En värld av ändar – Vad Internet är och hur man kan sluta missta det för något annat

av Doc Searls och David Weinberger

Översatt till svenska av ISOC-SE. Originaltexten är upphovsrättsbefriad med CC0. Den skrevs för mer än ett decennium sedan, men vi tycker att det fortfarande finns mycket att lära av texten.


 

Det finns misstag och så finns det misstag.

Vissa misstag lär vi oss av. Till exempel tanken att sälja leksaker för djur på webben för att bli rika. Vi kommer inte att göra det igen.

Andra misstag insisterar vi på att göra om och om igen. Till exempel, tanken att:

  • …webben, likt TV, är ett sätt att hålla ögonen stilla medan annonsörer sprejar dem med meddelanden
  • …nätet är något som telekomföretag och kabelbolag bör filtrera, kontrollera och “förbättra”.
  • …det är inte bra för användarna att kommunicera mellan olika typer av chat-system på nätet.
  • …nätet lider brist på reglering för att skydda industrier som känner sig hotade av det.

 

När det gäller nätet så lider många av oss av Repetitivt Misstagssyndrom. Detta gäller särskilt för dags- och veckotidningspublicering, radiosändningar, kabel-tv, skivindustrin, filmindustrin och telekom, för att bara nämna sex.

Tack vare dessa industriers stora inflytande i Washington så drabbar Repetitivt Misstagssyndrom även lagstiftare, tillsynsmyndigheter och t.o.m. domstolarna. Förra året sköts Internetradio ned redan i sin vagga, trots att det var en lovande industri som hotade att ge lyssnarna val som vida översteg allt annat på de alltmer enformiga (och tekniskt uråldriga) AM- och FM-banden. Vapen, ammunition och ett och annat ”Yee-haw!” för nedskjutningen tillhandahölls av skivindustrin och Digital Millennium Copyright Act, en lagstiftning som förkroppsligar alla de rädslor som Hollywoods alfa-dinosaurier led av när de lobbade igenom lagen i kongressen 1999.

”Internet tolkar censur som en skada och finner en väg runt det”, som John Gilmore uttryckte det. Och det är sant. På lång sikt kommer Internetradio att lyckas. Chat-system kommer att samverka. Dumma företag kommer att bli smarta eller dö. Dumma lagar kommer att dö eller bytas ut. Men som John Maynard Keynes också uttryckte det, ”på lång sikt är vi alla döda”.

Allt vi behöver göra är att hålla fokus på vad Internet egentligen är. Det är inte så svårt. Nätet är inte raketforskning. Det är inte ens naturvetenskap för årskurs 6 när allt kommer omkring. Vi kan sätta stopp för tragedin Repetitivt Misstagssyndrom under vår livstid – och spara några biljoner dollar i dumma beslut – om vi bara kan minnas ett enkelt faktum: nätet är en värld av ändar. Du finns i en ände och alla andra och allting annat är vid de andra ändarna.

Visst, det är ett må-bra-uttalande om att alla har ett värde på nätet etc. Men det är också ett grundläggande och bergsäkert faktum om nätets tekniska arkitektur. Och Internets värde kommer ur dess tekniska arkitektur.

Lyckligtvis är Internets sanna natur inte så svår att förstå. I själva verket står endast en näve uttalanden mellan Repetitivt Misstagssyndrom och Upplysningstiden…

…om man tittar närmare på det.

1) Internet är inte komplicerat

Tanken bakom Internet var från början att ta till vara den fantastiska kraften enkelheten – lika enkelt som gravitationen i den verkliga världen. Fast istället för att hålla samman små stenar tätt intill den stora runda stenen så var Internet utformat för att hålla samman mindre nätverk och göra dem till ett enda stort nätverk.

Detta görs genom att göra det lätt, lätt, lätt för nätverken att skicka och ta emot data till och från varandra. Således utformades Internet för att vara det enklast tänkbara sättet att få bitar från vilket A som helst till vilket B som helst.

2) Internet är inte en sak. Det är en överenskommelse.

När vi ser ledningsstolpar så ser vi nätverk som ledningstrådar. Och vi ser dessa ledningstrådar som delar av nätsystem: telefonsystemet, elkraftssystemet, kabel-tv-systemet.

När vi lyssnar på radio eller tittar på tv får vi höra att en kanal (eng. network) därifrån som programmen kommer.

Men Internet är något annat. Det är inte kablar. Det är inte ett system. Och det är inte en tv-kanal.

Internet är ett sätt för alla de saker som kallar sig nätverk att samexistera och samarbeta. Det är ett inter-nätverk. Bokstavligen.

Det som gör nätet inter är det faktum att det bara är ett protokoll – Internetprotokollet för att vara exakt. Ett protokoll är en överenskommelse om hur saker och ting fungerar tillsammans.

Detta protokoll specificerar inte vad människor kan göra med nätverket, vad de kan bygga vid dess kanter, vad de kan säga, vem som får tala. Protokollet säger helt enkelt: Om du vill utbyta bitar med andra, gör så här. Om du vill koppla en dator – eller en mobiltelefon eller ett kylskåp – till nätverket, så måste du gå med på avtalet som är Internet.

3) Internet är korkat.

Telefonsystemet, vilket inte är Internet (åtminstone inte ännu), är grymt smart. Det vet vem som ringer vem, var de är, om det är ett röst- eller ett datasamtal, hur långt samtalet är, hur mycket samtalet kostar etc. Och det tillhandahåller tjänster som bara ett telefonnät bryr sig om: samtal väntar, nummerpresentation, *69 och en massa andra grejer som telefonbolagen gillar att sälja.

