I min förra bloggpost "Sveriges demokrati är dödsdömd" ställde jag upp fem grundkrav för en hållbar demokrati vs dagens övervakningsmöjligheter.
En svår bit är villkor ett: "Ingen får ha en komplett bild av kommunikationen". Det gäller även privata aktörer och även bara en för stor del av kommunikationen. De större operatörerna som driver backbone i nätet får dock tillgång till farligt stor del av kommunikationen. Det kan delvis lösas med ändpunkt till ändpunkt kryptering men det avslöjar fortfarande ändpunkterna och att de kommunicerar med varandra. Här kommer en lösning på det, ursäkta om det blir lite tekniskt. Den skulle även göra backbone mindre lockande för statlig övervakning - ett köttben som politiker runt om i värden inte kunnat behärska sin lust att sätta tänderna i.
Router till router kryptering
När ett paket ska routas så letar routern upp närmaste kryptoenablad målrouter och deras nyckel. paketet krypteras sedan, inklusive destination och source IP (ip huvud) och läggs i ett nytt paket med routern som source och närmaste kryptoenablad målrouter som destination. Paketet sänds sedan till nästa hop där samma procedur kan ske igen så en lökliknade kryptering skapas där source och destination blir mer och mer oprecist ju närmare mitten av överföringen man är. När paketet når närmaste kryptoenablad målrouter så letar den upp källrouterns nyckel och avkrypteras det ursprungliga paketet som sänds till sin ursprunglig destination.
Destinationen får alltså paketet som vanligt med ursprunglig source så systemet kan inte användas för att dölja attacker eller ge anonymitet gentemot destinationen. Det förhindrar bara möjligheterna till massavlysning och massövervakning i mitten av överföringen. Ett backbone kanske bara ser att paketet kommer från norden och ska till latinamerika - inget mer.
För att ev svar ska skyddas måste krypterad routing användas separat i även den riktningen.
För att ge utrymme för ompaketering så måste max paketstorlek sänkas i den yttre förbindelsen. Att ge plats för åtminstone tre lager kryptering och ändpunktdöljande är att rekommendera. Om ett paket är för stort så bör det sändas vidare som vanligt för att systemet inte ska sabotera existerande funktioner.
Kryptonycklarna
Det behövs en distribuerad databas med varje deltagande routers publika nycklar. Nycklarna bör regenereras då och då men en gång per dygn bör räcka - varje router till router kombination ger en unik nyckelkombination så det är jobb nog att knäcka. Databasen bör spara minst de två senaste nycklarna så transaktioner till ny nyckel kan ske utan avbrott.
Det kommer att innebära betydligt mer jobb för routrarna och ny mjukvara behövs naturligtvis. Nyttan i ökad integritet är dock ovärdelig.
(politisk) Implementering
Steg ett är att diskutera sig fram till ett realistisk förslag. Se detta som ett startförslag.
Steg två är att sätta press på operatörer att komma överens och implementera detta. både på användar och tjänstesidan.
När det finns en fungerande lösning kan det vara dags att lagstifta om att den ska användas.
Det är viktigt att även sätta press på att lösningar ska vara open source - för om en router fuskar med enbart delvis slumpmässiga nycklar kan det möjliggöra central massövervakning. Vi har redan sett flera fall där closed source leverantörer gett efter för sådana påtryckningar från myndigheter.
Systemets begränsningar
Detta system bekämpar bara massövervakning och massavlyssning. Avlyssning och övervakning av vissa utvalda tjänster eller användare kan fortfarande ske i närheten av ändpunkten i samverkan med lokal operatör. Det skapar en dräglig garanti för att det bara sker med korrekt legalt mandat och en riktigt god garanti mot storskaliga missbruk.
Läs även andra bloggares åsikter om FRA, internet, integritet, övervakning, storebror, it, kryptering, routing.
I teorin fungerar det. Varje router i "backbone" ska alltså sätta upp en site-to-site VPN till alla andra routrar. Om man pratar om E-BGP routrarna så börjar mängden routes närma sig bristningsgränsen för vad BGP klarar. Kan handla om hundratusentals routes per router. Men om man begränsar denna mängd till de routrar som tillhör de svenska ISPerna så handlar det om hanterbara mängder.
SvaraRaderaProblemet nu är ju programvaran på routrarna och databasen med nycklarna. Antalet förfrågningar till databasen kommer vara oerhört många. Har såklart inga siffror men kan tänka mig betydligt fler än de största community'sarna(jobbigt plural).
Ett annat problem med Site-to-Site VPN är att prestandan sjunker ganska mycket. Det kan landa på 40% till skillnad mot okrypterad trafik.
