Overvåking av kryptert datakommunikasjon på internettet

Statlige sikkerhetsinteresser versus personvern- og ytringsfrihetsinteresser(1)

Av Jens Petter Berg

[Manuskript 8.12.97 til antologien Elektronisk handel : rettslige aspekter : Nordisk årbok i rettsinformatikk 1997 / redigert av Randi Punsvik. Utkommer ultimo desember 1997 på Norstedts Juridik, Stockholm. (Enkelte skrivefeil i bokmanuskriptet er rettet opp!!)]

1. Problemstilling

å foreta brevåpning og telefonavlytting i overvåkingsøyemed har neppe noen gang vært en teknisk utfordring for statlige sikkerhetsmyndigheter – trass i den juridiske striden om bruken av slike metoder. Internettet har snudd opp ned på denne situasjonen:

· Én ting er at det er grunnlag for uenighet om spørsmålet om de eksisterende lovhjemlene for brevåpning og telefonavlytting også hjemler avlytting(2) av internett- og annen datakommunikasjon, eller om ny lovgivning trengs;

· Langt viktigere er det at all avlytting av datakommunikasjon snart kan være teknisk-praktisk umuliggjort, takket være de matematiske formlene – algoritmene – for kryptering og dekryptering av datakommunikasjon som i de seineste åra har blitt introdusert på markedet.

Kryptering er avledet fra det gammelgreske verbet krypto, som betyr jeg skjuler/gjemmer/gjør hemmelig/forvansker, jf også adjektivformen kryptos: skjult/gjemt/hemmelig/forvansket. Kryptering er samlebetegnelsen for ulike metoder som benyttes for å sikre konfidensialitet, samt evt autentisitet (ekthet) og notoritet (ikke-benektbarhet) i forbindelse med mellommenneskelig kommunikasjon. Dekryptering vil si å reversere en krypteringsprosess. For å kunne dekryptere en kryptert melding, må man kjenne den såkalte krypteringsnøkkelen som inngår i krypteringsalgoritmen.

Den nærmere sammenhengen kan forenklet framstilles ved hjelp av de matematiske symboler som inngår i en krypteringsalgoritme. I krypteringsalgoritmen f(M,N) er M den meldingen(3) som skal forvanskes, N er krypteringsnøkkelen og f er én eller flere matematiske funksjoner som forvansker meldingen M. Funksjonen(e) er normalt offentlig kjent og veldokumentert i relevant informatisk litteratur.(4) All sikkerhetsinteresse knytter seg dermed til krypteringsnøklene som inngår i forvanskingsprosessen – slik sett er det ikke tilfeldig at nøkkel-termen brukes på dette elementet av krypteringsalgoritmen.

Kompleksiteten til krypteringsalgoritmer klassifiseres etter antall bits (0- eller 1-tall) som inngår i nøklene. Om f eks nøkkelen er ‘A’, vil dette innebære at det brukes en 8 bits nøkkel (fordi ‘A’ på datamaskinspråk representeres som 8 bits-strengen ‘01000001’). Den i praksis eneste framgangsmåten for å finne ut hvilken nøkkel som faktisk er blitt benyttet i en krypteringsalgoritme, er å teste ut alle teoretisk mulige nøkler, helt til man treffer den riktige nøkkelen. Dette er teknisk-praktisk mulig, dersom nøklene ikke er så lange – f eks gir en 8 bits nøkkel bare to opphøyd i åttende mulige nøkler, altså 256 mulige nøkler. For hver bit man øker krypteringsnøklenes lengde med, dobles antall mulige nøkler. En 40 bits nøkkel gir dermed to opphøyd i førtiende mulige nøkler, altså ca 1 billion mulige nøkler. Dersom meldingen er kryptert med en algoritme som bruker en 40 bits nøkkel, skal man mao være relativt interessert i det som kommuniseres, for å ville bruke ressurser på nøkkelknekking.

Det er trolig en teknologisk begivenhet på nivå med Johann Gutenbergs boktrykkemaskin fra ca 1445 at tilnærmet garantert konfidensialitet for informasjon som datakommuniseres framstår som en reell teknisk-kommersiell mulighet allerede kort tid etter at verden har nådd Internettets tid. Utviklingen i løpet av de siste par åra innebærer dermed at det avlyttbare feltet av mellommenneskelig kommunikasjon potensielt er blitt drastisk innsnevret. Det som gjenstår er at den allerede kommersielt tilgjengelige krypteringsteknologien finner sine brukere – samt at press fra statlige sikkerhetsmyndigheter ikke stikker kjepper i hjulene for krypteringsteknologiens seiersgang.

