Ska vi känna oss lugnade?

Carl B. Hamilton skriver:

Och alla dessa krypteringsexperter ute i de svenska hushållen som vet att kryptering inte går att knäcka, trots att FRA lyckats massor av gånger!

På ett sånt uttalande finns det två möjliga reaktioner - antingen grips man av panik: "Aigz, det hjälper inte att kryptera min mail, FRA kommer ändå att kunna söka genom den!", eller så funderar man på om Carl B. Hamilton vet vad han pratar om.

Naturligtvis lyckas FRA knäcka krypton då och då, antingen på grund av svagheter i det använda kryptot, eller på grund av att nån gör ett misstag i hanteringen av kryptot. Det senare är förmodligen det vanligaste fallet. Gudarna ska veta att det finns gott om möjligheter att skjuta sig i foten när man pysslar med kryptering.

Men betyder det att FRA kan knäcka dagens standardkrypton? Om jag upprättar en HTTPS-förbindelse till en utländsk website och webservern och min Firefox förhandlar fram en 128-bitars AES-kryptering, kommer då FRA att kunna avlyssna vad som skickas över den förbindelsen? Jag tror faktiskt inte det.

Vi känner inte till något bättre sätt att knäcka AES än att helt enkelt pröva oss genom alla möjliga kryptonycklar. Med en 128 bitar lång kryptonyckel finns det 2¹²⁸ möjliga nycklar, och i snitt behöver vi pröva hälften av dem, det vill säga 2¹²⁷ stycken, för att hitta rätt nyckel. Hur lång tid tar det då? FRA har ju faktiskt Ellen, världens just nu elfte snabbaste dator.

Mja, om vi föreställer oss att vi har en ohyggligt snabb maskin, en maskin som kan testa en miljard miljarder kryptonycklar per sekund, en maskin som bara existerar i vår fantasi, så skulle det ta 10¹² år. Det är ungefär hundra gånger längre än universums livslängd. För att dekryptera ett enda meddelande.

Teoretiskt sett skulle det såklart kunna finnas metoder för att knäcka AES som vi inte känner till. NSA kanske sitter på en bakdörr som de avslöjat för sina kompisar på FRA. Omöjligt är det ju inte, men uppriktigt sagt tror jag inte det. AES-standarden togs fram i en öppen process, och jag ser inte att det funnits några möjligheter att smyga in bakdörrar i själva AES-algoritmen. Och även om NSA trots allt skulle ha hemliga metoder för att knäcka AES, så är det uteslutet att de skulle dela med sig av den kunskapen - betänk att amerikanska myndigheter själva använder AES.

Men, men, jag vet inte så mycket om kryptering. Carl B. Hamilton är riksdagsman och professor i internationell ekonomi, så han vet ju uppenbart bättre än jag.

Dimman lättar

Sten Tolgfors, apropå FRA-lagen:

– Jag tror att dimmorna steg för steg kommer att skingras. Det har i debatten funnits en lång rad påståenden som inte stämmer.

Tänk, det är inte ofta Tolgfors kommer med ett påstående som jag kan instämma i så fullt ut.

Alltid något

Äntligen får stackars FRA lite positiv press: de är i alla fall bra på miljöledning!

Nerpetad

I den senaste utgåvan av Top500-listan, som två gånger om året publicerar världens 500 snabbaste datorer, halkade Neolith ner från plats 23 till plats 40. Det var väntat, eftersom det hela tiden dyker upp allt snabbare datorer runt om i världen.

Men det som är lite irriterande är att Umeå-gängets nya maskin Akka oväntat nog lyckades komma in på plats 39. De lyckades klämma ut 46,04 teraflop/s ur den, att jämföra med Neoliths toppnotering på 44,46. Hrmpf. Högst ofint. Men så har de marknadsföringspengar från Microsoft i ryggen också. Nå, vi får väl se hur ställningen blir på nästa lista i november...

85% av maskinerna på Top500 kör Linux, så det är lite udda att Akka förutom Linux faktiskt även kan köra Windows. Jag ser det mest som en reklamgimmick - i praktiken lär Akka sällan boota Windows.

Det som är mer remarkabelt är att Umeå-folket fått överge sin omhuldade Ubuntu och nu kör CentOS som civiliserade människor.

Dagens räkneövning

Ett populärt argument från FRA-lagsförespråkarna är att det av volymskäl skulle vara helt omöjligt för FRA att lagra vår privata kommunikation ens om de ville. Staffan Danielsson har sagt det mer än en gång, både i riksdagsdebatten och i sin blog.

Men är det verkligen så? Hur mycket skulle det kosta att lagra svenska folkets samlade mailtrafik?

Låt oss bortse från semesterbilder och andra utrymmeskrävande bilagor, och koncentrera oss på textinnehållet. Vi antar att nio miljoner svenskar skickar tio tätskrivna A4-sidor text om dagen, varje dag året runt. Det är rimligen en överskattning, men låt oss ta till rejäla marginaler i beräkningen. Det motsvarar 40 KiB text per person och dag, vilket ger totalt 122 TiB per år. (Här använder jag de pedantiskt korrekta enheterna kibibyte och tebibyte istället för de tvetydiga enheterna kilobyte och terabyte. Se Wikipedia för en utläggning om dessa.)

