Apple vs Staten: Hvem bestemmer over sikkerhed og privatliv?

Skal krypteringen i vores telefoner svækkes, så myndighederne kan få adgang til indholdet i kriminal- eller terrorsager?

Med andre ord: Vil vi have bagdøre i vores hardware og software?

Kampen om kryptering har stået på i snart fem år, med FBI på den ene side og Apple på den anden.

I går blussede den så op igen, da FBI og den amerikanske justitsminister skød med skarpt efter Apple på en pressekonference.

Her oplyste justitsminister William Barr og FBI-chef Christopher Wray, at myndighederne efter måneders arbejde var lykkedes med at få adgang til to iPhones, som tilhørte den saudiarabiske terrorist Mohammed Alshamrani, der skød og dræbte tre og sårede otte på en amerikansk militærbase i Florida i december sidste år.

“Takket være fantastisk arbejde af FBI — og ingen tak til Apple — har vi været i stand til at låse Alshamranis to telefoner op,” sagde Barr.

På telefonerne har myndighederne angiveligt fundet et direkte spor til Al Qaeda, og informationerne fra telefonerne er efterfølgende blevet brugt til at udføre antiterror-operationer i Yemen.

Nu er det jo ikke Apples skyld at en terrorist har købt en iPhone. Men til gengæld mener de amerikanske myndigheder, at Apple på grund af iPhones kryptering, modarbejder myndighedernes arbejde med at opklare og forhindre forbrydelser.

FBI og justitsministeren kunne derfor ikke dy sig for endnu engang at sparke på Apple, som længe har stået hårdt fast på, at kryptere iPhones.

På en pressekonference sagde FBI-chef Christopher Wray, at de “reelt set ikke havde modtaget nogen hjælp fra Apple” til at åbne telefonerne.

Han sagde samtidig, at den måde FBI var lykkedes med at tvinge sig adgang til den nu afdøde saudiarabiske terrorists telefon, “ikke er løsningen på det bredere Apple-problem”.

Det Wray henviser til er, at de to iPhones, Mohammed Alshamrani ejede, var af ældre dato — henholdvis en iPhone 5 og en iPhone 7. Krypteringen i Apples nyere telefoner er blevet strammet endnu mere siden, og myndighederne kan altså ikke genbruge den metode, de har brugt til at tvinge sig adgang til de to telefoner (vi ved iøvrigt ikke, om FBI har brudt krypteringen eller på anden vis har fundet ud af, hvad koden var).

Den amerikanske justitsminister William Barr fulgte op med at kalde det “en stor skuffelse” at Apple ikke havde hjulpet myndighederne.

“Apple har truffet en marketing- og forretningsmæssig beslutning om, at designe sine telefoner på en måde, så kun brugeren kan åbne den, uanset omstændighederne. I sager som denne, hvor brugeren er terrorist, eller i andre sager hvor brugeren er voldeligt kriminel, menneskehandler eller pædofil, der har Apples beslutning farlige konsekvenser for offentlighedens sikkerhed og for den nationale sikkerhed og er efter min mening uacceptabel,” sagde William Barr.

Det var trods alt mere end Apple kunne stå model til, uden at komme med et modsvar.

Firmaet sendte derfor en udtalelse ud, som først og fremmest konkluderer, at Apple både i denne sag og i tusindvis af andre sager hjælper FBI med at tilgå de data, som Apple har adgang til — fx iCloud backups.

Men Apple afviser samtidig at gå på kompromis med krypteringen af iPhone:

“Det er fordi, vi tager vores ansvar for national sikkerhed så alvorligt, at vi ikke tror på at oprette en bagdør — en, der vil gøre alt udstyr sårbart over for bad actors, der truer vores nationale sikkerhed og vores kunders datasikkerhed. Der findes ikke en bagdør, som kun virker for the good guys,” skriver Apple.

“Kunderne regner med at Apple sikrer deres oplysninger, og en af måderne vi gør det på er ved at bruge stærk kryptering på tværs af vores enheder og servere”, fortsætter Apple.

Der er altså intet nyt under solen her. Vi har et techfirma på den ene side og myndighederne på den anden, som er dybt uenige om, hvad den rette tilgang til kryptering og sikkerhed er.

Og sådan har det stået på i snart fem år, siden en lignende terrorsag i San Bernadino, som endte med en retssag mellem Apple og FBI.

