Krypteringslove: Hvilke regeringer lægger de største restriktioner på kryptering?
Fra private samtaler gennem f.eks. WhatsApp til fortrolige browserhistorier gennem VPN'er, spiller kryptering en integreret rolle i vores ytringsfrihed og privatliv.
Men med igangværende regeringsforsøg på at skabe 'bagdøre' til krypteringstjenester/-produkter, står mange lande over for alvorlige restriktioner, når det kommer til at bruge apps og værktøjer, der bruger kryptografi.
For at finde ud af, hvor de tungeste restriktioner er, har vores team af forskere analyseret over 200 landes lovgivning for at se:
- Hvilke lande kræver, at producenter/sælgere får en licens, før de producerer eller sælger kryptografiske produkter/tjenester
- Hvilke lande har import- og/eller eksportrestriktioner på kryptografiske produkter/tjenester
- Hvilke lande har ikke fritagelse for personlig brug på rejser med krypterede bærbare computere
- Hvilke lande pålægger udbydere forpligtelser til at udlevere krypteringsnøgler til retshåndhævelsesformål (under hensyntagen til, om der kræves en kendelse hertil)
- Hvilke lande forpligter slutbrugere til at udlevere krypteringsnøgler til retshåndhævelsesformål (under hensyntagen til, om der kræves en kendelse hertil)
Hvad fandt vi?
Langt de fleste lande har en eller anden form for begrænsning af krypteringsteknologier, uanset om det er import/eksportlove eller retshåndhævende myndigheders adgang til krypterede data. Stærkere restriktioner er noteret på steder, man kunne forvente dem, det vil sige Rusland og Kina, men tunge restriktioner er også på plads i mange andre lande. Og med mere og mere lovgivning og efterforskningsbeføjelser, der bliver indført, er restriktionerne kun sat til at stige i de kommende måneder og år.
For eksempel, mens Brasilien rangerer som et af de 'friere' lande på grund af sin nuværende lovgivning, er dette på trods af forsøg på at indføre yderligere restriktioner. Nylige retskendelser har forsøgt at blokere WhatsApp, og Facebook også stod over for en juridisk kamp med landet på grund af dets manglende samarbejde i en kriminel efterforskning (som endda resulterede i, at Facebooks næstformand blev anholdt).
Kort sagt kan mange lande give borgerne ret til ytringsfrihed og privatliv, men forpurrer dette, når det kommer til kryptering, med henvisning til national sikkerhed og alvorlige forbrydelser som årsagen.
Hvilke lande kræver, at krypteringsudbydere dekrypterer data til retshåndhævelsesformål?
En af de største bekymringer, når det kommer til kryptering, er den adgang, der gives til retshåndhævende myndigheder, hvad enten det er med dekrypteringsnøgle eller et krav om, at udbydere skal dekryptere dataene for dem.
Som kortet nedenfor viser, har et stort antal lande i det mindste en vis potentiel adgang til udbydernes krypteringsnøgler.
En håndfuld lande, herunder Kina og Rusland, har hidtil uset adgang til dekrypterede data. I Rusland, for eksempel, giver Sistema Operativno-Rozysknykh Meropriyatii (SORM — Systemet for Operational-Investigative Activities) den russiske føderale sikkerhedstjeneste, FSB, adgang til elektroniske meddelelser og nøglerne til at dekryptere disse uden retslig tilladelse.
Mange europæiske, asiatiske og afrikanske lande, såvel som USA, har love, der gør det muligt for retshåndhævelse at anmode udbydere om at udlevere krypteringsnøgler og/eller dekryptere data.
I Det Forenede Kongerige giver en række love lovhåndhævelse ret til at anmode om, at krypteringsteknologier fjernes på forskellige kommunikationer. Paragraf 49 i Regulation of Investigatory Powers Act 2000 siger, at når beskyttede oplysninger er i besiddelse af retshåndhævelsen, kan de med skriftlig tilladelse fra en dommer pålægge et videregivelseskrav for, at data skal fremstilles i forståelig form. Retshåndhævelse skal have rimelige grunde til, at nogen er i besiddelse af nøglen til den beskyttede information, at videregivelse er nødvendig af hensyn til national sikkerhed, opdagelse/forebyggelse af en forbrydelse, eller at det er i Storbritanniens økonomiske velfærds interesse, at offentliggørelsen er proportional med hvad der søges opnået, og den afsløring er ikke mulig uden at pålægge ordren.