122 TiB per år, alltså. Det motsvarar lagringskapaciteten i ett par hundra normala PC-maskiner. Och det skulle räcka med arton stycken av HP:s billigaste lagringsservrar, HP Proliant 320s, om man fullbestyckar dem med 750 GB-diskar - det ger 6,9 TiB användbart utrymme per server om man konfigurerar dem med RAID6 utan hotspare-disk. Om jag tittar bland mina gamla offerter ser jag att man för ett år sedan fick betala 843 300 kronor plus moms för tjugo dylika servrar. (Jag fortsätter att ta till rejäla marginaler.)

Mindre än en miljon om året, alltså. Tror ni att det skulle rymmas i FRA:s budget på en halv miljard per år?

Nej, jag tror egentligen inte att FRA är intresserat av att lagra hela vår mailtrafik. Men nog skulle de kunna.

Dagens glosövning

Johan Pettersson, vice förbundsordförande i CUF, försvarar Lena Forsmans agerande när hon gick till Richard Slätts chef för att hon inte tyckte om vad han skrev. Han tycker att det är fullt förståeligt att hon "hörde av sig", att man faktiskt får acceptera att folk "säger till".

Johan, om hon tog illa upp av vad Richard skrev så hade det rimliga varit att kontakta honom - att ringa honom, att maila honom, att skriva en kommentar på hans blog - och säga "Richard, det där tycker jag var plumpt". Men det gjorde hon inte. Hon gick till hans chef och sa "Titta vad han skriver! Tycker du verkligen att det är bra?"

Det är inte att säga till. Det är (säg efter mig nu, Johan) "att ut-öva på-tryck-ning-ar". Och det är riktigt, riktigt fult. Och att som kommunikationschef utöva påtryckningar mot en journalist är lite extra fult.

Att säga till är att göra så här: Johan, nu skrev du nånting riktigt dumt.

Vem är det som är okunnig?

Anders Tilly (kd) skriver i ett debattinlägg om FRA-lagen på Politikerbloggen att "Nej-sägarna är beredda att leka med elden". Han är övertygad om att motståndet mot FRA-lagen har sin grund i okunskap.

Det är ett intressant uttalande. FRA-lagen är, som förespråkarna gärna påpekar, en komplicerad fråga, där säkerhetspolitiska och integritetsmässiga intressen ska vägas mot varandra och mot vad som är tekniskt möjligt att åstadkomma. Vad har då de sakkunniga inom dessa tre områden att säga om lagen?

Datainspektionen, som är vår främsta integritetsvårdande instans, sågade förslaget totalt i remissrundan. Säkerhetspolisen, Rikspolisstyrelsen och Justitiedepartementet, som väl får sägas veta ett och annat om terrorism och brottsbekämpning, kom samtliga med förödande kritik i sina remissvar. Leif GW Persson och Magnus Norell, terrorismforskare vid FOI, hävdar att lagen har föga värde för att bekämpa terrorism.
Patrik Fältström, en av Sveriges ledande Internet-experter, att lagen är av så dålig teknisk kvalité att den inte går att tolka. Själv kan jag med mina blygsamma dator- och nätverkskunskaper bara hålla med.

Och Anders Tilly säger att motståndet är grundat i okunskap, att det är han som förstår vad FRA-lagen innebär. Jag kan bara imponeras av bredden och djupet i Tillys kunskaper, eftersom han uppenbarligen vet bättre än den samlade expertisen i inte mindre än tre skilda discipliner.

Anders Tilly säger också, och jag citerar:

Om jag skulle ha argumenterat för ett nej till denna lag och sedan Sverige skulle råka ut för någon form av terrorism eller sabotage som krävt människoliv eller givit stora skador för samhället, skulle jag aldrig förlåta mig själv.

Jovisst. Och på samma sätt kan man motivera vilken säkerhetsåtgärd som helst. Om man väljer att bortse från kostnaden (i pengar och i offrandet av medborgeliga rättigheter). Om man väljer att inte fundera närmare på hur stora riskerna egentligen är. Om man väljer att inte reflektera över proportionaliteten hos åtgärden. Om man väljer att inte analysera effektiviteten hos åtgärden. Anders, du vet väl att Stockholm när som helst kan utplånas av ett meteoritnedslag? Varför argumenterar du inte för ett världsomspännande rymdlasersystem?

Och slutligen påpekar Anders Tilly att telefon- och datatrafik kan gå i etern idag, och då kan avlyssnas av FRA, helt oreglerat. Och det stämmer också. Men det han underlåter att nämna är att det är en försvinnande liten del av datatrafiken och normal teletrafik som går i etern. Och mobiltelefoni må gå över radio, men jag har lite svårt att se FRA sätta upp avlyssningsutrustning i landets samtliga mobiltelefoniceller.

Men för all del, jag är villig att ge Anders Tilly en poäng: FRAs verksamhet måste regleras bättre än i dag. Jag skulle välkomna en parlamentarisk kommitté som granskar och reglerar FRA.