Medierna och källskyddet

Från FRApedia

Hoppa till: navigering, sök

[redigera] Insatser för att säkra källornas skydd

FRA-lagen hotar källskyddet. Därför finns det anledning för alla mediehus att se över hur information från källor hanteras och på vilket sätt medierna kommunicerar med sina källor. Nedan följer ett antal olika åtgärder som medierna kan vidta, vissa på egen hand andra i samråd med källan, för att säkra kommunikationen:

  • Information. Var öppen och berätta för dina läsare/användare/tittare/lyssnare om vikten av säker kommunikation. Utarbeta och förankra en tydlig policy (disclaimer) som beskriver hur ert mediehus hanterar och förvarar information och vilka garantier ni utfäster gentemot era användare.
  • Mediehusen lever av tvåvägskommunkation med sina användare. Risken för misstag, läckage eller sabotage av information finns därmed i två ändar. Utbilda därför inte bara egen personal kontinuerligt utan även dina användare i säker kommunikation. Utveckla läsarskolor, bjud in till seminarier och lär dina användare att exempelvis skicka krypterad e-post.
  • Öppna din webbplats för https, alltså krypterad kommunikation mellan webbläsaren och webbservern. Se exempelvis HD.se som går att nå via SSL. Krypterad trafik är särskilt angeläget i situationer där användaren skickar information till webbplatsen (läsarkommentarer, nyhetstips, forum, omröstningar osv).
  • Krypterad e-post. Hur ska användarna kunna skicka krypterad e-post till din redaktion om de inte känner till era publika krypteringsnycklar? Publicera mediehusets krypterade nycklar inte bara via nyckelservrar utan även på er webbplats och informera och utbilda dina användare i PGP/GPG och S/MIME.
  • SMTP STARTTLS. Protokoll SMTP används för utgående e-post. Med TLS kan mejlservrar utbyta information med varandra över en krypterad förbindelse.
  • Säker namnuppslagning via DNS. Det är de så kallade DNS-servrarna som översätter domännamnet (exempelvis networkers.se) till ett IP-nummer och en fysisk server. DNS-systemet spelar alltså en central roll på internet. Tekniken DNSSEC försvårar för den som vill ta kontroll över en DNS för att exempelvis styra om trafiken till en egen server.

(Källa: Networkers.se)

Tänk på att merparten av de säkerhetslösningar som diskuteras här har tagits fram för helt andra syften än att skydda källors identitet. Kryptering syftar endast till att förvränga innehållet i ett meddelande. De flesta moderna protokoll ger därtill vissa garantier för att mottagaren ska kunna avgöra vem avsändaren är och vice versa, vilket förhindrar att informationen förändras eller förfalskas av tredje part innan den når mottagaren. Detta är särskilt tydligt vad gäller protokoll som S/MIME och PGP som används för att skydda e-post. Trots att de kan användas för att effektivt skydda vad som skrivs i e-postmeddelandet, varken syftar de till, eller kan användas för, att dölja vare sig avsändarens eller mottagarens identitet från tredje part. Tvärtom är det nödvändigt att avsändare och mottagare skall kunna utläsas utan dekryptering, både för att e-postmeddelandet överhuvudtaget skall kunna levereras av infrastrukturen för e-post (SMTP), för att den avsedda mottagaren skall kunna dekryptera meddelandet på ett effektivt sätt, och, i vissa fall, för att mottagaren effektivt skall kunna avgöra avsändarens identitet.

Kryptering är inte ett effektivt sätt att dölja tre väsentliga egenskaper hos all kommunikation:

  • Mottagarens och avsändarens identitet, eller, ifall kommunikationen passerar genom en kedja av reläer (t ex SMTP-servrar som kommunicerar över SSL/TLS), två närliggande reläers identitet.
  • Meddelandets ungefärliga storlek. Felmarginalen är sällan större än 16 tecken, givet att alla protokoll och teckenkodningsalgoritmer är kända för betraktaren.
  • Den ungefärliga tidpunkten för kommunikationen.

Exempel: kalle@myndigheten.se skickar ett hemligt PM på c:a 86KB till pelle@dagstidningen.se. Både Kalle och Pelle använder S/MIME för att kryptera sin e-post och all trafik går över TLS. Kalle skickar meddelandet 10:00. Klockan 10:01 skickas en krypterad ström av data om 87KB från user-kalle.myndigheten.se till mail.myndigheten.se. Klockan 10:15 skickas en annan krypterad ström av data om 87KB från mail.myndigheten.se till mail.dagstidningen.se. Klockan 10:30 skickas en tredje krypterad ström av data om 87KB från mail.dagstidningen.se till user-pelle.dagstidningen.se. Mindre en ett dygn senare finns innehållet i promemorian återgivet i en artikel på www.dagstidningen.se. Självklart kommer en utomstående betraktare av hela detta trafikflöde att förstå med all önskvärt tydlighet vad det är som har hänt, trots att innehållet i kommunikationen är dolt.

Hämtad från "http://frapedia.se/wiki/Medierna_och_k%C3%A4llskyddet"
Personliga verktyg