Kryptering av epost hindrar inte fi från att kartlägga vilka som har kontakt med vilka, det räcker inte för att säkra meddelarskyddet. Det behövs andra medel för att garrantera anonymitet.
Krypterar du din epost med GPG kan inte fi läsa innehållet. Men de kan fortfarande se från vem medelandet kommer och till vem det sänds - på det sättet kan läckor och källor fortfarande spåras.
Det går att skapa ett 'hemligt' konto på någon webbmail och sända därifrån, om man alltid ansluter säkert, med https, så kan man inte avslöja vem som 'äger' epostadressen genom att avlyssna anslutningen. Det finns en del webmail som stöder GPG kryptering via plugins som fireGPG för firefox (t ex gmail). Men de flesta webbmail spar webbläsarens IP-adress i mailhuvudet så anonymitet är fortfarande inte skyddad mot fi. Dessutom kan i vilket fall webmailoperatören spåra användaren.
En lösning är att använda en anonymiserande webproxy, men det är inte så säkert som man lätt tror. Ett bättre alternativ är Tor.
Tor - The Onion Router
Tor är en lökrouter, där en anslutning kopplas i flera steg mellan frivilliga servrar. Om A vill ansluta till X så går det genom några steg.
- A hämtar en lista på servrar från en kattalogserver (http).
- A ansluter till server B säkert genom https.
- A ansluter till server C tunnlat genom anslutningen till B så C ser bara att anslutningen kommer från B. Även denna anslutning är säker via https.
- A ansluter till server D tunnlat genom anslutningen till C så D ser bara att anslutningen kommer från C. Även denna anslutning är säker via https.
- A ansluter slutligen till X tunnlat genom anslutningen till D. Servern X ser det som om anropet kommer från D och det är ganska svårt att spåra tillbaks till A.
FRA kan infiltrera genom att starta egna servrar men systemet står emot det ganska bra genom att användarens dator själv väljer 'väg' och ändpunkt. Om B eller C är en infiltatör så vet de inte om de är B eller C och kan därför inte veta säkert vem som ansluter och inte heller vart de ansluter. Ändpunkten är extra viktig, den kan se vart anslutningen går (till X, men den vet inte vem A är) och om inte förbindelsen man kör genom tor (den till X) är krypterad även avlyssna, så se till att alltid använda https med Tor!
anslutningarna tunnlas alltså i varandra lager på lager, där av namnet 'lökrouting'. Anslutningarna är ganska 'dyra' att sätta upp så Tor återanvänder samma anslutning A->B->C->D upp till 10 min om den fortfarande funkar. Om en anslutning A->X 'lever' längre än så (t ex en IRC chatt) så används samma anslutning hela tiden. Detta är en liten risk, gör du något annat som avslöjar din identitet över samma anslutning som du gör något hemligt så kan du avslöjas av fi.
Men Tor är troligen det säkraste anonymitetsnätet som är snabbt nog för dräglig websurfning. Läs mer på Tors hemsida (som delvis är översatt till svenska).
Styrkor
att användarens dator väljer 'väg' och ändpunkt gör att det går att anpassa sig för att så mycket som möjligt undvika kända faror. Att kunna välja ändpunkt kan också vara bra för att komma åt saker som bara är tillgängligt i vissa länder, eller för att använda t ex franska google för att jämföra resultat. Den som har en egen hemsida kan sätta upp en Tor server på samma IP, då kommer Tor förvalt att använda den ändpunkten (men lägga till ett extra 'skal'). Det är en bra funktion som eliminerar problemet med opålitliga ändpunkter (för de webbsajter som använder den).
Det går också att konfigurera Tor att använda bara vissa 'förstasteg' (B ovan). På det sättet kan man se till att direkt ansluta bara till pålitliga vänner, en form av begränsad darknet funktion (i gengäld kan fi analysera vilka vänner du har).