Internet är å andra sidan korkat med flit. Dess skapare såg till att det största, mest inkluderande nätverket av dem alla var lika korkat som en låda stenar.

Internet vet inte en massa saker som ett smart nätverk som telefonsystemet vet: identiteter, behörigheter, prioriteringar etc. Internet vet bara en enda sak: detta gäng av bitar måste förflytta sig från en del av nätet till en annan.

Det finns tekniska skäl till att dumhet är en bra design. Korkat är robust. Om en router misslyckas, tar paketen en annan väg förbi, vilket innebär att nätet fortsätter att fungera. Tack vare sin dumhet så välkomnar nätet nya enheter och människor, vilket gör att det växer snabbt och i alla riktningar. Det är också enkelt för arkitekter att inkorporera nätåtkomst i alla typer av smarta enheter – videokameror, telefoner, sprinklersystem – som lever vid nätets ändar.

Det beror på att det viktigaste skälet till att korkat är bra har mindre att göra med teknik än med värde…

4) Att tillföra värde till Internet sänker dess värde.

Låter konstigt men det är sant. Om du optimerar nätverket för en typ av applikation så görs det mindre optimalt för andra. Till exempel, om du låter nätverket prioritera röst- eller videodata för att de ska komma fram snabbare så berättar du för andra applikationer att de måste vänta. Och så fort du har gjort det så har du vänt nätet från något enkelt för alla till något komplicerat för endast ett syfte. Det är inte längre ett Internet.

5) Internets värde uppstår i ändarna.

Om Internet vore ett smart nät så skulle dess utformare ha förutsett vikten av en bra sökmotor och skulle ha byggt in sökfunktionen i själva nätverket. Men eftersom dess utformare var smarta så gjorde de nätet för korkat för det. Så sökfunktionen är en tjänst som kan byggas vid en av Internets miljoner ändar. Eftersom människor kan erbjuda vilken tjänst de vill från sin ände så har sökmotorer tävlat, vilket inneburit valmöjlighet för användarna och häpnadsväckande innovationer.

Sökmotorer är bara ett exempel. Eftersom allt Internet gör är att kasta bitar från en ände till en annan så kan innovatörer bygga vadhelst de kan tänka sig och förlita sig på att Internet förflyttar data åt dem. Du behöver inte få tillstånd från Internets ägare eller systemadministratör eller vice serviceprioriteringschef. Har du en idé? Förverkliga den. Och varje gång du gör det så stiger Internets värde.

Internet har skapat en fri marknad för innovation. Det är nyckeln till Internets värde. På samma sätt…

6) Pengar flyttar till förorterna.

Om Internets hela värde finns vid dess kanter så “vill” Internetuppkoppling bli en vara i sig självt. Det bör tillåtas vara det.

Det är bra business att tillhandahålla varor, men varje försök att höja värdet på själva Internet måste motverkas. För att vara specifik: De som tillhandahåller Internetanslutning kommer också oundvikligen att vilja erbjuda innehåll och tjänster eftersom anslutningen i sig självt kommer att bli för lågt prissatt. Genom att hålla de två funktionerna separerade kommer vi att förmå marknaden att sätta priser som kommer att maximera tillgången och maximera innovation inom innehåll/tjänster.

7) Världens ände? Nä, en värld av ändar.

När Craig Burton beskriver nätets korkade arkitektur som en ihålig sfär, bestående helt av ändar, så målar han upp en bild som fångar själva kärnan av vad som är så anmärkningsvärt med Internets arkitektur: Ta ut värdet ur centrumet så aktiverar du en vansinnig blomstring av värde bland de anslutna ändpunkterna. Därför att när varje ände är ansluten, mellan en och en, och mellan en och alla, så blir de ändarna naturligtvis inte slutpunkter överhuvudtaget.

Och vad gör vi ändar? Vadsomhelst som kan göras av vemsomhelst som vill flytta runt bitar.

Lägg märke till stoltheten i vår röst när vi säger “vadsomhelst” och “vemsomhelst”? Det kommer direkt från Internet enkla, korkade tekniska arkitektur.

Eftersom Internet är en överenskommelse så tillhör det inte någon person eller grupp. Det tillhör inte etablerade företag som tillhandahåller dess stomme. Det tillhör inte Internetleverantörerna som erbjuder våra anslutningar. Det tillhör inte webbhotellen som hyr oss servrar. Det tillhör inte de branschorganisationer som tror att deras existens är hotad av vad resten av oss gör på nätet. Det tillhör inte heller någon regering, oavsett hur uppriktigt den försöker skydda och hålla sitt folk tillfreds.

Att ansluta sig till Internet är att gå med på att öka värdet vid dess kanter. Och sen händer något riktigt intressant. Vi är alla anslutna lika. Avstånd betyder ingenting. Hindren försvinner och för första gången kan människans behov av att kopplas samman realiseras utan artificiella barriärer.

Internet ger oss möjligheten att för första gången bli en värld av ändar.

8) Internets tre dygder.

Så, de är alltså våra fakta om Internet. Vi sa ju att det var enkelt.

Men vad innebär de för vårt beteende… och ännu viktigare, mega-företagens och regeringarnas beteende som fram tills nu agerat som om Internet vore deras.

Här är tre grundläggande regler för beteende som är knutna direkt till Internets faktiska karaktär:

  • Ingen äger det.
  • Alla kan använda det.
  • Vem som helst kan förbättra det.

Låt oss titta lite närmare på varje …

8a) Ingen äger det.

Det kan inte ägas, inte ens av de företag vars “rör” det passerar genom, eftersom det är ett avtal, inte en sak. Internet är inte bara i det offentliga rummet (eng. public domain), det är ett offentligt rum.

