörr av Facebook
Kryptering är i grunden en metod för att skydda information, det primära sättet att hålla digital kommunikation säker. Varje e-postmeddelande du skriver, varje nyckelord du skriver i en sökruta – alla pinsamma saker du gör online – skickas genom ett allt mer antagonistiskt internet.
Tidigare denna månad uppmanade USA, tillsammans med Storbritannien och Australien, Facebook att skapa en ”bakdörr”, ett avgörande fel, i sina krypterade meddelandeappar, vilket skulle ge alla med nyckel till den bakdörren obegränsad tillgång till privat kommunikation. Hittills har Facebook stått emot dessa påtryckningar.
Om internettrafik är okrypterad kan alla myndigheter, företag eller brottslingar som råkar upptäcka den – detta pågår redan – stjäla en kopia och därmed i hemlighet registrera din information för alltid. Om du emellertid krypterar denna trafik kan informationen inte läsas: endast de som har en särskild dekrypteringsnyckel kan låsa upp den.
IT-jättarna började kryptera
Jag vet en del om detta, eftersom jag under en tid var ansvarig för att driva en del av den amerikanska underrättelsetjänstens globala massövervakningsystem. I juni 2013 arbetade jag tillsammans med journalister för att avslöja detta system för en chockerad värld. Utan kryptering hade jag inte kunnat skriva min bok ”I allmänhetens tjänst”, historien om hur det hela gick till, och skickat manuskriptet över gränser som jag själv inte kan förflytta mig över.
Av större betydelse är att kryptering hjälper alla från reportrar, dissidenter, aktivister, NGO-arbetare och visselblåsare, till läkare, advokater och politiker att göra sitt arbete, inte bara i världens farligaste och mest repressiva länder, utan i vartenda land på jorden.
När jag trädde fram 2013 övervakade den amerikanska regeringen inte bara passivt internettrafik när den korsade nätverket, utan hade också hittat sätt att få åtkomst till och ibland infiltrera de stora amerikanska teknikföretagens interna nätverk. Vid den tiden krypterades bara en bråkdel av webbtrafik: sex år senare har Facebook, Google och Apple gjort automatisk kryptering till en central del av sina produkter, med resultatet att nästan 80 procent av webbtrafiken idag är krypterad.
Till och med den tidigare direktören för USAs nationella underrättelsetjänst, James Clapper, tillstår att avslöjandet av massövervakning haft betydelsefull inverkan på främjandet av kryptering bland kommersiella aktörer. Som ett resultat av detta är internet en säkrare plats. För säkert, anser vissa regeringar.
Regeringar sätter press
Donald Trumps justitiekansler, William Barr, som godkände ett av de tidigaste programmen för massövervakning utan att granska om det var lagligt, har nu signalerat en avsikt att stoppa – eller till och med upphäva – framstegen som skett under de senaste sex åren. WhatsApp, meddelandetjänsten som ägs av Facebook, använder redan så kallad end-to-end-kryptering (E2EE), ett kommunikationssystem där endast användarna kan se och läsa de meddelanden som skickas. I mars tillkännagav företaget sin avsikt att även integrera E2EE i dess andra meddelandeappar: Facebook, Messenger och Instagram.
Barr lanserar nu en offentlig kampanj för att förhindra att Facebook tar detta kliv i riktning mot större digital säkerhet. Det började med ett öppet brev, som undertecknades av Barr, Storbritanniens och Australiens inrikesministrar, och USA:s minister för inrikes säkerhet, med kravet att Facebook ska överge sina krypteringsförslag.
Om Barrs kampanj är framgångsrik förblir miljarder människors kommunikation fast i ett tillstånd av permanent osäkerhet: användare kommer avsiktligen vara sårbara. Och kommunikation kommer att vara sårbar inte bara för utredare i USA, Storbritannien och Australien, utan också för underrättelsebyråerna i Kina, Ryssland och Saudiarabien, för att inte tala om hackare runt om i världen.
Kurir med ögonbindel
End-to-end-krypterade kommunikationssystem är utformade så att meddelanden bara kan läsas av avsändaren och deras avsedda mottagare, även om krypterade – det vill säga låsta – meddelanden lagras av en opålitlig tredje part, till exempel ett socialt medieföretag som Facebook.
Den huvudsakliga förbättringen som E2EE tillhandahåller gentemot äldre säkerhetssystem gäller förmågan att garantera att nycklar som låser upp ett givet meddelande enbart lagras på de specifika enheterna i slutpunkterna för en kommunikation, till exempel telefonerna tillhörande avsändaren eller mottagaren av ett meddelande, snarare än hos de mellanhänder som äger de olika internetplattformarna. Eftersom E2EE-nycklar inte innehas av dessa tjänsteleverantörer kan de inte längre bli stulna i händelse av en överträdelse, ett vanligt fenomen idag, vilket innebär en betydande säkerhetsfördel.
Med andra ord, E2EE gör det möjligt för företag som Facebook, Google eller Apple att skydda sina användare från deras granskning: genom att säkerställa att de inte längre har nycklarna till våra mest privata konversationer agerar dessa företag snarare som en kurir med ögonbindel än ett allseende öga.
Åberopar mörka krafter
Det är slående att när ett företag så potentiellt farligt som Facebook åtminstone offentligt verkar villigt att implementera teknik som gör användarna säkrare genom att begränsa sin egen makt, är det istället USA:s regering som protesterar. Detta beror på att regeringen plötsligt skulle ha mindre möjlighet att behandla Facebook som en behändig skattkista fylld med privata liv.
För att motivera sitt motstånd mot kryptering har den amerikanska regeringen, traditionsenligt, åberopat det spektra av mörka krafter som nätet inhyser. Regeringen hävdar att den, utan fullständig tillgång till varje enskild individs fullkomliga aktivitetshistorik på Facebook, inte skulle kunna undersöka terrorister, droghandlare eller individer som förgriper som på barn – brottslingar som i själva verket föredrar att inte planera sina gärningar på offentliga plattformar, särskilt inte sådana baserade i USA som använder några av de mest sofistikerade automatiska filter och rapporteringsmetoder som finns tillgängliga.
Förhindrar massivt spioneri
Den verkliga förklaringen till varför de amerikanska, brittiska och australiensiska regeringarna vill undanröja end-to-end kryptering, handlar mindre om allmän säkerhet än om makt: E2EE ger kontroll till individer och de enheter som används för att skicka, ta emot och kryptera kommunikation, inte till de företag och operatörer som står för överföringen. Detta skulle ställa krav på statlig övervakning att bli mer målinriktad och metodisk, snarare än urskillningslös och universell.
Vad denna förändring äventyrar är nationers förmåga att spionera på befolkningar i massiv skala, åtminstone på ett sätt som kräver lite mer än pappersarbete. Genom att begränsa mängden personlig information och djupt privata kommunikationer som innehas av företag återgår stater till klassiska utredningsmetoder som både är effektiva och respekterar rättigheter, i stället för total övervakning. Denna utgång betyder inte bara att vi förblir säkra, utan också fria.
Artikeln är tidigare publicerad i The Guardian. Översättning: Corinne Platten.