Måste veta risker
DNS läkage. Det gäller att se till att namnupslagningarna också går via Tor! Ha en proxy för att filtrera kakor och annat avslöjande, extra viktigt eftersom samma förbindelse återanvänds, litar du på websajten så är det mindre viktigt om du kör https (kakor krypteras också). Se till att köra krypterat mot slutmålet så för att slippa avlyssning / identitetsröjning.
Är Tor den slutgiltiga lösningen
Tor är troligen inte den slutgiltiga lösningen på anonymitetsproblemet. Tor har några problem. Det skalar dåligt om det kommer fler användare som inte själv kör servrar. Det kan inte heller klara hög trafik som fildelning. Det finns ingen mekanism för att reglera bruk så fi kan bygga många förbindelser och sända mycket data för att sänka systemet prestanda. Det är likväl en bra teknik och troligen den bästa vi har idag i sin nich, men den är antagligen inte lämpad att bli varja användares standardsätt att surfa nätet. Att ha kapacitet nog för fildelning är antagligen viktigt för att bli 'allas' verktyg.
Anonnymitetsnät och e-post
Tor tillåter normalt inte att man sänder epost direkt via Tor (Varje möjlig ändpunkt väljer dock själv vad de ska tillåta), men anslutning till webbmail funkar. Det är troligt att det kommer att gälla de flesta om inte alla anonymitetsnät, för annars blir de ett drömverktyg för spammare. Säker anslutning mot mailserver med inloggning bör dock funka, om man lyckas sätta upp ett sådant konto någonstans anonymt.
Detta är en ASA post.
Läs även andra bloggares åsikter om Tor, FRA, frihet, övervakning, ASA, motstånd, internet, anonymitet, källskydd
För övrigt anser jag alla borde gå med i alfa-testningen av micro peer publishing!
I Österrike har personer nyligen gripits av polisen och häktats. För en del av de anklagade är det enda "brottet" att de använt just kryptering och uppmanat andra att också göra det. Gripandena var en stor polisinsats med dragna vapen och insparkade dörrar, som gjordes med anklagelsen "bildande av kriminell organisation". Denna lag stiftades för att komma till bukt med organiserad kriminell maffiaverksamhet. De man slagit till mot nu är dock ingen maffia, utan ledande personer i den österrikiska djurrätts/djurskyddsrörelsen. Man har slagit till mot både kontor och engagerade medlemmar. Massvis med datorer, alla medlemsregister och kampanjmaterial har tagits så att deras fullt lagliga arbete inte kan fortlöpa. Myndigheterna försöker såklart rättfärdiga sitt beteende med att anklaga de gripna för diverse olagliga aktioner som djurrättsaktivister gjort. Men inga bevis har lagts fram för att de gripna (nu häktade en månad) skulle ha utfört dessa. Snarare är det väldigt framgångsrika kampanjer mot pälsfarmar/affärer etc som ses som en nagel i ögat på politiker och näringsliv. Detta har så klart relevans även för svenskar och koppling till FRA-debatten. Österrike har samma skimmer över sig som ett demokratiskt land som Sverige, men det har nu kommit fram att man övervakat mail och telefonsamtal i år, utan att få fram ett enda bevis (att avlyssna mail tycks också ha varit förbjudet enligt österrikisk lag), personer har blivit spårade via sina mobiltelefoner på ett väldigt precist avstånd (bara några meter), man misstänkliggörs (och häktas) för att man förordat kryptering, och polisen har även använt intima och personliga detaljer från privatlivet (som man avlyssnat sig till) mot de gripna. Amnesty och Miljöpartiet (även i Sverige) har kritiserat polisen och de ansvariga politikerna. Om detta kan hända i Österrike, så finns det som jag ser det inget som skulle visa på att Sverige är ett dugg bättre. Speciellt inte om man ser till senaste tidens debatt kring FRA-lagen. En sammanfattning om läget i Österrike finns på http://www.vgt.at/presse/news/2008/news20080621_en.php . En översikt över polisens övergrepp på http://www.vgt.at/presse/news/2008/news20080621_1_en.php .
SvaraRadera