NÆRINGS- OG HANDELSDEPARTEMENTET. Norsk kryptopolitikk

Transkript

1 NÆRINGS- OG HANDELSDEPARTEMENTET 2001 Norsk kryptopolitikk a 91 a

2

3 eministerens forord Internett har gitt oss verktøy for global kommunikasjon, samhandel, kulturformidling og personlig kontakt. Millioner av mennesker verden over utveksler elektronisk post, dokumenter, bilder og henter informasjon eller underholdning på nettet. Norge har ambisjon om å være ledende i bruk av Internett. Den store økningen i trafikk fører med seg utfordringer knyttet til personvern, sikkerhet og pålitelighet av de transaksjoner som gjennomføres på nettet. Krypteringsteknologi (krypto) er av de fleste lands myndigheter nå anerkjent som et nødvendig verktøy for å møte disse utfordringene. Krypteringsteknologien har tradisjonelt vært forbeholdt forsvaret og organer som har som oppgave å ivareta rikets sikkerhet og beredskap. På grunn av dette har mange land ført en svært restriktiv politikk når det gjelder å gjøre krypteringsprodukter tilgjengelig for bruk av det brede publikum. Denne tiden er nå over. OECD publiserte i 1997 retningslinjer for kryptopolitikk som knesatte flere viktige prinsipper for hvordan slik politikk bør utformes og håndheves. Mange land har nå utviklet kryptopolitikker som følger OECDs prinsipper. Liberalisering av streng kontroll med tilgang til, og bruk av krypto, har preget utviklingen på området de siste årene. Norge har hele tiden fulgt med i denne utviklingen. De fleste av OECDs prinsipper ble gjennomført i praksis. Tiden er nå derfor inne til å legge frem en helhetlig norsk kryptopolitikk, som trekker opp linjene for hvordan krypteringsteknologi kan bli utnyttet for å nå målene i enorge - og særlig målsettingen om økt tillit til den nye teknologien, slik at den er sikker og tilgjengelig for alle, uansett kompetansenivå. Dette dokumentet er et tiltak på vei mot dette målet. Oslo, august 2001 Grete Knudsen, >)B Rana epotbiblioteket Nærings- og handelsminister 1

4 1. Bakgrunn Samfunnets økte bruk og avhengighet av informasjons- og kommunikasjonsteknologi (IKT) fører til at informasjonssystemer i stadig større grad blir sårbare for uønskede eller utilsiktede hendelser, herunder anslag fra kriminelle. Slike hendelser kan føre til kompromittering av konfidensialitet, integritet eller autentisitet av informasjon og/eller forretningsmessige transaksjoner, med vidtrekkende konsekvenser. Økt utbredelse og bruk av Internett og mobiltelefoni øker utfordringene med å opprettholde tilfredsstillende sikkerhet ved elektronisk informasjonsutveksling, -lagring og -bruk. Bruk av krypteringsteknologi kan gi forvaltningen, næringslivet og individer en mulighet for å beskytte sine legitime interesser samtidig som man utnytter potensialet i IKT til fulle. Bruk av krypteringsteknologi vil også styrke tilliten til elektronisk samhandling i sin alminnelighet, og spesielt elektronisk handel. Konkret kan krypteringsteknologi bidra til å sikre: Personvern og ytringsfrihet, transaksjonstrygghet, bedrifters interesse i økt inntjening og konkurranseevne, inklusive utvikling av en nasjonal kryptoindustri, vitale nasjonale sikkerhetsinteresser, herunder rikets sikkerhet og geopolitisk suverenitet, effektiv, elektronisk forvaltning, reduksjon av sårbarhet for ytre angrep, økt tillit til datamaskinbaserte systemer. Utbredt anvendelse av krypteringsteknologi fører med seg noen konsekvenser, som også kan gi negative innvirkninger på visse områder. De kriminelles tilgang til krypteringsteknologi kan gjøre det vanskelig for politimyndigheter å etterforske og påtale lovbrudd. Tilgangen til slik teknologi i terroristmiljøer kan bidra til økt fare for at terrorhandlinger kan planlegges og utføres uten at myndigheter har muligheter til å forebygge eller forhindre slike angrep. Bruk av krypteringsteknologi for konfidensialitetssikring kan også medføre at informasjon kan gå tapt, ved at for eksempel nøkkelen er mistet. Samtidig legger internasjonale overenskomster, avtaler og reguleringer rammebetingelser for produksjon, bruk og eksport av krypteringsteknologi i Norge. Likeledes vil andre lands holdninger til krypteringsteknologi skape en ramme for dette som man må forholde seg til. Flere av disse forholdene trekker i ulike retninger og tilsier at det er behov for å formulere en overordnet, nasjonal kryptopolitikk. Dette dokumentet inneholder en slik politikk. 2