Och det är bra, eftersom:

  • Internet är en pålitlig resurs. Vi kan bygga företag utan att behöva oroa oss för att ett Internet AB kommer att tvinga oss att uppgradera, fördubbla sitt pris när vi har kopplat upp oss, eller tas över av en av våra konkurrenter.
  • Vi behöver inte oroa oss för att vissa av dess delar kommer att fungera med en leverantör och andra bara kommer att fungera med någon annan leverantör, så som vi gör med mobiltelefonindustrin i dagens USA.
  • Vi behöver inte oroa oss för att dess grundläggande funktioner endast kommer att fungera med Microsofts, Apples eller AOL: s “plattform” – eftersom det sitter under dem alla, utanför deras egen kontroll.
  • Underhållet av Internet är fördelat mellan alla användare, inte koncentrerat i händerna på en leverantör som kan gå i konkurs och att vi alla tillsammans är en mer motståndskraftig resurs än någon centraliserad grupp av oss någonsin skulle kunna vara.

8b) Alla kan använda det.

Internet byggdes för att inkludera alla på denna planet.

Sant, bara en tiondel av världen – bara 600,000,000+ personer – är idag anslutna till Internet. Så “kan” i frasen “Alla kan använda det” är med förbehåll för de eländiga orättvisorna i välstånd. Men, om du har tur nog att ha tillräcklig materiell rikedom för en anslutning och en uppkopplad apparat, så skapar själva nätverket inga hinder för deltagande. Du behöver inte en systemadministratör som låter dig deltaga efter sitt godtycke. Internet utelämnar medvetet tillåtelser och tillstånd ur systemet.

Det är också därför som Internet upplevs av så många av oss som en naturresurs. Vi har sökt oss till det som om det vore en del av den mänskliga naturen som bara väntar på att hända – precis som att tala och skriva nu känns som en del av vad det innebär att vara människa.

8c) Vem som helst kan förbättra det.

Vem som helst kan göra Internet till en bättre plats att bo, arbeta och fostra barn i. Det kräver en riktig dumskalle med en vilja av järn för att göra det värre.

Det finns två sätt att göra det bättre. Först så kan du bygga en tjänst på nätets kant som är tillgänglig för alla som vill ha den. Gör den gratis, få folk att betala för den, lägg ut en insamling, ja vad som helst.

För det andra kan du göra något viktigare: möjliggöra en helt ny uppsättning änden-av-nätet tjänster genom att hitta på ett nytt avtal. Det var så e-post skapades. Och diskussionsforum. Och till och med webben. Skaparna av dessa tjänster kom inte bara med applikationer, och de mixtrade inte med själva Internet-protokollet i sig självt. Istället tog de fram nya protokoll som använder Internet, på samma sätt som avtalet om hur man kodar bilder på papper möjliggjorde faxmaskiner utan att ändra något i själva telefonsystemet.

Kom bara ihåg att om du hittar på ett nytt avtal så måste det vara öppet, ägarlöst, och för alla användare om det snabbt ska generera värde, så som Internet gjorde. Det är precis därför som Instant Messaging har misslyckats med att uppnå sin potential: De ledande IM-system idag – AOL:s AIM och ICQ och Microsofts MSN Messenger – är privata områden som kan köras på nätet, men de är inte en del av nätet. När AOL och Microsoft bestämmer att de ska köra sina meddelandesystem på ett dumt protokoll som ingen äger och alla kan använda, kommer de att ha förbättrat nätet enormt. Fram till dess kommer de bara att vara korkade, och inte på ett bra sätt.

9) Om Internet är så enkelt, varför har så många varit så korkade om det?

Kan det bero på att Internets tre dygder är motsatsen till hur regeringar och företag ser på världen?

Ingen äger det: Företagen definieras av vad de äger, så som regeringarna definieras av vad de kontrollerar.

Alla kan använda det: I företag innebär försäljning en överföring av exklusiva nyttjanderätter från säljaren till köparen; i regeringar innebär stiftandet av lagar införande av restriktioner för medborgarna.

Vem som helst kan förbättra det: Företag och regeringar omhuldar auktoriserade roller. Det är en uppgift för endast vissa människor att göra vissa saker, att göra rätt förändringar.

Av sin natur är företag och regeringar predisponerade att missförstå Internets väsen.

Det finns en annan anledning till varför Internet inte har lyckats så bra med att förklara sig självt: De Stora Pengarna skulle föredra att fortsätta beskriva Internet för oss som bara långsam TV.

Internet har varit för mycket som den andra Walt som skrev i “Song of Myself”: Jag gör mig inte besväret att bli förstådd. Jag vet att de elementära lagarna aldrig ursäktar sig.

Å andra sidan, Internets elementära lagar tänkte aldrig på att folk skulle bygga karriärer på att inte förstå dem.

10) Vissa misstag kan vi sluta göra redan nu.

De företag vars värde kom från att distribuera innehåll på ett sätt marknaden inte längre vill göra – kan ni höra oss skivindustrin? – kan sluta tänka att bitar är som lätta atomer. Ni kommer aldrig att hindra oss från att kopiera de bitar som vi vill ha. Istället, varför inte ge oss några skäl att köpa musik från er? Vafan, vi kanske till och med skulle hjälpa er att sälja era grejer om ni bad oss​.

De statsbyråkrater som har förväxlat Internets värde med innehållets värde borde inse att om de mixtrar med Internets kärna så sänker de faktiskt dess värde. Faktum är att de kanske kunde bli varse att ett system som transporterar alla bitar lika, utan statens eller industrins censur, är den enskilt starkaste kraften för demokrati och öppna marknader som historien skådat.