I princip ja, men fler lager. De kan nog räcka med två. Det är också ett rent tillägg - all trafik behöver inte gå den vägen.
SvaraRaderaLager 1) Påfart till påfart på inernet, web/server hoell, lokala små ISP:er, lokala 'subnät' inom större ISP:er. Klumpar i storleksordningen 2-10 tusen användare. Blir miljontals poster i databasen men nyckelbytarfrekvensen kan vara lägre. Det ger mer tid för nycklar att propagera i databasen och en lägre frekvens (de går inte så många sekunder på ett dygn). krypteringen är tänkt paket för paket så de är lätt att parallellisera.
Lager 2) Vid större knytpunkter. Troligen 10-100 tusen globalt.
IP kan sändas som vanlig men om de routas till den lokala lager 1 routern så kryperas de och paketeras om med remote lager 1 router som dest. Sedan routas det till lämplig lager 2 router som krypterar och paketerar om mot remote lager 2 rouer. Lager 2 kan hoppas över om förbindelsen är kort eller om man inte tycker de behövs. Om nivå 1 remote rouer är sr.se, aftonbladet eller google så kanske inte något mer behövs (vilka sidor eller sökningar man gör där är ju redan dolt så de är föga avslöjande destinationer). En del saker som https anslutningar till sådana sajter kan sändas vidare omodifierad för de är reda lika väl skyddade.
Det går bra att införa stegvis utan att störa existerande nät. Det kostar helt klart så att kunna välja vilken trafik som behöver skyddas och inte är nog ett plus. En ISP kan t ex erbjuda två gw, en som routar vanlig och en som routar genom skyddat nät.
@redlib
SvaraRaderaJag är inte säker på om det är detta du söker - http://www.stealthnet.de/en_index.php.
Jag skulle vilja hävda att vi vill ha operatören så neutral som möjligt - det enda operatör skall göra är förmedla trafik. Och lämna upp till enskild att implementera de säkerhetslösningar han/hon vill ha. I dagsläget finns otaliga möjligheter att som privatperson använda anonymisering, krypterad onion-routing med mera.
Det jag skulle vilja se är en lagstiftning som ålägger stränga krav till operatörerna i kvaliteten på trafikhanteringen och deras neutralitet till vilken trafik som förs och vart.
Om man implementerar lösningar utförda centralt så blir därmed du och jag som användare konstant satta i positionen att vi inte har någon kontroll över hur vår trafik hanteras, och skrämmande litet insyn.
Är vi däremot själva uppmuntrade att bruka anonymisering och krypterad trafik så har vi själva kontrollen och informationen.
Detta är ur rent säkerhetsmässig synpunkt också bättre. End-to-end encryption är ordet. Från och med att trafiken lämnar min dator skall den inte vara öppningsbar för främmande - och det kan inte åstadkommas om det är själva operatören som står för krypteringen.
Det finns en uppsjö av open-source applikationer som lägger både makten och besluten i enskild persons händer. Vad vi behöver är inte mer lag om vad operatören skall göra med trafiken, utan mer lag om vad de skall ge fan i. Därefter tror jag man blir mer betjänt av att satsa på utbildning av ungdomar och äldre inom IT snarare än att satsa på en storskalig förändring av infrastrukturen.
Onion-routing är en bra idé, men redan idag fungerar internet så att enskilda användare utan problem kan bilda nätverk spontant som utomstående kommer finna vara totalt ogenomträngliga.
Har man centraliserade lösningar hamnar man alltid i sitsen att det enda FRA i sak behöver göra är att köra en kabelavlyssning av ingående trafik hos alla leverantörer i Sverige så kan de nysta upp hela kedjan oavsett de lösningar som implementeras längre nedströms. Påbörjar man kryptering och anonymisering direkt vid datorn måste de i stället satsa på punktavlyssning genom direktintrång, vilket är oproportionerligt mycket svårare att utföra och i längden totalt omöjligt att dölja.
Ursäkta sent svar, du fastnade av outgrundlig anledning i googels spamfilter...
SvaraRaderaEnd to end är bra och upp till ändpunkterna - men det löser inte problemet med trafikdata - alla noder i nätet som passeras kan fortfarande sniffa vem som pratar med vem.
Mitt förslag är inte på något sätt ett alternativ till end to end, det är ett komplement. Idealt ska ingen nod i nätet veta något om annat än sina egna ändpunkter... men det skulle helt snurra upp nätets redundant routing.
Men ett par lager skulle hjälpa mycket utan att skada routingen på ett avgörande vis, Kryptad tunnel 'local isp' till 'local isp' och 'stor isp' till 'stor isp' skulle göra informationen som kan insamlas i varje given punkt långt mindre känslig.