5 Krypto er et forkortet begrep for kryptografi, eller lære om metoder for å skjule innhold i en skriftlig meddelelse. Kryptering er den handlingen som fører til at et innhold blir forvrengt slik at det ikke er mulig å forstå dets mening uten å ha tilgangen til en nøkkel - som kan gi det opprinnelige innholdet tilbake. Ved hjelp av nøkkelen kan innholdet dekrypteres. Kryptografiske metoder kan også benyttes til å beskytte et innhold mot uautorisert endring og spore opprinnelsen av det. Kryptering har vært benyttet i mer enn tusen år med stadig mer avanserte matematiske beregningsmetoder som er blitt tatt i bruk for å hindre at uvedkommende brøt koden. Moderne kryptografi benytter avanserte matematiske funksjoner for å forvrenge innhold i dokumenter og meldinger. Moderne kryptografi er avhengig av datamaskiner for å fungere. Det finnes to hovedkategorier av kryptografi: symmetrisk og asymmetrisk. Symmetrisk krypto betegner en prosess der både kryptering og dekryptering av en meddelelse foregår ved bruk av samme nøkkel. I forbindelse med datakommunikasjon innebærer et symmetrisk kryptosystem at avsenderen og mottakeren av meddelelsen deler en felles (men ellers hemmelig) nøkkel. Asymmetrisk krypto innebærer derimot anvendelse av forskjellige (dog matematisk relaterte) nøkler til kryptering og dekryptering. Hver bruker av systemet får tildelt et nøkkelpar der den ene nøkkelen er privat og hemmelig, mens den andre er offentlig tilgjengelig. Den hemmelige nøkkelen benyttes til dekryptering av data, den offentlige nøkkelen brukes til kryptering. Asymmetrisk kryptografi ligger til grunn for digitale signaturer. En elektronisk melding kan "signeres" ved bruk av avsenderens private/hemmelige nøkkel. Verifisering av signaturen kan skje ved at mottakeren benytter den offentlige nøkkelen som tilhører avsenderen. Krypteringsteknologi kan benyttes for å sikre følgende aspekter ved elektronisk informasjonsutveksling og/eller elektroniske transaksjoner: at informasjon (i klartekst) ikke blir tilgjengelig for personer/organisasjoner som mangler autorisasjon for å få se den (konfidensialitet) at informasjon ikke kan endres på uautorisert vis uten at det kan oppdages (integritet), at identiteten til avsenderen kan slås fast med gitt sikkerhet (autentisitet), at den som sender informasjon ikke skal kunne benekte at handlingen fant sted eller at informasjonen var sendt fra ham (ikke-benekting). 3

6 2. Kryptopolitikken Politikken baserer seg på OECDs retningslinjer for kryptopolitikk, publisert i Anvendelse av krypteringsteknologi Det grunnleggende spørsmålet her er hvilken grunnholdning man skal innta i forhold til kryptografi i sin alminnelighet. Dette inkluderer spørsmålet om hvilken holdning som bør inntas i forhold til bruk av s.k. sterk kryptering. Med "sterk" kryptering menes bl.a. at det benyttes en nøkkellengde og en matematisk funksjon med styrke som er slik at krypteringen ikke kan brytes, selv med omfattende ressursinnsats. Oppfatninger om hvilke løsninger som er "sterke" vil endre seg i takt med den teknologiske utvikling. Ut fra behov for å skape tillit og trygget rundt elektronisk samhandling anbefales det at man inntar en positiv holdning til utstrakt bruk av krypto i hele samfunnet. Dette omfatter også sterk krypto. Myndigheter bør endog legge til rette for å oppmuntre, opplyse og veilede næringslivet, forvaltningen og alminnelig publikum for å stimulere til (fornuftig) bruk av kryptering. Der kryptering brukes for elektronisk signatur vil bruken av kryptering bli underlagt lov om elektronisk signatur og forvaltningsloven med forskrifter. Myndighetene bør legge til rette for et velfungerende og godt utviklet nasjonalt marked for kryptoprodukter og -tjenester, slik at brukere skal kunne velge blant flere konkurransedyktige tilbud. Elektronisk handel ogforretningsdrift I forbindelse med utbredelse av elektronisk handel er bruk av kryptografi spesielt viktig. Men det er særlig anvendelse av asymmetrisk krypto til autentiserings-, integritetssikrings- og ikke-benektingsformål som vil ha betydning her. Sikring av konfidensialitet er også et relevant behov ifm elektroniske handelstransaksjoner, og da særlig i tilknytting til betaling. Mange betrakter utbredelsen av gode sikkerhetsløsninger som en forutsetning for at omfattende og alminnelig bruk av elektronisk handel. Myndigheter bør stille seg positivt til, og legge til rette for, omfattende bruk av krypteringsteknologi ifm elektronisk handel og -forretningsdrift. Lov om elektronisk signatur legger allerede til rette for slik bruk og forslagene fremmet i NOU 2001:10 "Uten penn og blekk" tar sikte på å bidra til dette. Offentlig sektor Økt utbredelse av effektiv, elektronisk samhandling med det offentlige forutsetter at brukerne har tillit til de løsninger de blir stilt overfor. I mange sammenhenger vil det kreve tiltak for å sikre konfidensialitet ved overføring og behandling av informasjon. Det kan gjelde forretningshemmeligheter eller være behov for å sikre enkeltindividers personvern, eksempelvis innen helsesektoren som har store mengder sensitive 4