FBI krævede, at Apple skulle tvinges til at bygge en bagdør ind i iPhone. Sagen endte dog uden afgørelse, da FBI lykkedes med at åbne telefonen, og derfor droppede sagen, dagen inden domsafsigelsen.

Problemstillingen har dog stærke paralleller til den nuværende Corona-app situation.

Her har Apple ligeledes stået fast på ikke at gå på kompromis med de begrænsninger af Bluetooth i iPhones, som blandt andet er er indført af privatlivsårsager.

Det er jo den helt væsentlige krølle, der har gjort det så godt som umuligt for myndigheder verden over at designe en privatlivs-forsvarlig kontaktsporings-app, uden at adoptere det API, som Apple og Google i fællesskab har udviklet.

Flere EU-lande med Frankrig i spidsen, har lagt pres på Apple for at låse Bluetooth-begræsningerne op, men Apple har også her stået fast.

I stedet har de som bekendt udviklet en løsning i fællesskab med Google, som kan bruges til kontaktsporing. Men altså kun som en frivillig, og decentral løsning, hvor al data forbliver på brugerens telefon, uanset om lokale myndigheder kunne tænke sig det var anderledes.

Den problematik fik, som tidligere nævnt her på Techliv, den franske digitaliseringsminister Cedric O op i det røde felt.

Han ville ganske enkelt ikke lade Apple diktere, at en decentral løsning var det eneste Frankrig kunne vælge, hvis det skulle virke ordentligt på iPhone.

“Politisk suverænitet er ingenting uden teknologisk suverænitet”, skrev han.

Netop den Techliv-artikel havde jeg lidt frem-og-tilbage kommunikation om på Twitter, hvor Jesper Lund, formand for IT-politisk forening, skrev:

“Kontaktsporing apps er en speciel sag, og det er altid farligt at generalisere. Men der er (IMO) visse ligheder til San Bernadino-sagen hvor Apple ikke ville undermininere sikkerheden på samtlige iPhones for at hjælpe FBI. Når stater kommer med urimelige krav, siger Apple stop.”

Kontaktsporing apps er en speciel sag, og det er altid farligt at generalisere. Men der er (IMO) visse ligheder til San Bernadino-sagen, hvor Apple ikke ville undermininere sikkerheden på samtlige iPhones for at hjælpe FBI. Når stater kommer med urimelige krav, siger Apple stop.
— Jesper Lund (@je5perl) May 4, 2020

Og Jesper Lund har helt bestemt en pointe. Det er ret bemærkelsesværdigt, at et af verdens største tech- og aktieselskaber er dem som må sige stop, og dem som må forsvare brugernes privatliv og kryptering af private telefoner og data, mens både amerikanske og europæiske myndigheder og ledere kæmper imod.

Problemet er — som Apple nævner — at det i den digitale verden ikke er muligt at lave undtagelser, der kun gælder for nogen. På den måde adskiller kryptering og begrænsninger i Bluetooth sig ikke. Hvis du lukker bare en smule op, så er det åbent for alle.

Omvendt kan man godt forstå, hvorfor myndighederne i sager, hvor der står menneskeliv eller national sikkerhed på spil, ønsker fuld adgang, og ikke ønsker at lade sin “teknologiske suverænitet” begrænse af et enkelt techfirma.

Det er helt sikkert en sag, som der kan være stor uenighed om. Men set fra fra mit bord, må vi prise os lykkelige for, at det ene af de to selskaber, der sidder på mobilstyresystems-markedet, står fast her.

Ja, der er — som den amerikanske justitsminister fremhæver — en pris at betale for at kryptere vores kommunikation og vores telefoner og computere. Men den er ingenting sammenlignet med et samfund, hvor vi helt har mistet muligheden for at kommunikere privat, uden at myndigheder og/eller app-udviklere har mulighed for at følge med i alt, hvad vi foretager os.

Derfor bliver det sort/hvidt. For der er ingen mellemvej.

Når det er sagt, så er det værd at tænke over, hvad vi ville gøre, hvis situationen var den omvendte.

Hvis Apple var ligeglad med kryptering og privatliv, mens at staterne forsøgte at presse dem til at implementere det. Ville vi så også forsvare et af verdens mest værdifulde aktieselskabers ret til selv at bestemme, hvilken standard, de ønsker for deres brugere? Næppe.