De etablerade leverantörerna av nätverkstjänster – Ledtråd: Det börjar med “tele” och slutar med “kom” – kunde acceptera att det dumma nätverket kommer att svälja deras smarta nät. De kunde bita i det sura äpplet nu istället för att spendera hundratals miljarder dollar i kostnader som försenar och bekämpar det oundvikliga.

Den federala myndighet som ansvarar för tilldelning av spektrum skulle kanske märka att värdet av ett öppet spektrum är detsamma som det verkliga värdet av Internet.

De som skulle vilja censurera idéer skulle kanske inse att Internet inte kan urskilja godbitar från en dåliga bitar även om det skulle ta ett bett av varje bit. Oavsett vilken typ av censur som kommer att införas måste införas på nätets ändar – och det kommer inte att fungera så bra.

Kanske kan företag som tror att de kan tvinga oss att lyssna till deras budskap – deras banners, deras påträngande ”graphic crawls” över sidorna vi försöker läsa – kommer att inse att vår förmåga att hoppa från plats till plats är inbyggd i webbens arkitektur. De kan lika gärna bara sätta upp banners som säger “Hej! Vi förstår inte Internet. Åh, och förresten, så hatar vi det.”

Nu får det vara nog. Låt oss sluta banka huvudet mot Internetlivets fakta.

Vi har inget att förlora förutom vår dumhet.

 

#MeraKrypto – möte No. 1 den 29 april

Mera Krypto - Samverkan för ett säkrare InternetISOC-SE i samarbete med SNUS, Sunet och DFRI bjuder in till det första mötet på temat #MeraKrypto. Upptaktsmötet
fokuserar på Transport Layer Security (TLS) ­- vad är det, hur funkar det, hur kan det användas för att ge säkrare kommunikation? På förmiddagen har vi ett utbildningspass, på eftermiddagen föredrag och diskussion. Du som jobbar med system, program eller nätverk behöver vara med!

Bakgrund: Om #MeraKrypto

I korthet

Program:

  • 9.30-10.00 Samling och fika
  • 10.00 – 12.00: Introduktion till Kryptering och TLS
    • Vi inleder dagen med en grundkurs i kryptering för applikationer – TLS. Exempel på hur man använder TLS i webb, IP-telefoni och e-post – inklusive PGP. Vi går igenom prestanda och ger praktiska råd till sajtägare.
    • Föreläsare: Jonas Lejon, Patrik Wallström, Olle E. Johansson
    • Olles presentation
    • Patriks presentation
    • Jonas presentation
  • 12.00 – 13.00 Lunchpaus (Lunch ingår ej – men det finns många restauranger i närheten!)
  • 13.00 – 13.30 #MeraKrypto: Introduktion, Olle E. Johansson, Edvina AB
  • 13.30-14.00 Certifikatanvändningen på Svenska delen av Internet, Anne-Marie Eklund Löwinder, .SE
    Det räcker inte med att ha ett certifikat utfärdat för domänen eller webbservern. Certifikatet måste också kunna betraktas som pålitligt genom att det uppfyller några grundläggande krav som ska ställas på den typen av säkerhetsmekanismer, som att det har utfärdats av en pålitlig certifikatsutfärdare, att certifikatet är giltigt, att det använder sig av säkra algoritmer, har tillräckligt långa nycklar et cetera. .SE har tittat lite närmare på hur det såg ut på .se-domäner 2013 vad gäller certifikat – och Anne-Marie delar med sig av resultaten!
  • 14.00 – 14.30 CURLa med TLS, Daniel Stenberg, Haxx/Mozilla [presentation]
    Som ett av stråna i internetstacken måste programmet och biblioteket curl göra sitt. Hur använder vi TLS i curl, hur ska man använda TLS med curl och vad gör curl för att stärka upp TLS-användningen? http2 och nya tekniker ligger i startgroparna, kommer det förbättre TLS- eller det generella kryptoläget för curl? 
  • 14.30 – 15.00 TLS – Best Current Practise och DANE, Jakob Schlyter, Kirei och Andreas Jonsson, Romab
  • 15.00 – 15.30 Fika och diskussion
  • 15.30 – 16.00 MeraKrypto i företagsnäten, Björn Sjöholm, Europoint AB
    Företagsnäten har förändrats – från hårt kontrollerade nät till nät som är öppna för egna enheter, med wifi och vpn till hemdatorer. Många företag vill fortfarande kontrollera innehåll för att skydda sin infrastruktur och därmed kan inte innehåll krypteras hela vägen till klienten. Är detta fortfarande ett relevant synsätt? Finns behov av konfidentialitet och personlig integritet även inne i företagsnäten? Blir det bättre eller sämre med kryptering i det interna nätet? 
  • 16.00 – 16.30 MeraKrypto i IETF – UTA, Leif Johansson, Sunet
    IETF tar frågan om massiv nätövervakning på allvar. Flera arbetsgrupper jobbar med lösningar på hur vi ska möta den här attacken. En av grupperna är UTA, en grupp som leds av Leif Johansson. Leif beskriver vad som händer och vart vi är på väg.
  • 16.30 – 17.15 Diskussion, frågestund

Vi ser fram emot att träffa dig på #MeraKrypto No.1 ! Ett stort tack till våra sponsorer som gör det möjligt att genomföra det här mötet.

Varmt välkomna!
ISOC-SE och Sunet, SNUS och DFRI

genom

/Olle E. Johansson

Mera Krypto: Vi måste stärka nätet!

Mera Krypto - Samverkan för ett säkrare InternetEn av mina personliga lärdomar av det senaste årets diskussion om Internet-säkerhet är att vi måste kryptera mera. Släppa på några gamla heliga kor och separara andra glorifierade nötkreatur från varandra. Låt mig beskriva hur jag tänker!

I min värld har jag mumlat att om man inte kan verifiera SSL- eller TLS-servern så är det ingen poäng att kryptera. Det blir ju inte hemligt, liksom.

Olle E. Johansson

Nu börjar jag ana att det är att blanda begreppen – kryptering som ger konfidentialitet och autenticering som hjälper oss att avgöra om vi kommunicerar med rätt tjänst eller person. Man kan kryptera utan att autenticera. Det blir kanske inte samma nivå av konfidentialitet, men det blir svårare för utomstående att läsa trafiken. Inte omöjligt, men svårare och kostsammare. Vi måste höja ribban ett par steg. Datakraft blir allt billigare, så att kryptera mera kommer inte att påverka CPU-användningen speciellt mycket. Att inte ens försöka kryptera är i dagsläget att släppa allting helt fritt för alla.

TLS och SSL – vad är det?

TLS och SSL är standarder för autenticering och kryptering av IP-kommunikation. SSL, Secure Socket Layer, utvecklades av Netscape Communication och var ett registrerat varumärke. Standarden överfördes senare till IETF och bytte namn för att undvika varumärket. Det nya namnet är TLS – Transport Layer Security. SSL version 3 och TLS version 1.0 var jämförbara. Idag är SSL v1 och v2 osäkra och ska helst inte användas.

IETF tar allvarligt på det som hänt – det är en attack mot Internet!

IETF har sett allvarligt på alla avslöjanden om avlyssning av Internet. Man har insett hur enkelt det är och vilka brister protokollen vi jobbar med har. Nu höjs ribban samtidigt som man sätter in krafter på att utveckla nya rekommendationer, riktlinjer och regler för hur nya protokoll definieras. Säkerhet ska in från början i designen, inte läggas till som en eftertanke.

Det finns en ny arbetsgrupp inom IETF som heter UTA där man försöker reda ut hur vi kan få mer krypterade sessioner i applikationslagret. Paul Hoffman, har skrivit en första version av en draft där han försöker reda ut begreppen och definiera “opportonistic crypto” ur TLS-synpunkt. Det finns flera grupper som jobbar och begreppet kommer förmodligen manglas i ett par olika omgångar innan man enas, vilket dock inte hindrar att det används flitigt. Jag tycker att Pauls draft lärde mig mycket. Läs den!

https://tools.ietf.org/html/draft-hoffman-uta-opportunistic-tls-00

I korthet säger han att “opportunistic crypto” är när programvaran och systemen sätter upp TLS för att man kan, inte för att användaren krävt det. Om du surfar till en webb som har både port 80 och 443 öppen så ska webbläsaren välja att använda TLS oavsett vad URL är. Skillnaden är att när programvaran fattar beslut och sätter upp krypto – kanske utan att kunna verifiera certifikat, så ska INGET lås visas, ingen address ska visas i grönt och användaren ska inte få något felmeddelande om att “Bussiga Olles billiga CA är en okänd certifikatutfärdare du inte ska lita på”.

#MeraKrypto – nu är det dags att öka mängden TLS på nätet!

VI i ISOC-SE i samarbete med SNUS och andra organisationer kommer jobba mer med det här under resten av året. Många frågor uppstår – hur kan vi mäta framgång i det Svenska Internet? Mer TLS i mailsystemen? Mer TLS på webben? Mer TLS i IP-telefoni – SIP?  Kan vi få igång mer DANE eftersom vi är föregångare med DNSSEC? Hjälper verkligen mera krypto eller är det andra lösningar vi behöver? Är TLS för gammalt och ska helt enkelt ersättas? Här finns att snacka om och det ska vi göra. Lära oss mer, så vi kan påverka där vi jobbar dagligen.

Vi är några som jobbar med det här i IETF och kan rapportera tillbaka. Leif Johansson på Sunet är co-chair för UTA-gruppen. Jag rotar som vanligt i SIP och WebRTC. Daniel Stenberg är med i arbetet runt HTTP 2.0 som troligen bara kommer använda TLS. Jakob Schlyter jobbar med DANE och DNSSEC. Vi är dessutom många som jobbar med Open Source och kan förändra synsättet. Det finns redan lösningar för “Better Than Nothing” kryptering i IPsec. Jag har redan börjat rota med mina kollegor som utvecklar SIP-lösningar om hur vi kan förändra koden så vi alltid sätter upp TLS där vi kan. SIP-protokollet tillåter det utan att vi ändrar en enda rad i raden av RFC som beskriver IP-telefoni! Det är bara koden som ska göra rätt. SIP-telefonen Jitsi gör det redan. Små steg framåt, men ack så viktiga.

Slå på säkra sessioner i dina molntjänster!

Du kan också göra små saker, även om du inte är utvecklare. Använd Facebook, Google, LInkedIN och andra tjänster över TLS. I många fall finns inställningar där du säger att du vill att alla sessioner, oavsett URL, ska använda TLS.  Om tjänsten inte stödjer TLS, så maila och fråga varför. Om ingen knackar på dörren, så märks vi inte.

Bygg in TLS i appar och molntjänster!

Om du är med att bygga appar för mobiler, sätta upp servertjänster eller utvecklar system – se då till att TLS är med i designen från början. Precis som IPv6 är det lättare att ha det med i starten så att det blir rätt. Välj nivå efter applikationens värde – ska certifikat valideras, ska ni ha en egen certifikattjänst, ska ni ha säker identitet? Oavsett vilken nivå av säkerhet ni väljer för er IT-lösning, så se till att alla sessioner krypteras.

En enkel presentation – #MoreCrypto

Jag har satt samman en del av mina tankar i en kort presentation. Jag går inte in på val av algoritm, serverkonfiguration eller programmerings-gränssnitt till OpenSSL. Det handlar mer om varför vi måste förändra vårt synsätt och steg vi måste ta tillsammans för att säkra vårt nät.

Nu kör vi #MeraKrypto!
/Olle E. Johansson

 

EU Nätneutralitet: Neelie Kroes har fått en uppenbarelse

Neelie Kroes fick nyligen en uppenbarelse på ett flygplan och ändrade ett planerat tal:

“I want you to be able to say that you saved their right to access the open internet, by guaranteeing net neutrality.”

http://europa.eu/rapid/press-release_SPEECH-13-484_en.htm

Jag har nu fått besked från Marietje Schaake att hennes seminarium den 4 juni kl 9 med Neelie Kroes kommer att livstreamas! Länken finns nu här! (och ligger just nu kvar så att man kan se i efterhand. Gör fast forward förbi svart ruta i början. Hur länge den kommer att finnas där vet jag inte. 130604 kl 12:10/Jan Flodin)

Vad som kommer ut av detta återstår att se, förstås.

Vi kan vi nog räkna med att även  nymorgnade aktörer nu glider in i en nystartad debatt om nätneutralitet, som eftersmaken på Arbogaöl…

 

Lite bakgrund:

Jag har bloggat tidigare om nätneutralitet sedan frågan kom tillbaka i den europeiska debatten 2011. Dessa tidigare inlägg ser ni här:

14 nov 2011:            http://isoc.se/blogg/natneutralitet-here-we-go-again/
27 september 2012: http://isoc.se/blogg/slaget-om-natneutraliteten-borjan-till-slutet-for-det-oppna-internet/

ISOC ståndpunkt så som den definierats inom ramen för ISOC Open Internetworking:

http://www.internetsociety.org/net-neutrality

http://www.internetsociety.org/netneutralitytoolkitpdf

BEREC har gjort en sammanställning över sin position, som är relativt nyskriven och har en bra referensförteckning:

I rapporten om Net Neutrality and Transparency för något år sedan gjorde BEREC en bra inventering av olika definitioner av Net Neutrality från olika  intressenter, och begränsade in sig  till i stort i samma mening som ISOC har.  Därmed menar jag att den nya europeiska debatten har en någorlunda gemensam mening av Net Neutrality, att leverantörer av internetaccess inte kommersiellt diskriminerar leverantörer av likartade hosted services, t ex inte favoriserar sin egen eller partners hosted service i något avseende (“telefon”, videostreaming, mm).

 

Jan Flodin

Nätneutralitet – here we go again!

Jan Flodin

Session om nätneutralitet på Internetdagarna

På Internetdagarna, den 21 november, genomför vi en session som heter “Nätneutralitet – hur får användarna den öppenhet de vill ha?”. Klicka på den här texten och du kan läsa mer om det.

Klicka för Senaste uppdatering 16 dec.

UPDATE 22 nov: Du kan se videoinspelningen här.

Den sessionen arrangeras med hjälp av vårt chapter ISOC-SE . När jag planerade sessionen åt .SE funderade jag mycket på om jag skulle ha med ordet “Nätneutralitet” i rubriken eller inte. Som flera av er säkert vet var begreppet mycket hett strax innan EU 2009 slutförde det mångåriga arbetet med sitt nya telekomdirektiv, det som nu legat till grund för vår uppdaterade lag om elektroniska kommunikationer. Ni som vill läsa på lite om den bakgrunden kan gå tillbaka till mitt inlägg på internetdagarna.se från 2009.

EU 2009: lagstifta – hur långt?

Vad det handlade om då var om man skulle lagstifta om att de som tillhandahåller access till resten av Internet för era datorer inte, av kommersiella skäl, får blockera eller begränsa vad ni gör med er dator över Internet, så länge det är lagligt. Med kommersiella skäl menar jag att man inte skulle få begränsa tjänster värddator – värddator, där din dator är den ena, den andra kan t ex vara Google:s, eller någon som kopplar sin dator vidare så du kan ringa “över Internet” till det gamla vanliga telefonnätet.  Svårt?

Nå, nu blev det inte så. I stället blev det regler om att accessleverantörerna måste deklarera tydligt vad kunden får, bland annat vilka eventuella begränsningar som finns i accessen. Tanken är att man skall kunna välja på en konkurrerande marknad för att få den “öppenhet” man vill ha. Och betala för det. Det här kallas ofta i debatten om nätneutralitet för “transparens”.

En icke-fråga i EU under några år –  till nu!

Sedan 2009 har debatten om eventuell lagstiftning för nätneutralitet gått vidare i USA, medan det inte har talats så brett om det i EU efter det EU-direktivet togs. Olika särintressen, främst i USA, har försökt lägga beslag på begreppet och ge det en tolkning som passar den egna affärsmodellen. Internet Society har valt att i stället tala om “Open Internetworking” och söka ge det en tillräckligt meningsfull och begriplig betydelse. Med mitt medlemskap i ISOC ställer jag mig självklart bakom detta.

I slutet av 2010 höll ISOC-SE ett seminarium, om internets öppenhet,  med en översikt över vad som då skett i EU och särskilt i Sverige efter EU-direktivet.

Sedan nu i våras har det hänt en hel del inom EU, där “Net Neutrality” börjat användas som ett flitigt begrepp såväl i EU-dokument som nationella. Vi har också börjat se hur implementationen av EU-direktivet kan fungera. Och inte fungera! Så, jag tog med ordet i rubriken!

Nedan kommenterar jag ett antal rapporter och andra dokument, med länkar till dem. Jag tycker de är relevanta och ger en rätt bra uppfattning om vad som händer just nu i EU och vilka val man står inför. Det blir lite långt, men jag har försökt få till en “one stop shop” för den som är seriöst intresserad av ämnet och vill kunna nå och läsa dokumenten från ett ställe. Mot slutet ger jag lite av mina egna funderingar. Jag kommer att kolla då och då om länkarna ger 404 och då försöka återställa dem. Mao, återvänd gärna.

Hoppas det här får er att vilja vara med på sessionen den 21 november!

EU-kommissionen: “Öppenhet är också en fråga om nätneutralitet”

I maj skickade EU-kommisionen sin  “communication” till Parlamentet som baserades på bl a den enkät över nätneutralitet som man genomförde hösten 2010. Notera följande:

“Det väsentliga när det gäller nätneutralitet och de frågor som debatten bygger på är framför allt hur man på bästa sätt ska kunna bevara öppenheten i internet, säkerställa tjänster av hög kvalitet till alla även i fortsättningen och ge innovationen fritt spelrum, samtidigt som internet ska kunna bidra till att grundläggande rättigheter som yttrande- och näringsfrihet utnyttjas och respekteras. – – – Det faktum att vissa operatörer, av skäl som inte har med trafikstyrning att göra, kan blockera eller försämra vissa legala tjänster (framför allt tjänster för röst över IP) som konkurrerar med deras egna tjänster kan emellertid anses vara oförenligt med ett öppet internet. Öppenhet är också en avgörande fråga i debatten om nätneutralitet”.

 

“Wait and see…”

EU-kommissionen vill för närvarande inte skärpa reglerna för nätneutralitet. I stället vill man följa upp hur marknaden för internetaccess utvecklas och, om det behövs, ingripa senare. Den politiken har kommit att kallas “wait and see” och mött kritik från bland annat  La Quadrature du Net.

Privacy and Data Protection

EU Ombudsman för Dataskydd har under senhösten tagit upp nätneutralitet från ett annat håll, “Privacy and Data Protection”, dvs medborgarnas rätt till integritet:

“… ISPs’ increasing reliance on monitoring and inspection techniques impinges upon the neutrality of the Internet and the confidentiality of communications. This raises serious issues relating to the protection of users’ privacy and personal data – – – there is a need for national authorities and BEREC to monitor the market situation. – – –  Depending on these findings, additional legislative measures may be necessary..” 

BEREC rapport

BEREC, Body of European Regulators for Electronic Communications, där vårt PTS ingår tillsammans med sina “kollegor” inom EU, har under oktober publicerat en “Draft Guidelines for Net Neutrality and Transparency”, och begärt kommentarer till början av november. ISOC svar finns här . (UPDATE 16 dec: BEREC lista över svar finns nu här.) Rapporten ger inledningsvis en bra beskrivning av de olika aspekterna på nätneutralitet och gör därefter  en omfattande, till och med  omständlig, analys av “Transparency” och hur övervakning av det skall kunna utföras. Det är förståeligt, EU-direktivet anger ju att detta skall vara medlet för en fungerande konkurrens på marknaden för internetaccess.  Man pekar på att direktivet ställer krav på accessleverantörerna att lämna fullständig och begriplig information till kunderna om egenskaper, inklusive begränsningar, något som NRAerna (PTS i Sverige) tillser. Det kallar man “Direct Approach”. Men, man säger också :
 
“With a direct approach, ISPs make information transparent to end users directly, while in an indirect approach, third  parties (such as comparison websites) play a crucial role in making the information understandable for end users”.

 

Själv tror jag att det internetanvändarna litar mest på är “Indirect Approach”, där engagerade personer och organisationer analyserar och publicerar “konsumentupplysning” om vad de olika acessleverantörerna egentligen har för sig. Det ligger i “Internetkulturen” och det måste, enligt min mening, vara ett krav att accessleverantörerna inte på något sätt förhindrar eller försvårar sådana analyser och det man publicerar. Under sessionen den 21 november får ni höra mer om ett möjligt alternativ till “Indirect Approach” i Sverige som .SE börjat utveckla.

UPDATE 22 nov: Läs .SE rapport här

UPDATE 30 nov: La Quadrature du Net har haft möte med BEREC och menar att det finns många exempel på blockeringar, m m, som bör vara motiv för kraftigare skydd av nätneutralitet. Man hävisar även till “Respect my Net”, en web site där man kan rapportera blockeringar och begränsingar i internetaccess.

Motion i EU-parlamentet – steg mot starkare skydd för nätneutralitet?

EU-parlamentets Committee on Industry, Research and Energy, har lagt fram en motion om “Rules of Procedure on The open internet and net neutrality in Europe”. La Quadrature du Net (LQDN) marknadsför den som ett steg mot starkare reglering för att upprätthålla nätneutralitet, något som LQDN argumenterar kraftigt för. UPPDATERING 17 nov: LQDN rapporterar att Parlamentet i dag antagit resolutionen med majoritet.

PLUM Consulting: “the open internet norm must be safeguarded and should be explicitly reinforced”

Plum Consulting i London har gjort rapporten “The open Internet – a platform for growth” på uppdrag av BBC, Blinkbox, Channel 4, Skype pch Yahoo. Den tar fasta på situationen i Storbritannien, men den är generellt intressant. Man anser sig slå hål på ett antal “myter” som en del “ISP” använder som argument för att Internets öppna end-to-end modell måste ändras.  Man säger bl a :


“ We conclude that the benefits of the open internet are likely to outweigh the benefits of alternative models and that there are significant risks associated with a departure from an open internet approach in terms of arbitrary discrimination, opportunism and high transaction costs. Such a departure would deter innovation and potentially prevent access to existing content and applications.  It is unhelpful to signal that reliance on competition alone is sufficient when discrimination and opportunism persist. Rather, the open internet norm must be safeguarded and should be explicitly reinforced

UPDATE 28 nov: Skype anger i dag i sin blog att flera EU-länders parlament nu höjer rösten för att skydda nätneutralitet.

Anna-Karin Hatt om vikten av ett öppet Internet

Jag kan heller inte låta bli att citera vår IT- och energiminister Anna-Karin Hatt i det tal hon höll i Paris den 21 oktober :

”An open Internet is the driver for innovation, new services, efficient competition and sustainable growth, as well as bridging cultural gaps between people around the world.” .

Hon har visat att hon inte bara kan vara på Internet utan också att hon förstått vad det handlar om. UPDATE 23 nov: Möttes i går på Internetdagarna av ett påstående att hon inte twittrar själv utan har någon som sköter det. Över twitter klarade jag ut det på ett par timmar. Påståendet är falskt! Hon twittrar själv! 2o min efter det hon klev ner från scenen skrev hon: “Absolut. Alltid jag. aldrig någon annan!”. Lite senare: ” Poängen med twitter är ju autencitet, tycker jag!”. Jag är inte mycket för att berömma politiker, men här är det faktiskt på sin plats.

Hur vill vi då ha det?

Ja, det beror på vem man frågar och vad man vill värna om. ISOC vill inte att man inför onödiga regleringar för Internet. Frågan är då vad som kan vara nödvändigt.

Håll isär två marknader!

Oavsett om man bör reglera eller inte menar jag att man åtminstone mentalt och i diskussioner om nätneutralitet håller isär marknaden för Internetaccess och marknaden för tjänster ÖVER Internet från värddator till värddator. Det som känns bra är om accessleverantörerna konkurrerar med varanda på lika villkor på den marknaden och “tjänsteleverantörerna” konkurrerar på sin marknad. Om det kan uppnås utan ytterligare reglering, fine! Jag tycker å andra sidan inte att det är fel att en accessleverantör lockar med ett sammansatt (Nysvenska: “bundlat”..) erbjudande med en “tjänst” värddator – värddator till ett billigt pris. Men om jag köper det så skulle jag inte bli så glad om jag inte kan nå en annan, konkurrerande, tjänst därför att hon diskriminerar den genom blockering, fördröjning eller någon störning som gör den sämre för mig.

Inom EU har vi allmänt sett reglering för att upprätthålla konkurrens på lika villkor och att skydda svagare part i ett affärsförhållande. Det ser vi även i EU-direktivet och därmed i lagen om elektroniska kommunikationer.

Vad får kallas för Internetaccess?

ISOC argumenterar för att enbart Internetaccess som är öppen för sessioner utan begränsning med hänsyn till sändare, mottagare eller innehåll, bör få kallas “Internet Access”. Begränsar man för att undvika överbelastning, t ex video, så skall ALL video behandlas lika, dvs ingen diskriminering. Annan, IP-baserad trafik, även om den överförs genom Internet, skulle alltså inte få kallas “Internet Access”. Om det är möjligt att reglera vet jag inte, men det skulle kanske vara bra. Det blir tydligt för vanliga användare vad man åtminstone kan förvänta sig.

“Wait and see” eller reglera för nätneutralitet? Holland har!

EU-kommissionens “wait and see” bör innebära att man skulle kunna skärpa regleringen, men i första hand införa starkare övervakning av marknaden. Nationellt verkar det finnas utrymme redan nu att kunna införa starkare lagstiftning, om man anser att nätneutraliteten bör skyddas hårdare. Holland har ansett det, efter ett antal incidenter med diskriminerande begränsningar av tjänster över Internet. Där verkar man till och med ha lagstiftat mot att accessleverantören kan ta extra betalt om man skall tillåta t ex telefon över Internet!

Vad vill Neelie Kroes – och varför?

Neelie Kroes, EU vicepresident och ansvarig för EU digitala agenda, är inte lycklig över det holländska beslutet.  Hennes uttalande att “requiring operators to provide only ‘full internet’ could kill innovative new offers” ifrågasätter jag starkt. Internet, med sin öppna end-to-end modell (connection-less, edge-centric), har utan motstycke genom åren visat sig vara grundläggande för Internets expansion och alla de innovativa, ofta överraskande, applikationer med tjänster vi sett, ser och använder. “New Offers” är (jag börjar nog bli gammal..) kan inte vara något annat än försök att återta den gamla affärsmodell som fanns hos de dåvarande “televerken” till senare halvan av 90-talet (i Sverige) då den gick sönder på grund av Internet. Neelie verkar ha avvikit från den linje hon höll när hon fick sitt nuvarande jobb i EU-kommissionen.

Jag avslutar med att citera vår ISOC CEO Lynn St Amour i sitt tal till EU-kommissionen 2009:

The Internet Model is based on widely supported key principles, such as the “end-to-end principle,” which supports the global deployment of innovative, and often surprising applications. Those who create applications don’t need permission to deploy them on the Internet. And perhaps most importantly, users themselves choose which applications best meet their needs (hopefully with no intermediate filtering).

Jan Flodin
ISOC-SE