En dansk krypto-politik

august 3, 1995

Forord

Denne rapport er resultatet af et projekt, gennemført i Teknologinævnet i perioden november 1994 til juli 1995, og udsendes af Teknologirådet, som fra 1. august 1995 har afløst Teknologinævnet.

Projektet er gennemført af konsulent Steffen Stripp. En række personer har skrevet bidrag som belyser baggrund og synsvinkler for en dansk politik for hvordan digitale informationer skal hemmeligholdes, og Teknologirådet vil gerne siger tak for denne indsats. Et rapport-udkast blev behandlet på et seminar den 29. maj med deltagelse af Joi Bay, Kriminalistisk Institut Københavns Universitet; Peter Blume, Retsvidenskabelig Institut B Københavns Universitet; Lisbeth Buhl, Telestyrelsen; Emil Bundesen, Forskningsministeriet; Lars Klüver, Teknologirådet; Peter Landrock, Cryptomatic; Søren Olesen, Institut for Datasikkerhed; Robert Hartmann Petersen, Registertilsynet; Birgitte Kofod Olesen, Det Danske Center for Menneskerettigheder. Teknologirådet vil også sige tak til deltagerne i seminaret for spændende og konstruktive bidrag.

Det skal understreges, at deltagerne i seminaret og bidragyderne ikke har noget ansvar i.f.t. dele af rapporten, som de ikke selv har skrevet.

Fastlæggelse af en dansk politik om kryptering er en vigtig brik i udformningen af info-samfundet. Det er Teknologirådets håb, at denne rapport vil igangsætte en debat herom og at den kan danne grundlag for udformning af en sådan politik.

Teknologirådet august 1995

Resume

Denne udredning fra Teknologirådet har som formål

  • at skabe politisk og offentlig opmærksomhed om hvordan privatlivets fred skal sikres i datakommunikationen
  • at give et alsidigt grundlag for debat om udformning af en dansk politik i forhold til EU-initiativer og evt. dansk lovgivning.

 

Problemstilling

Informationer digitaliseres i disse år og det forventes, at virksomheder og privatpersoner i fremtiden i vid udstrækning vil bruge computere til at behandle dokumenter og kommunikere med edb-systemer og andre mennesker. En forudsætning for denne udvikling er bla. at borgere og virksomheden kan sikres fortrolighed i kommunikation og dataopbevaring.

Det er teknisk muligt at forvanske de digitale data før transmissionen af e-posten eller telefonsamtalen så den ikke kan høres eller læses af andre end den modtager, som den er beregnet for. Tilsvarende kan data, der opbevares i elektroniske postkasser eller i private datalagre, forvanskes og kun læses ejeren selv. Dermed kan man sikre fortrolighed i kommunikation og private papirer.

Hvis alle kan gøre de digitale data ulæselig har politi og efterretningstjenester mistet muligheden for at lytte og læse med og dermed mistet et middel i kriminalitets-efterforskningen. Det er det centrale problem – eller den gordiske knude – som en krypto-politik skal tage stilling til.

Der findes i dag ingen dansk krypto-politik for hvordan digitale information skal hemmeligholdes, men der er af såvel tekniske som politisk grunde behov for at formulere en politik for området.

I rapporten fokuseres kun på anvendelse af kryptering til at opnå fortrolighed, som er ét af flere sikkerhedsaspekter. I åbne systemer er anvendelse af kryptering en nødvendig del af en løsning på fortroligheden. Men selve krypteringen er kun en del af løsningen på hvordan den elektroniske kommunikation skal hemmeligholdes.

Et samlet krypto-system kan beskrives med tre elementer. For det første et teknikelement: krypterings-algoritmen og nøgle(er), kommunikations-protokoller og om det er en hardware eller softwareløsning. Dernæst et systemelement: er det en generel standardløsning eller individuelle løsninger, indbygges løsningen i det udstyr der sælges, hvordan opbevares og udveksles nøgler, indgår et nøglecenter (betroet trejdepart) og har nøglecenteret adgang til nøglen. Endelig findes et retlig element: Er anvendelse af kryptering reguleret i en lovgivning, findes der regler for nøglecenter, hvilke regler findes i retspleje- og straffelov.