I USA foreslår paragraf 103(a) Communications Assistance for Law Enforcement Act af 1994, at kommunikationsudbydere skal sikre aflytning, når de udstedes med retskendelser eller anden sådan lovlig autorisation. 'En teleoperatør er dog ikke ansvarlig for at dekryptere eller sikre regeringens mulighed for at dekryptere enhver kommunikation, der er krypteret af en abonnent eller kunde, medmindre krypteringen er leveret af operatøren, og operatøren er i besiddelse af de nødvendige oplysninger til at dekryptere kommunikationen. ”
De fleste love har samme beføjelser som USA, og stiller krav til udbydere om at dekryptere alle data, som de selv har krypteret, men ikke data, der er krypteret af andre udbydere eller brugerne selv.
En række andre lande indfører tvetydige love, der giver retshåndhævelsen mulighed for at anmode om videregivelse af krypteret information – eller love er blevet fortolket på en sådan måde. For eksempel i EU giver Rådets resolution af 17. januar 1995 om lovlig aflytning af telekommunikation en vis vejledning om de love, der skulle have været implementeret i EU-landene.
Resolutionen siger, at 'Hvis netværksoperatører/tjenesteudbydere initierer kodning, komprimering eller kryptering af telekommunikationstrafik, kræver retshåndhævende myndigheder, at netværksoperatørerne/tjenesteudbyderne leverer opsnappet kommunikation en clair.' En clair betyder 'i almindeligt sprog' og kan derfor tolkes til at betyde dekrypteret.
Hvilke lande kræver, at krypteringsbrugere dekrypterer data til retshåndhævelsesformål?
Det er et lignende billede, når vi ser på de retshåndhævende beføjelser til at anmode om dekrypteringsnøgler eller dekrypterede data fra brugere af krypterede tjenester/produkter.
Lovene har en tendens til at dække kommunikation eller adgang til computere, hvilket kræver, at de, der er i besiddelse af en nøgle, skal aflevere den til retshåndhævelsen efter anmodning eller for at hjælpe dem i dekrypteringsprocessen.
Igen, nogle lande har ikke specifikke love, men har tvetydige love på plads. I andre tilfælde kan lande i højere grad stole på, at tjenesteudbydere udleverer dataene, dvs. i USA, hvor ingen lov udtrykkeligt giver lovhåndhævelse beføjelse til at anmode brugere om at udlevere dekrypterede data/nøgler.
I sidste ende er det at få 'bagdørs'-adgang til krypteringsudbyderes data den nemmeste måde at få adgang til krypterede data på, hvilket er grunden til, at et bekymrende antal lande forsøger at implementere sådanne foranstaltninger. Dette omfatter:
- Indiens igangværende kamp med WhatsApp
- Brasiliens nylige retskendelser om at forsøge at blokere WhatsApp og nuværende Fake News-regning som forsøger at bryde ende-til-ende-kryptering
- USA’s regning vedr bagdørsadgang til krypterede data (forelagt kongressen i juni 2020).
Hvilke lande kræver licenser til at producere eller fremstille krypteringstjenester/-produkter?
Et stort antal lande i Afrika, Mellemøsten og Asien har omfattende licenskrav. Det betyder, at flertallet af sælgere eller producenter af kryptografiprodukter skal indhente en licens før distribution. Frankrig har også et sådant krav med enhver person, der ønsker at levere kryptografitjenester, skal erklære det til premierministeren.
Nogle lande, f.eks. Tyrkiet, Etiopien, Tunesien og Mali har nogle licenskrav, men kræver ikke, at alle udbydere af kryptografitjenester får en licens. For eksempel i Tunesien kræver enhver virksomhed, der importerer kryptografiprodukter til eget personligt brug (eller midlertidig brug), ikke en licens.
En række lande har også vedtaget love, der gør det muligt for de relevante ministerier at oprette licenskrav til kryptografitjenester, men som ikke ser ud til at have sat noget på plads endnu. Dette omfatter Bahamas og Barbados.