7 personopplysninger. Kryptopolitikken må ikke bryte med de alminnelige regler for administrativ saksbehandling som følger av forvaltningsloven. Kryptopolitikken skal legge til rette for at målsettinger for reglene for administrativ saksbehandling kan oppnås ved overgangen til elektronisk saksbehandling. Kryptopolitikken for offentlig sektor bør være slik at dens implementering innebærer minst mulig ekstra arbeid for næringslivet og offentlig ansatte. Arbeidet med bruk av krypteringsteknologi i offentlig sektor, bør bl. a. legge til grunn lov om elektronisk signatur samt den politikk for bruk av digitale signaturer i elektronisk samhandling i og med forvaltningen som er under utforming på grunnlag av forslag fremmet i NOU 2001:10 "Uten penn og blekk". Digital signatur bør innføres samordnet i forvaltningen. For å forsyne publikum med digitale signaturer bør felles, sentrale avtaler vurderes mellom det offentlige og markedsaktører som tilbyr digital signatur til publikum. Det offentlige bør samle seg om felles sikkerhetsnivåer og kravspesifikasjoner for bruk av asymmetrisk kryptografi for hele offentlig sektor. Det bør eksistere en permanent samordningsfunksjon for policy rundt bruk av asymmetrisk kryptering i forvaltningen. Det bør utvikles en ny forskrift til forvaltningsloven som skal regulere elektronisk kommunikasjon i og med forvaltningen, herunder bruk av asymmetrisk kryptering. Det offentlige skal samordne sine kryptoanvendelser for ikke å påføre næringslivet og publikum unødige kostnader. Kriminalitetsbekjempelse Ved kryptobruk oppstår spenningen i hovedsak mellom enkeltindividers personvern og offentlige organers interesser i å få tilgang til innhold i kommunikasjon og transaksjoner som mistenkes for å være en del av, eller ledd i, en kriminell handling. En sentral problemstilling som en nasjonal kryptopolitikk må ta stilling til, gjelder hvorvidt enkeltindivider og bedrifter skal kunne sikre deres kommunikasjon/informasjon mot innsyn fra uvedkommende på bekostning av offentlige organers behov for tilgang til den samme kommunikasjon/informasjon. Særlig i forbindelse med etterforskning av alvorlig kriminalitet kan det være behov for slik tilgang på følgende områder: tilgang til innholdet i lagret, elektronisk informasjon som beslaglegges mulighet for avlytting av kryptert kommunikasjon - mulighet for oppsporing av ukjent gjerningsmann gjennom tilgang til nettadresser. En slik tilgang kan oppnåes bl. a. ved at myndigheter krever obligatorisk deponering av krypteringsnøkler som benyttes til konfidensialitetssikring og ved at myndigheter kan skaffe seg tilgang til kryptoproduktenes indre funksjonalitet på en slik måte at krypteringen kan brytes selv om man ikke besitter nøkkelen som ble brukt. 5

8 De interesser som ønskes beskyttet ved å bruke krypteringsteknologi er bl. a. forankret i personvern-reguleringen, alminnelig taushetsplikt og beskyttelse av sensitiv informasjon innenfor det offentlige, forbrukervern av privatpersoners interesser og næringslivets legitime behov for å beskytte sine forretningsinteresser. Tilbydere av tilgang til offentlig telenett og offentlige teletjenester er allerede i dag pålagt å tilpasse sine systemer for lovlig kommunikasjonskontroll. Det er flere grunner, blant dem personlig integritet og privatlivets fred, som tilsier at kryptopolitikken bør ta avstand fra obligatorisk nøkkeldeponering når nøkkelen innehas av privatpersoner og skal brukes til rent personlige formål. Dette vil være i tråd med bl a dansk, svensk og til en viss grad britisk kryptopolitikk. Avstand bør også tas fra obligatorisk deponering av nøkler som kun brukes til autentiserings /signeringsformål, uavhengig hvem de brukes av. Det er derimot gode grunner for å anbefale lokal, obligatorisk deponering av krypteringsnøkler som innehas av ansatte i en organisasjon og som skal brukes i forbindelse med organisasjonens virksomhet. Dette av hensyn til muligheten for at kryptert informasjon som er av verdi for virksomheten kan gå tapt ved tap av slik nøkkel. Det er særlig offentlig sektor samt næringsliv som satser på e-handel og -forretningsdrift som er relevante målgrupper her. Tilbydere av offentlige teletjenester og andre tjenesteleverandører1 skal kunne pålegges å skaffe myndighetene adgang til klartekst, dersom de er i besittelse av selve teksten, eller nøklene som kan frembringe den. Myndigheter skal ikke kreve obligatorisk deponering av kryptonøkler som er brukt til konfidensialitetssikring til rent personlige formål av privatpersoner. Krypteringsnøkler brukt til signering og / eller autentiseringsformål skal aldri deponeres. Det anbefales at arbeidsgivere sørger for lokal deponering av krypteringsnøkler til konfidensialitetssikring som brukes i et ansettelsesforhold. Internasjonalisering, eksportkontroll og nasjonal kryptoindustri I lys av globaliseringsprosesser er det lite meningsfylt å fokusere kun på nasjonale forhold. Effektive løsninger på kryptospørsmål må i stadig større grad etableres på det internasjonale planet. Kryptopolitikken bør fordre og legge til rette for teknisk samvirke av kryptosystemer på globalt (ikke kun europeisk) nivå. En utfordring her er å sikre at fremveksten av regionale standardiseringsinitiativer ikke bremser oppnåelsen av målet om økt globalt interoperabilitet. Bruken av krypto bør derfor baseres på internasjonale, anerkjente standarder så langt det er mulig. I mangel på markedsstøtte for formelle (de juris) internasjonale standarder bør en satse på (de facto) markedsstandarder og praktiske løsninger som understøtter samvirke av standardprodukter fra ulike leverandører. Som f.eks. Internett-aksess-leverandører. 6

9 Kryptopolitikken bør understøtte liberalisering av regler om eksportkontroll. Eksisterende regler nedfelt i lov om eksportkontroll bør anvendes med henblikk på at eksport av sterke kryptoprodukter for sivil bruk kan finne sted forholdsvis enkelt. Utøvelsen av eksportkontrollen bør foregå i en åpen dialog med alle berørte parter i det norske samfunnet. Dette innbefatter også formidling av norske synspunkter videre inn i Wassenaarsamarbeidet for bedre å ivareta næringslivets interesser. Import og omsetning av kryptoprodukter på det norske markedet bør forbli fri. Kryptopolitikken bør bidra til en sterkere vekst av norsk kryptoindustri og dermed norsk IKT-industri generelt. Norsk kryptoindustri er i dag liten, men har et stort utviklingspotensial både nasjonalt og internasjonalt, særlig når det gjelder utvikling av nisjeprodukter. Det er blitt påpekt at samspillet mellom staten og norsk kryptoindustri hittil har vært relativt passivt, med unntak av forsvaret og utenrikstjenesten, med det resultat at en tilfredsstillende utvikling av norske kryptoprodukter for det brede markedet er uteblitt. Det anbefales en fornyelse av samspillet mellom norsk kryptoindustri og staten for å stimulere fremveksten av en konkurransedyktig norsk kryptoindustri. Videre utvikling og andre utfordringer rvryptopolitikken bør skille mellom kryptobruk i forsvarssektor og i sivil sektor. Behovene for sikring av konfidensialitet i de to sektorene er ulike, og de operer under ulike rammebetingelser. Dette tilsier at praktisering av kryptopolitikken for den sivile sektor bør kunne ta andre hensyn enn praktisering av politikken for forsvarssektoren. Forsvaret har spesielle sikringsbehov knyttet til operative systemer. Politikken for disse griper inn i den sivile sektor der den er en del av totalforsvaret og ivaretar beredskapsfunksjoner, eller der det er behov for å ivareta rikets sikkerhet eller vitale nasjonale interesser. Selv om praktiseringen av politikkene kan være ulik, vil begge sektorene kunne benytte seg av massemarkedsprodukter innen krypto. Sikkerhetsloven trer i kraft sommeren Forskriftene til loven regulerer bruk av krypto for forsvaret og den sivile del av samfunnet som har behov for å sende informasjon gradert etter sikkerhetsloven eller beskytte objekter. Sikkerhetsloven stiller krav til sikkerhetsgodkjenning gjennom sertifisering av kryptosystemer. Den nye standard kryptoalgoritmen AES (Advanced Encryption Standard) vil bli godkjent for konfidensialitetssikring av informasjon gradert BEGRENSET. Med forventningen om at AES blir adoptert av kryptoindustrien internasjonalt, ligger det til rette for at kryptoutstyr for beskyttelse av BEGRENSET informasjon også kan ha sivile anvendelser, forutsatt at slike kryptoprodukter er konkurransedyktige på pris og funksjonalitet. 7

10 Det er et tiltagende behov for samordning av regulering av informasjonssikkerhet på det sivile området. Forvaltningslovens taushetsbestemmelser, bestemmelser om taushetsplikt i særlovgivningen, forskrifter til lov om personopplysninger, sikkerhetsforskrifter under andre tilsynsområder samt beskyttelsesinstruksen skaper rammebetingelser for en bedrifts- eller et forvaltningsorgans virksomhet. Det er derfor viktig å se disse regelverkene i sammenheng når praktiske krav til løsninger skal settes. Kryptopolitikken bør stimulere til at norsk kryptoindustri utvikler produkter basert på internasjonale standarder som AES, slik at de kan få bred anvendelse både i Forsvaret og i sivil sektor der det er formålstjenlig. Det er et mål at norske kryptoprodukter skal være konkurransedyktige internasjonalt. Staten bør påvirke etablering av godt sikringsnivå gjennom tilretteleggelse for bruk av blant annet sertifiserte kryptoprodukter på ulike sikkerhetsnivåer. Kryptopolitikken bør stimulere til håndhevelse av regelverk for informasjonssikkerhet på det sivile området på en samordnet måte. 3. Konsekvenser Gjennomføring av denne politikken vil kunne ha følgende konsekvenser: Økt behov for styrking av kompetansen vedrørende informasjonssikkerhet generelt og krypto spesielt i offentlige etater og i næringslivet. Skjerpet veiledningsplikt fra det offentlige overfor publikum med hensyn på rasjonell og hensiktsmessig bruk av krypteringsteknologi. Styrking av politimyndighetenes muligheter til bekjempelse av datakriminalitet eller bruk av IT i vanlig kriminahtet, bl. a. gjennom Politiets Datakrimsenter. Etablering av en nasjonal koordineringsfunksjon for informasjonssikkerhet i sivil sektor. Utvikling av en nasjonal informasjonssikkerhetsstrategi der bruk av krypteringsteknologi inngår, herunder utvikling av strategi for offentlig sektor. Bedre samordning mellom offentlig sektor og næringslivet når det gjelder påvirkning av reglene for eksportkontroll av krypto. Økt behov for styrking av FoU innen områder som berører kryptoteknologi. Økonomisk-administrative konsekvenser av politikken vil omfatte kostnader knyttet til gjennomføring i forvaltningen. Disse bør tas innenfor ordinære budsjettrammer. Videre vil det vare behov for midler til sentrale tiltak knyttet til tilrettelegging, veiledning og koordinering. 8

11 4. Implementering Gjennomføringen av politikken bør skje i regi av de relevante sektormyndigheter, med Nærings- og handelsdepartementet som det koordinerende organ. Det er særlig justissektoren, telesektoren, forsvarssektoren og offentlig administrasjon samt helsesektoren som vil være tyngst berørt. Også finanssektoren, med sin særlige betydning for elektronisk handel, vil være en viktig samarbeidspartner. Noen av tiltakene, særlig i forbindelse med bekjempelse av kriminalitet, vil kreve et samarbeid mellom flere sektorer, f. eks. justissektoren og telesektoren. For gjennomføring av politikken vil det være hensiktsmessig med å utarbeide egne handlingsplaner i de viktigste sektorene. Samtidig vil det være hensiktsmessig at Utenriksdepartementet videreutvikler et tett samarbeid om eksportkontroll med næringslivet. 9

12

13

14

15

16 Depotbiblioteket i innilin in i 02sd Utgitt av : Nærings- og handelsdepartementet Postboks 8014 Dep 0030 Oslo Flere eksemplarer kan bestilles fra Nærings- og handelsdepartementet Telefon; Telefaks: Dokumentet ligger på Publikasjonsnummer K-0647 B Print: Informasjonsforvaltning, Hurtigtrykk - 08/ daffe fy//

17