Innsnevringen av det avlyttbare feltet har ikke bare sammenheng med introduksjonen av nye kommunikasjonsformer (les: e-post & internett). Like viktig er det at internettet som kommunikasjonskanal mer og mer er i ferd med å ta over for vanlig taletelefoni og brevskriving, samt at i første rekke mobiltelefoni, men etter hvert også taletelefoni og faxkommunikasjon i stigende utstrekning overføres til en 100 % digital teknologiplattform.(5)

Fra et statlig sikkerhetsperspektiv synes utbredte holdninger til en avlyttingsfri datakommunikasjon å kunne sammenfattes nærmest på følgende måte:

· Er det logisk at det ikke skal være mulig å overvåke internettet, når både brev kan åpnes og telefoner avlyttes av hensyn til statlige sikkerhetsinteresser?

Fra synsvinkelen til den enkelte borger synes utbredte holdninger i tilknytning til mulighetene for avlyttingsfri, kryptert datakommunikasjon nærmest å kunne formuleres på følgende måte:

· Hva er så skremmende ved at det – takket være krypteringsteknologien – åpner seg et rom for avlyttingsfri mellommenneskelig kommunikasjon?

Krypteringsteknologien har altså brakt til overflaten en interessekonflikt hvor enkeltindividets personvern- og ytringsfrihetsinteresser konfronteres med statlige sikkerhetsinteresser. Det er denne interessekonflikten jeg ønsker å rette søkelyset mot på de følgende sidene. Jeg har funnet det fruktbart å starte drøftelsen med å si noe om ulike rettspolitiske tilnærmingsmåter til «uknekkelig» kryptering av datakommunikasjon (avsnitt 2 nedenfor). Med dette utgangspunktet skisserer jeg de rettslige begrensningene for overvåking av kryptert datakommunikasjon som må antas å følge av Den europeiske menneskerettighetskonvensjon (avsnitt 3 nedenfor). Deretter knytter jeg enkelte kommentarer til den tilpasning av nasjonale avlyttingshjemler for å møte krypteringsteknologien som allerede pågår i Norge (avsnitt 4 nedenfor). Avsnitt 5 inneholder noen avsluttende refleksjoner.

2. Ulike rettspolitiske tilnærmingsmåter til «uknekkelig» kryptering av datakommunikasjon

2.1 Innledning

Alle som har fulgt med litt i de de seinere åras rettspolitiske strid om informasjonssikkerhet (datasikkerhet) vil lett kunne identifisere noen velkjente hovedelementer i måten å gripe an de ulike utfordringene i tilknytning til «uknekkelig» kryptering av datakommunikasjon. En grovinndeling av frontene i denne striden vil si å plassere USA og Frankrike «mot røkla», dvs i første rekke OECD og EU-Kommisjonen.

For USA og Frankrike har tilnærmingen vært styrt av statlige sikkerhetsmyndigheter og preget av krypteringsteknologiens historiske rolle som middel for å sikre konfidensialitet i militære kommunikasjonsrelasjoner. Informasjonssamfunnets krypteringsalgoritmer har blitt betraktet som våpensystemer, potensielt nasjonale sikkerhetstrusler i hendene på terrorister mv dersom disse får adgang til «uknekkelig» datakommunikasjon.

For OECD og EU-Kommisjonen, som først har tonet flagg i løpet av dette året (1997), har tilnærmingen vært styrt av den markedsliberalistiske fri flyt-tenkingen. Kryptert datakommunikasjon er i dette perspektivet en avgjørende forutsetning for en vellykket kommersiell utnytting av internettet. Istedenfor å konsentrere oppmerksomheten mot skadefølgene ved at kriminelle får tilgang til en avlyttingsfri kommunikasjonskanal, betones de kriminalitetsavvergende følgene av det lovlydige flertallets muligheter for å bruke internettet som en trygg handlekanal. Avlyttingsfrihet anses dessuten som befordrende for personvern og ytringsfrihet. Framfor alt vektlegges andre aspekter enn konfidensialiteten ved kryptert datakommunikasjon, nemlig autentisitet (ekthet) og notoritet (ikke-benektbarhet): De som mottar en meddelelse over nettet, skal kunne stole 100 % på at meddelelsen er ekte, og at de som sender en meddelelse over nettet skal kunne stole 100 % på at mottakeren av meddelelsen ikke kan benekte at han (hun) har mottatt den.

Felles for begge hovedgrupperinger er en bekymring for misbruk av retten til frie ytringer på internettet til usømmelige (pornografiske eller ærekrenkende) ytringer. Siden perspektivet mitt her er statlige sikkerhetsinteresser ift kryptert datakommunikasjon, går jeg ikke nærmere inn på de bestrebelsene som gjøres for å komme slike ytringer til livs.

2.2 USA og Frankrikes opprinnelige tilnærming – frykten for kryptoteknologien som våpen i terroristers hender

Den frykt som i USA og Frankrike opprinnelig synes å ha dominert fullstendig ift mulighetene for «uknekkelig» datakommunikasjon, kan stikkordmessig formuleres slik:

• risiko for terroristanslag,
• fare for alvorligere (mer organisert) kriminalitet,
• uønsket spredning av strategiske høyteknologi (les våpen).

Lista kunne nok suppleres med et breiere register av uønskede scenarier: frykt for spredning av pornografisk materiale og farlige medisiner, samt uønsket spredning av informasjon – f eks med kommunistisk, rasistisk eller pornografisk innhold. Fellesnevneren her er at all oppmerksomhet fra myndighetene har vært rettet mot de uønskede aspektene ved en potensielt 100 % konfidensiell datakommunikasjon.

Clinton-administrasjonen lanserte i 1993 den såkalte Clipper chip-løsningen: all tillatt kryptering skulle baseres på samme, innebygde algoritme, og nøklene skulle deponeres – oppsplittet i to sammenstillbare deler – hos av hverandre uavhengige nøkkelforvarere. Statlige sikkerhetsmyndigheter skulle etter rettens kjennelse kunne få tilgang til nøkkeldelene for å kunne sette dem sammen og avlytte bestemte personer eller foretak ol.

Clipper-chipen har møtt kraftig motstand både fra forkjempere av ytringsfrihet og IT-bransjen sjøl. Mens flere alternative løsninger venter på en politisk avklaring, har regjeringen benyttet sine eksportkontrollhjemler til å pålegge kryptoalgoritmeprodusentene å deponere (deler av) nøklene hos statlige sikkerhetsmyndigheter, slik at overvåking av kryptert datakommunikasjon fortsatt er gjennomførlig.

Krypteringsnøkler på mer enn 40 bits ble av National Security Agency (NSA) fram til begynnelsen av 1997 ansett for så ressurskrevende å dekryptere at det har vært forbud mot kommersiell eksport av slike, med mindre den delen av krypteringsnøkkelen som overstiger 40 bits deponeres hos myndighetene. Etter at en amerikansk college-student i januar 1997 klarte å knekke en 40 bits nøkkel på mindre enn 4 måneder (!), har eksportrestriksjonene visstnok blitt lempet slik at de ikke gjelder for nøkler opp til 56 bits – tankegangen er vel at det en student kunne få til, må vel også NSA kunne klare (om nødvendig ved å søke bistand hos vedkommende)! (6)

Ifølge hjemmesiden til Pretty Good Privacy Inc, fikk dette selskapet 4.11.1997 tillatelse fra det amerikanske handelsdepartementet til å eksportere versjon 5.5 av sitt krypteringsprogram, med en 128 bits nøkkel, til banker i alle land. Den eneste begrensningen var at banker i de 7 stater som står oppført på en spesiell embargoliste (herunder Cuba, Irak, Iran og Libya), ikke fikk kjøpe programmet. Dette viser at næringsvettet er i ferd med å overvinne terroristfrykten også over there.

2.3 OECD og EU-Kommisjonen har i 1997 brakt kryptopolitikkutviklingen inn på et normalt, markedsorientert spor

En viktig milepæl i veien fram mot en folkerettslig omforenet holdning til kryptoreguleringsspørsmålene ble nådd 27.3.1997, da OECDs anbefaling om krypteringspolitiske retningslinjer(7) ble godkjent av medlemsstatene. Som navnet indikerer, er det her ikke snakk om rettslig bindende bestemmelser for medlemsstatene, men like fullt gir anbefalingen og dens supplerende retningslinjer klare føringer for den kommende rettsutviklingen innenfor den respektive medlemsstat. I den innledende formålsbeskrivelsen til de nevnte retningslinjene heter det bl a:

«The Guidelines are intended:

• to promote the use of cryptography (...)
• to promote this use of cryptography without unduly jeopardising public safety, law enforcement, and national security; (...)»

Det interessante her er ikke at retningslinjene angir et dobbelt siktemål med kryptopolitikken, men at det med fortrinnlig klarhet fastslås at bruken av krypteringsteknologi skal fremmes som en avgjørende forutsetning og løftestang for utviklingen av det globale elektroniske markedet.

Sjølsagt feier ikke OECD-dokumentet det amerikansk-franske «våpen i kriminelles hender»-perspektivet helt av banen, men perspektivet tillates ikke å overskygge krypteringsteknologiens positive egenskaper. I retningslinjenes avsnitt 6, som har overskriften «Lawful access», heter det således innledningsvis:

«If considering policies on cryptographic methods that provide for lawful access, governments should carefully weigh the benefits, including the benefits for public safety, law enforcement and national security, as well as the risks of misuse, the additional expense of any supporting infrastructure, the prospects of technical failure, and other costs. This principle should not be interpreted as implying that governments should, or should not, initiate legislation that would allow lawful access.»

På en ministerkonferanse i Bonn i begynnelsen av juli 1997, med deltakelse fra stort sett alle Europas stater samt EU og EFTA, ble synspunktene fra OECD-rekommendasjonen i grove trekk gjentatt.(8)

Både OECD-rekommendasjonen og Bonn-erklæringene beredte grunnen for EU-Kommisjonens to viktige policy-dokumenter høsten 1997. I det første dokumentet, datert 8.10.1997(9), framlegges tre hovedsynspunkter: for det første anses kryptering som den eneste brukbare og praktiske metode for å sikre konfidensialitet for privat- og forretningskommunikasjon, for det andre anses dagens krypteringsreguleringsregime for ineffektivt og for det tredje hevdes det, med front mot USA, at utstrakt bruk av kryptering vil avverge kriminalitet, og ikke fremme kriminalitet.

I det andre dokumentet, datert 26.11.97(10), lanseres en handlingsplan for bekjempelse av skadelig eller ulovlig informasjon på nettet, konkretisert slik:

· national security (instructions on bomb-making, illegal drug production, terrorist activities);

· protection of minors (abusive forms of marketing, violence, pornography);

· protection of human dignity (incitement to racial hatred or racial discrimination);

· economic security (fraud, instructions on pirating credit cards);

· information security (malicious hacking);

· protection of privacy (unauthorised communication of personal data, electronic harassment);

· protection of reputation (libel, unlawful comparative advertising);

· intellectual property (unauthorised distribution of copyrighted works, e.g. software or music).

Som det ses, har EU med dette dokumentet posisjonert seg ift politikkutviklingen over et stort og sammensatt felt, delvis henhørende under den såkalte Tredje søyle, slik at evt. forpliktende tiltak må besluttes i folkerettslige former. Etter en fem måneders høringsrunde, som det ennå er for tidlig å ha noen formening om utfallet av, vil dette dokumentet inngå i den videre politikkutviklingen innenfor EU-organene.

3. EMK art. 6, 8 og 10 som rettslige skranker mot overvåking av kryptert datakommunikasjon

Den mest brennende rettslige problemstillingen ift utformingen av nasjonale bestemmelser om overvåking av kryptert datakommunikasjon er å foreta en nærmere vurdering av de rettslige skranker som Den europeiske menneskerettighetskonvensjon (EMK) art. 6, 8 og 10 setter. Plassen her tillater ikke annet enn noen hastige bemerkninger om problemområder som allerede har kommet for dagen gjennom domspraksis fra Den europeiske menneskerettighetsdomstol (EMD).

Ift art. 6 første avsnitt framhever jeg at prinsippet om vern mot sjølinkriminerende tvang gjennom to dommer i de seinere åra har blitt knesatt som en integrert del av fair hearing-begrepet.(11) Etter mitt skjønn innebærer prinsippet at informasjon framskaffet gjennom avlytting av datakommunikasjon bare kan brukes som ledd i etterforsking av en straffbar handling, derimot ikke som bevis for straffeskyld ift den samme handlingen. Norsk avlyttingslovgivning har hittil vært i overensstemmelse med en slik forståelse av vernet mot sjølinkriminering. Dersom forslagene fra Metodeutredningen 1997 (NOU 1997: 15) skulle få gjennomslag, vil derimot dette bevisforbudet bortfalle, og en potensiell folkerettskrenkelse etableres som formell norsk lov.

Ift art. 8 andre avsnitt (om kriterier for unntak fra den rett til beskyttelse av privat- og familieliv osv som oppstilles i første avsnitt) er det for det første grunn til å framheve at EMD konsekvent har tilsidesatt nasjonale overvåkingsskritt som kovensjonsstridige, dersom tilstrekkelig hjemmel i nasjonal rett ikke kan oppdrives, noe særlig England og Frankrike har fått unngjelde for.(12) For det andre er det grunn til å framheve at EMD gjennomgående har stilt større krav til overvåkingshjemlers klarhet enn det som generelt har vært ansett som nødvendig i Norge.

I Leander mot Sverige(13), avsnitt 50, framholdt EMD under henvisning til Malone mot Det forente kongedømme(14), avsnitt 66, at den påberopte unntakshjemmel måtte være forutberegnelig («forseeable) for den interesserte. Den sidestilte franske teksten ga her etter min mening klarere beskjed om hva som mentes: «l’intéressé [...] doit pouvoir en prevoir les conséquences pour lui [...]». Den som berøres av de aktuelle bestemmelsene, må altså kunne overskue disses konsekvenser for seg.

For det tredje er det grunn til å framheve EMDs holdning til nødvendighets-normen i art. 8 andre avsnitt, hvor skjønnstemaet «pressing social need» i en rekke dommer har vært brukt som nøkkel-formulering i forbindelse med overprøvingen av de nasjonale unntaksreglers konvensjonsforenlighet. I kombinasjon med et generelt krav om at de konkrete overvåkingstiltak ift kryptert datakommunikasjon ikke må anses som uforholdsmessige inngrep, kan nok dette skjønnstemaet vise seg å bli den hyppigste årsak til at EMD ikke vil akseptere overvåking av slik kommunikasjon.

Ift art. 10 nøyer jeg meg å nevne at EMD hittil ikke har funnet det nødvendig å ta stilling til om et omtvistet nasjonalt overvåkingsskritt særskilt er forenlig med denne artikkels andre avsnitt. Dette har sammenheng med at inngrepskriteriene i art. 8 andre avsnitt og art. 10 andre avsnitt er blitt regnet som sammenfallende.(15) I og med at internettets karakter av å være et redskap for masseytringer er så påtakelig, er det imidlertid – ikke minst takket være påvirkning fra den ekspansive bruk av First Amendment i amerikansk rettspraksis om lovligheten av internettrestriksjoner(16) – trolig grunn til å vente seg en klarere synliggjøring av art. 10 i kommende saker for EMD.

Det er konvensjonell visdom at personvern- og ytringsfrihetsinteresser i tilknytning til kommersielle transaksjoner ikke er beskyttet like sterkt etter EMK art. 8 og 10 som de personlige og politiske kommunikasjons- og ytringsrelasjonene. Art. 8 andre avsnitt og art. 10 andre avsnitt setter mao lavere terskler for å godta unntak dersom det kun dreier seg om kommersielle transaksjoner.

4. Tilpasning av internrettslige avlyttingshjemler til internett-teknologien

På det nasjonale nivået møter myndighetene utfordringen med å tilpasse lovgivningen til den konvergens (sammenflyting) som skjer mellom radio- og telekommunikasjon og annen informasjonsformidling i et digitalisert informasjonssamfunn.(17)

Avlytting av datakommunikasjon vil i realiteten si å snappe opp og (mellom)lagre digitale signaler under transmisjon, samt skriving til skjerm (monitorering) av de signalene som snappes opp. Lesing av lagrede data er ransaking i straffeprosesslovens forstand, mens (mellom)lagring (skriving til fil) av data som snappes opp eller avleses er beslag i straffeprosesslovens forstand. Det er mao mange skjær i sjøen, både ift gjeldende rett og ved rettspolitiske overveielser, når man skal meisle ut grenser for lovlig avlytting av datakommunikasjon.

Hos oss foregrep allerede GSM-utredningen 1996(18)en god del av de stridsspørsmål som for alvor har kommet på agendaen i løpet av 1997: Her foreslås det at teleoperatørene pålegges å gjøre både nye og eksisterende telekommunikasjonssystemeravlyttbare. Uten at Stortinget ble invitert til å ta stilling til de prinsipielle spørsmålene som et slikt forslag reiser, stilte regjeringen Jagland tidlig i 1997 opp som konsesjonsvilkår for det nye GSM 1800-systemet at de operatørene som ønsket å konkurrere om konsesjon, måtte godta å gjøre systemet avlyttbart.

I Metodeutredningen 1997, NOU 1997: 15, er det videre foreslått nye hjemler for avlytting av datakommunikasjon, herunder hjemmel for å avbryte slik kommunikasjon, se utkast til ny strpl § 216 a. I utredningen hevdes det like fullt – men uten noen argumentasjon – at telefonavlyttingsloven 1915 (TAL) og straffeprosessloven kapittel 16 a allerede er tilstrekkelig hjemmelsgrunnlag for slik internettovervåking.(19)

Etter min mening kan et slikt standpunkt neppe være holdbart. Det kan ikke være et tilstrekkelig argument at datakommunikasjon i stor utstrekning foregår via det samme telenettet (kabler) som vanlig taletelefoni – datakommunikasjon er en prinsipielt ny kommunikasjonsform, og da må det være lovgivers sak å ta stilling til om behovene for overvåking er like sterke som behovene som i sin tid gjorde at man ga bestemmelser om telefonavlytting. Ift avlytting av sann tids taletelefoni via datamaskin kunne man riktignok møte min argumentasjon med det motargument at slik avlytting måtte være hjemlet i gjeldende bestemmelser, som telefonavlytting. Forutsatt at tele- og datanettene ikke kan separere mellom taletelefonisignaler og andre digitale signaler, er det imidlertid uholdbart å godta at det skal være hjemlet i dagens regelverk å avlytte all datakommunikasjon, og deretter sile bort den informasjon som det ikke er lovlig å snappe opp.

Strl § 145 andre avsnitt rammer den rettsstridige krenkelse av datatransmisjon i sin alminnelighet, mens kjernefeltet til strl § 145 a er beskyttelse av muntlig kommunikasjon av fortrolige tanker mot uhjemlet avlytting. Mao beskytter den avlytting av sanntids taletelefoni m/bildeoverføring mellom to eller flere samtalepartnere. Forutsatt at avlytting av datakommunikasjon ikke er hjemlet i TAL eller strpl kap 16 a, er den mao straffbar etter disse to lovbestemmelsene.

I forebyggende øyemed, altså som et proaktivt kriminaletterretningstiltak og ikke som ledd i etterforsking av straffbare handlinger, er avlytting av datakommunikasjon udiskutabelt ikke tillatt etter gjeldende rett. Forslag om slike hjemler er heller ikke framlagt i NOU 1997: 15.

5. Noen avsluttende refleksjoner

Overvåking av borgerne er – faktisk, men ikke offisielt(20) – vanligvis rettet inn mot «handel» med tanker og ideer som ut fra statlige sikkerhetsbehov oppfattes truende. Slik sett er det ikke overraskende at internett-utviklingen har utløst mer eller mindre åpenlyse sensur- eller overvåkingsforsøk verden over. Det ligger imidlertid i kortene at forsøk på å begrunne overvåking med behovet for å avverge terrorisme eller organisert kriminalitet osv bare i begrenset utstrekning vil få gjennomslag, fordi ytringsfriheten og personvernet er så rotfestet – iallfall i den offisielle ideologi – i de mest utviklede statene i verden.

Frykten for at 100 % konfidensialitet for kommunikasjon over internettet skal kunne misbrukes av personer som ønsker å handle sensitiv høyteknologi i strid med nasjonal lovgivning eller folkerettslige arrangementer, har neppe potensiale til å kunne forpurre den uknekkelige krypteringsteknologiens seiersgang på nettet. Uønskede varer (fysiske gjenstander) kan jo fortsatt stanses ved grensene, sjøl om kjøpsavtalene skulle være inngått i dølgsmål via nettet.(21)

Skadepotensialet dersom man på nasjonalt eller folkerettslig nivå satser på forbud mot bruk av «uknekkelige» krypteringsalgoritmer ved datakommunikasjon, kan slik jeg ser det stikkordmessig angis slik:

• Den enkeltes personvern- og ytringsfrihetsinteresser nedprioriteres,(22)
• Kostnadene forbundet med overvåking av internettet kan bli så store for statlige sikkerhetsmyndigheter/ politiet at annet kriminalitets-forebyggende politiarbeid blir skadelidende.(23)

At OECD og EU-Kommisjonens omforenede politikkerklæringer kommer til å munne ut i regelverk som både utnytter krypteringsteknologiens bevislige fortrinn og åpner bakdøra for en – mer eller mindre strengt kontrollert – tilgang til krypteringsalgoritmene som tillates brukt, er vel nokså sannsynlig. Det vil nok bli hard politisk strid om den nærmere utformingen av disse avlyttingsvilkårene – og man skal ikke se bort fra at flere av statene som er bundet av EMK, kommer til å snuble i noen konvensjonstråder under utformingen av sitt nasjonale regelverk. Hvordan regelverkene kommer til å bli utformet i det enkelte land, er det ikke lett å si noe sikkert om. I Norge gir NOU 1997: 15 en god pekepinn om at de sterkeste argumenter tas i bruk for å få gjennomslag for et kraftig utvidet overvåkingsregime. Påstander om at et avlyttingssikkert internett vil lede til mer kriminalitet, bør i denne rettspolitiske striden etter min mening møtes som det de er – udokumenterte forutsigelser om ei framtid vi ikke kan vite så mye om. De som krever forbud mot «uknekkelig» kryptering, bør derfor konfronteres med et krav omempirisk belegg for sine påstander.

Den suggestive virkningen av forutsigelser om slike skadefølger synes imidlertid å være stor. Den teknologifrelste falanks innenfor den kriminalitetsbekjempende «industrien»(24) har nemlig i flere år hatt velvillig støtte fra et flertall av verdens politikere.

Når det gjelder konsekvensene for personvern og ytringsfrihet mener jeg at det er feilaktig å se på disse som primært et spørsmål om innhenting av empirisk kunnskap. Vernet av disse goder er i første rekke et spørsmål om prioritering av verdier. I prinsippet er jo «alle» sterke tilhengere av disse rettsgodene – uenigheten framkommer først i konfrontasjon med konkurrerende goder (her altså beskyttelse mot økt kriminalitet osv).

I det «verdi-regnskapet» som etter min mening bør settes opp i forbindelse med rettspolitiske overveielser om følgene av «uknekkelig» kryptering av datakommunikasjon, bør bl a følgende positive følger av å tillate slik kryptering framheves:

• «Uknekkelig» kryptering fremmer informasjonsflyten, og dette styrker demokratiet,
• «uknekkelig» kryptering reduserer teknologi-pessimismen, dvs motvirker «mistillits-samfunnet»,
• «uknekkelig» kryptering innebærer en «ny vår» for den fortrolige kommunikasjon,
• «uknekkelig» kryptering er en befordrende faktor, men neppe en nødvendig forutsetning for et velfungerende elektronisk marked.

Fotnoter

(1)Takk til IT-ingeniør, cand scient Stig Wennevold, Avdeling for forvaltningsinformatikk (AFIN) ved UiO for veiledning om krypteringsteknologiens grunnleggende elementer!

(2)Termen avlytting brukes her – i tråd med Metodeututredningen (NOU 1997: 15) – som betegnelse for oppsnapping og registrering av digitale signaler (elektromagnetiske pulser) under transmisjon i det fysiske rom, trass i at slike signaler ikke er lydsignaler. De juridiske implikasjonene av dette ift eksisterende, internrettslige avlyttingshjemler behandles i avsnitt 4 nedenfor.

(3)For datamaskinen er enhver melding alltid en ansamling av 0- eller 1-tall. Enhver datakommunikasjon kan dermed betraktes som en matematisk prosess. Krypteringsalgoritmen gjør mao bare denne prosessen litt mer komplisert.

(4)Velkjente eksempler på slike algoritmer er DES (akronym for Data Encryption Standard, en algoritme for symmetrisk kryptering, dvs at samme kode brukes for både kryptering og dekryptering), RSA (akronym for Rivest, Shamir og Adleman, algoritmens utviklere; dette er et «offentlig nøkkel»-kryptosystem, hvor kodene for kryptering og dekryptering er asymmetriske, og bare dekrypteringskodene – unike for hver bruker – må holdes hemmelige) ogPGP (akronym for Pretty Good Privacy, konstruert over samme lest som RSA av Phil Zimmermann, og gjort gratis tilgjengelig via nettet). I Norge har Forsvarets Overkommando i samarbeid med bl a Telenor utviklet kryptoalgoritmen NSK (akronym for Norsk Standard Krypto), som er den eneste kryptoalgoritmen som fom 1994 har vært godkjent for datakommunikasjon av informasjon i forvaltningen, når denne er gradert etter Beskyttelsesinstruksen. Den altoverveiende del utviklingskostnadene forbundet med gode krypteringsalgoritmer er knyttet til de matematiske funksjonene (jf symbolet ‘f’ i algoritmen foran). Problemstillingen her nødvendiggjør ikke noen utbrodering av funksjonalitetskravene til slike funksjoner.

(5)Vanlig telefoni og faxkommunikasjon er fortsatt overveiende basert på analog teknologi mellom apparatets tilslutningspunkt og nærmeste sentral fra oppringeren, og tilsvarende fra nærmeste sentral og til tilslutningspunktet hos den som blir oppringt. Takket være ISDN-kablene er imidlertid digitale telefon- og faxapparater i ferd med å gjøre linjebasert telekommunikasjon 100 % digitalisert.

(6)Ifølge Osloavisen Dagens Næringsliv 17 november 1997 har den gamle restriksjonen på 40 bits tidligere rammet Lotus Notes. Lotus har – uten at kundene har fått vite noe – måttet gi NSA tilgang til de siste 24 bits av den 64 bits krypteringsnøkkelen som er integrert i dette programmet. Dermed har NSA vært i stand til å dekryptere de krypterte meldingene uten uoverkommelig dataressursbruk, dersom de måtte finne det ønskelig å avlytte datakommunikasjonen til og fra bl a sentrale norske selskaper som Norsk Hydro, Statoil, SAS og ABB, som ifølge avisartikkelen alle brukerLotus Notes i sin datakommunikasjon. Sjølve avlyttingen kan f eks ha skjedd fra spionsatelitter – Den Internasjonale Telekonvensjonen synes ikke å bli oppfattet som en effektiv folkerettslig skranke mot slik avlytting!

(7)«Recommendation of the Council concerning guidelines for cryptography policy», 27.3.97. På OECDs hjemmeside: <http://www.oecd.org/document/34/0,2340,en_2649_34255_1814690_1_1_1_1,00.html>.

(8)På konferansen, som hadde overskriften «Global information networks – realising the potential», ble det avfattet en «Ministerial declaration», se <http://europa.eu.int/ISPO/legal/en/labnew97-99.html>, og en «Industrial declaration», se <http://www2.echo.lu/bonn/industry. html>. Oppslaget til den sveitsiske avisa Neue Zürcher Zeitung 8.7.97 – «De Europäer wollen das Internet fördern : Abneigung gegen die Überwachungswünsche der USA» – gir en klar pekepinn om utviklingen av en annen tilnærming til krypteringsteknologien enn den amerikansk-franske.

(9)Towards A European Framework for Dignital Signatures And Encryption, Communication from the Commission (...) ensuring Security and Trust in Electronic Communication, COM(97)503. Dokumentet fins på hjemmesiden til EUs Information Society Project Office (ISPO): <http://europa.eu.int/ISPO/bonn/Industry/i_industry.html>

(10)Communication from the Commission (...) Action Plan on promoting safe use of the Internet. Dokumentet fins på hjemmesiden til Legal Advisary Board (LAB) for EUs DG XIII: <http://europa.eu.int/scadplus/leg/en/lvb/l24190.htm.

(11)Dom 25.2.1993 Series A No 256 Funke mot Frankrike og dom 17.12.1996 [Ennå ikke trykt] Saunders mot Det forente kongedømme.

(12)Se f eks dom 2.8.1984 Series A No 82 Malone mot Det forente kongedømme, dom 23.11.1993 Series A No 277-B A mot Frankrike og dom 25.6.1997 Halford mot Det forente kongedømme [Ennå ikke trykt].

(13)Series A No 116, 26 mars 1987.

(14)Series A No 82, 2 august 1984.

(15)Den grunnleggende avgjørelsen her er dom 27.10.1979 Series A No 30, Sunday Times mot Det forente kongedømme. En slik harmoniserende fortolking er for øvrig helt i tråd med Traktatrettskonvensjonen 1969.

(16)Et strålende eksempel her ga dommen i Bernstein-saken 26.8.1997, hvor The Federal District Court of San Fransisco under henvisning til First Amendment underkjente Handelsdepartementets kryptorestriksjoner. Saken var anlagt av en professor som ønsket å eksportere egne kryptoløsninger. Nærmere opplysninger på Electronic Frontier Foundations hjemmeside: http://www.eff.org/Privacy/Crypto_export/Bernstein_case

(17)State of the art fra EU-Kommisjonen om den kommersielle betydningen av slik konvergens gir her et nylig (3.12.1997) publisert Grønnpapir – Green Paper on the convergence of the telecommunications, media and information technology sectors, and the implications for regulation – COM(97)623, se ISPOs hjemmeside:

http://europa.eu.int/ISPO/convergencegp/>

(18)Innstilling fra en arbeidsgruppe som har vurdert politiets muligheter til å gjennomføre telefonkontroll i forhold til avanserte telekommunikasjonssystemer, avgitt til Justisdepartementet i januar 1996. Deler av innstillingen, som gjerne omtales som Aukrust-utredningen etter lederen, avdelingsdirektør Magne Aukrust i Justisdepartementets politiavdeling, er unntatt offentlighet.

(19)NOU 1997: 15 s 58 første spalte tredje siste avsnitt.

(20)Etter lovens bokstav er rein meningsovervåking forbudt i alle stater som er bundet av de vanligste menneskerettighetskonvensjonene. I praksis har imidlertid de hemmelige tjenestene aldri klart å skille effektivt mellom undergravende tanker og undergravende gjerninger. Lund-kommisjonens avsløringer i Norge i 1995 (Dok. 15 for 1995–96), og avsløringene høsten 1997 av den militære etterretningstjenestens (Informationsbyråns) og SÄPOs grunnlovs- og instruksstridige meningsregistrering i Sverige på 1970- og 80-tallet, viser dette i klartekst. Foreløpig klimaks i den svenske skandalen var Dennis Töllborgs avsløring 31 oktober 1997 av SÄPOs grunnlovs- og instruksstridige meningsregistrering av Torstein Leander, mannen som seinere mistet snekkerjobben sin på marinemuseet i Karlskrona, fordi hans venstreradikale meninger ble oppfattet som en sikkerhetsrisiko. Leander, som forgjeves gikk til sak for å få igjen jobben, og tapte i menneskerettighetsdomstolen i Strasbourg (EMD 26.3.1987 Series A No 116, dissens 4–3), ble av den svenske regjeringen 27 november 1997 tilbudt SEK 400.000 i erstatning for den urett han var blitt utsatt for ved å ha blitt registrert ulovlig, oppsagt uten gyldig grunn og utsatt for en løgnaktig bevisførsel i forbindelse med domstolsbehandlingen.

(21)Se for Norges del lov 18.12.1987 nr 93 om kontroll med eksport av strategiske varer, tjenester og teknologi. På en konferanse i Wassenaar (Haag) i desember 1995 ble et større antall OECD-stater oa, inkl Russland, enige om å etablere et multilateralt eksportkontrollforum for konvensjonelle våpen og sensitiv høyteknologi, med sete i Wien. Forumet er ikke traktatfestet. Flere opplysninger om den såkalte Wasswenaar-ordningen for eksportkontroll med konvensjonelle våpen og varer og teknologi med både sivil og militær anvendelsesmulighet framgår av EU-kommisjonens policy-dokument av 8.10.1997, avsnitt 2.1, se nærmere note 9 ovenfor. Se også den norske regjeringens hjemmeside: <http://www.odin.dep.no/ud/>.

(22)Hvorvidt dette er riktig eller ikke, er ikke et empirisk spørsmål, men derimot et verdivalgspørsmål, se straks nedenfor.

(23)Ift påstander om mulig feilprioritering av ressursbruk, er det udiskutabelt at empirisk belegg i prinsippet kan framskaffes – det er bare et spørsmål om evne/vilje til å få gjennomført slik kriminologisk forskning.

(24)Jf Nils Christie: Kriminalitetskontroll som industri : Mot GULAG, vestlig type? Oslo: Universitetsforlaget 1993