Hvilke lande har import/eksportbegrænsninger for kryptografitjenester/produkter?
Et langt større antal lande har en form for begrænsninger, når det kommer til at importere og/eller eksportere kryptografiprodukter (eller produkter, der indeholder kryptografi, men ikke udelukkende er til krypteringsformål). I de fleste tilfælde kræver dette, at en virksomhed registrerer deres virksomhed og produkt hos det udpegede agentur i det land, de importerer til eller eksporterer fra. Dette kan også omfatte nogle tekniske specifikationer.
En hel del lande med store krav til kryptografilicenser stiller også strenge restriktioner på import og eksport af disse produkter.
For eksempel for lande inden for den eurasiske økonomiske union (EAEU) - Armenien, Hviderusland, Kasakhstan, Kirgisistan og Rusland - kræves en import/eksportlicens, tilladelse og registrering af anmeldelse, og forskellige ting analyseres også, herunder en liste over kryptografiske algoritmer, den maksimale nøglelængde, en liste over implementeringsprotokoller, hvordan krypteringen anvendes, hvilken type data der er krypteret, og hvordan dataene er krypteret.
Langt de fleste lande med toldlovgivning begrænser eksport af kryptografiprodukter og/eller begrænser import fra udpegede lande. Et stort antal er en del af Wassenaar-aftalen (for en komplet liste, se metodeafsnittet) og/eller er underlagt EU-lovgivning. De, der har tilmeldt sig Wassenaar aftale :
- Har accepteret at opretholde national eksportkontrol på visse varer, dvs. kryptografitjenester
- Har accepteret at rapportere om overførsler og afvisninger af specificerede kontrollerede genstande til destinationer uden for arrangementet
- Udveksle oplysninger om følsomme varer og teknologier med dobbelt anvendelse
Igen har en række lande love på plads, der gør dem i stand til at oprette import/eksportkrav til kryptografiprodukter, men som ikke ser ud til at have indført noget endnu.
Hvilke lande har ikke en 'fritagelse for personlig brug' for dem, der rejser med krypterede bærbare computere?
Ud over at indføre import/eksportrestriktioner for virksomheder, der tilbyder krypteringstjenester, har nogle lande også klare restriktioner for dem, der rejser med krypterede bærbare computere. I modsætning hertil tilbyder nogle af de lande, der er en del af Wassenaar-aftalen, rejsende en 'fritagelse for personlig brug.'
Bemærk venligst: Selvom der tilbydes klare begrænsninger/undtagelser i ovennævnte lande, kan rejser til andre lande være begrænset eller ikke. Det er altid bedst at tjekke med det land, du rejser til på forhånd, uanset om de er en del af en aftale eller ej.
Metodik
For at bestemme de gældende love på tværs af hver kategori har vi analyseret forskellige lovgivninger i hvert land. Dette omfatter strafferetsplejelove, love om cyberkriminalitet, kommunikations-/telekommunikationslove, aflytnings-/overvågningslove og alle andre relevante dekreter, love, love eller resolutioner.
Vi har udelukkende fokuseret på lovgivende beføjelser/ordrer og dem, der primært påvirker kommunikationsudbydere, internetudbydere eller data gemt på/adgang til via computere.
Et land har muligvis ikke en sådan lovgivning eller ser ud til at have beskyttelse på plads, men billedet kan være anderledes i praksis. Men for at undgå at være subjektive i vores resultater, har vi kun brugt, hvad der er 'lovligt' tilladt i hvert land. Som nævnt har vi også set på lovgivning, der kan tolkes til at dække kryptering, selvom den ikke nævner det specifikt. I disse tilfælde har vi ledt efter tvetydige formuleringer, såsom krav om at gøre data 'forståelige', eller vi har fundet eksempler på, at teleudbydere, dvs. Vodafone, har fortolket loven for at antyde, at de mener, at retshåndhævelse kunne anmode dem om at dekryptere data i landet.
Hvor intet er fundet, har vi udeladt landet fra resultaterne. Manglen på lovgivning kunne tyde på, at der ikke er nogen begrænsninger/lovhåndhævelsesbeføjelser, men for nøjagtighedens skyld har vi ikke inkluderet disse lande.
Kilder
For en komplet liste over kilder, besøg venligst vores regneark: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing