Daily Archives: April 28, 2014

Hvis Justitsministeriet og et flertal i folketinget ønsker, at Danmark har telelogning også i fremtiden, er der juridisk set mulighed for det – på trods af, at EU-Domstolen den 8. april forkastede hele det EU-direktiv, som de danske regler bygger på.

EU-direktivet er i strid med de grundlæggende rettigheder for EU’s borgere, lød EU-Domstolens konklusion – men det betyder ikke automatisk, at det ville umuligt at have danske regler om logning, forklarede advokater fra Plesner på et seminar om netop EU-Domstolens opsigtsvækkende afgørelse.

Skal Danmark fortsætte med telelogning, skal de nye regler leve op til den fortolkning af europæernes grundlæggende rettighed til privatlivets fred, som EU-dommen har fastlagt, og derfor er det nødvendigt, at der vil komme ændringer. Men hvor store de ændringer skal være, før reglerne er på den lovlige side af stregen, er et åbent spørgsmål.

»Man skal se dommen som en samlet vurdering. Og på den baggrund kan dele af den danske logningsbekendtgørelse bestå, hvis man justerer reglerne. For eksempel ved at fastsætte en kortere opbevaringsperiode, en begrænsning af hvor mange data, der logges, med videre. Man kunne også vælge at begrænse logningen geografisk eller tidsmæssigt, for det vil også have betydning,« sagde Michael Hopp, partner hos Plesner og ekspert i persondataret.

Men der er en anden og nemmere løsning. Juristerne i Justitsministeriet kan nemlig flytte den danske telelogning ind i kategorien ’national sikkerhed’ – og her gælder EU-reglerne ikke, lød forklaringen.

»En noget mere vidtgående – og politisk kontroversiel – løsning vil være at rykke opbevaringen af oplysningerne over i regi af efterretningstjenesten med henblik på at understøtte løsningen af opgaver vedrørende national sikkerhed. På dette område gælder EU-retten nemlig ikke. Man ville dog stadig skulle efterleve reglerne i den europæiske menneskerettighedskonvention, og data ville kun kunne bruges til at løse nogle meget mere begrænsede typer opgaver, så en sådan manøvre ville nok heller ikke kunne medføre at reglerne blev opretholdt uændrede.« forklarede Michael Hopp.

Spørgsmålet er, om sådan et trick vil være for ’politisk ukorrekt’ og møde modstand, måske også fra flere politiske partier. Det hjælper heller ikke, at medier på det seneste har skrevet kritisk om netop konstruktionen bag Center for Cybersikkerhed, som ved at høre under Forsvarets Efterretningstjeneste ikke er omfattet af de normale regler for persondatabeskyttelse.

Center for Cybersikkerhed rummer statens varslingstjeneste GovCert og har vide beføjelser til at samle data ind fra internetkablerne i Danmark. Det sker under eget kodeks og med sit eget særlige tilsyn i stedet for Datatilsynet, da de ’civile’ regler altså ikke gælder her.

Danske regler følger allerede EU-Domstolen – nogle steder

Det er også interessant at se på de danske regler i forhold til EU-direktivet, for den danske logningsbekendtgørelse går på mange områder længere, end EU stillede krav om.

På den ene side ’overimplementerede’ den danske regering i 2007 på flere områder: Den meget omdiskuterede sessionslogning, hvor teleselskaberne skal gemme data om hver 500. datapakke, når danskerne bruger internettet, er slet ikke med i EU-reglerne. Og danske regler kræver også en registrering af både første og sidste telemast, der bliver brugt under et opkald, hvor EU-direktivet kun nævner første mast.

Men omvendt har de danske regler helt fra starten af adresseret nogle af de alvorlige kritikpunkter, som EU-Domstolen nu er fremkommet med. For eksempel skal der i Danmark indhentes en retskendelse, hver gang myndighederne skal kigge i de loggede data, hvilket ikke er et krav efter direktivet. Og det er også klart defineret i dansk lov i hvilke kriminalsager, politiet må bruge oplysningerne. EU-reglerne kræver, at logningerne gemmes i mellem 6 måneder og to år, og i Danmark har man valgt en mellemting, nemlig ét år.

Hovedkritikken i EU-dommen gælder dog i den grad også for de danske regler, nemlig at man med telelogning – og især den særlige danske internetlogning – lader logningen omfatte alle, i stort omfang, uanset om de er mistænkt for en forbrydelse eller ej.

Blev du ramt af Heartbleed? Har du så fået skiftet nøgler og certifikater? Hvad med at få revoket de gamle certifikater? Har du testet at klienter rent faktisk afviser de gamle certifikater? Gik det hele smertefrit?

Denne gang gik det smertefrit fordi alle de involverede har været meget fokuseret på problemet. Men havde det været et lokalt problem der have kompromiteret mine nøgle kunne jeg sagtens have faret vild i en labyrint.

Jeg har tidligere skrevet om at lægge SSL certifikater i DNS for på den måde at give domæneejeren en større kontrol med certifikaterne. Men hvordan foregår det i praksis?

En TLSA-record for en af mine mindre aktive blogs (blog.hacking.dk) ser således ud:

Som en del af hostnavnet angives det er der er tale om et certifikat der bruges på port 443 over TCP for hosten blog.hacking.dk. Selve TLSA-recorden består af 3 tal samt certifikatet som hextal.

Det første tal angiver hvilken type certifikat der er tale om (kaldes
‘certificate usage’ i RFC’en). Det kan være et offentligt CA (type 0), et certifikat udstedt af et offentligt CA (type 1), et privat CA (type 2) eller et certifikat der kan være self-signed (type 3). I det ovenstående eksempel har jeg et AlphaSSL-certifikat og bruger derfor type 1, som angiver at certifikatet både skal matche min TLSA-record og valideres normalt.

Det andet tal angiver hvilken del af certifikatet der skal valideres mod TLSA-recorden. Jeg har valgt at validere hele certifikatet. Det tredje tale angiver at TLSA-recorden indeholder en SHA256-sum af certifikatet. Alternativerne er SHA512 eller at man lægge hele certifikatet uhashet i DNS.

For at tage hashsummen af certifikatet er det vigtigt at man bruger den rigtige udgave. Når jeg sætter Apache eller andre servere op bruger jeg oftest certifikatet i PEM format, men for at generere en TLSA-record skal jeg bruge DER format. Det gøres således:

Det hele skal så bare tastes in i min DNS-opsætning. Hvis man bruger en DNS-udbyder til at hoste ens domæne kræver det selvfølgelig at udbyderen understøtter TLSA-records og DNSSEC er selvfølgelig også en forudsætning. De fleste af mine domæner ligger hos GratisDNS der understøtter begge dele.

DNSSEC kræver stadigvæk at man holder tungen lige i munden, men derudover er det så let at lægge sine certifikater i DNS at der næsten ikke er nogen undskyldning for ikke at gøre det.