Vrøvlesvar fra Justitsministeriet om VPN og Tor

I et svar til Folketingets Retsudvalg fra Justitsministeriet bliver der rodet rundt i, hvorvidt det er muligt at foretage sessionslogning for en VPN-forbindelse.

It kan være kompliceret. Øjensynligt også for Rigspolitiet, der har leveret inputtet til et svar om logning af datatrafik (PDF) fra justitsminister Mette Frederiksen (S) på et spørgsmål til Folketingets Retsudvalg stillet af retsordfører for Venstre, Karsten Lauritzen.

Det har været heftigt diskuteret i hvor høj grad sessionslogning - altså hvor internetudbydere registrerer kilden og endepunktet for en internetkommunikation - er et brugbart værktøj set i forhold til de privacy-bekymringer, og det administrative bøvl set fra udbydernes side, logningen måtte afføde.

Sessionslogning har siden juni 2014 været ophævet, siden er det kommet på tale at genoplive sessionslogningen. Og i den forbindelse har en revidering af logningsreglerne været på tale, det arbejde har regeringen dog foreløbigt udskudt.

Læs også: Regeringen vil udskyde revision af omstridte logningsregler igen

»Vil ministeren oplyse, om det er korrekt, at man som bruger kan skjule sin internettrafik ved at anvende VPN-forbindelser eller ved brug af TOR-netværket, og at logningen derved ikke kan anvendes til at se brugerens internetadfærd?,« lød spørgsmålet fra Karsten Lauritsen.

Et kort, men korrekt svar på det spørgsmål ville være 'ja', hvilket internetaktivist og datalog Christian Panton har påpeget på Twitter, hvor næstformand for IT-Politisk Forening Jesper Lund har gjort opmærksom på svaret fra ministeriet.

I dette svar til @StemLAURITZEN har Justitsministeriet ikke helt forstået hvordan VPN virker ift #logning http://t.co/AZOLrdNJ6J #dkpol — Jesper Lund (@je5perl) March 18, 2015

Det er nemlig ikke bare et 'ja'. Justitsministeriet har for at besvare spørgsmålet indhentet en længere udtalelse fra Rigspolitiet. Af den fremgår det, at 'krypterings- og anonymiseringstjenester i betydelig grad vanskeliggør politiets muligheder for efterforskning, men langtfra i alle tilfælde umuliggør disse.'

Desuden skelnes der i svaret fra Rigspolitiet mellem, hvad det er muligt at logge i forhold til anonymiseringstjenesten Tor og så en VPN-forbindelse.

Som bekendt skjuler Tor-netværket afsenderen af en datapakkes ip-adresse, så det ikke er muligt at se for slutmodtageren, hvor data kommer fra.

Det betyder også, at selvom data bliver logget hos internetudbyderen med politimæssig efterforskning for øje, så er det ikke umiddelbart muligt efterfølgende at knytte en brugers ip-adresse til eksempelvis et besøg på en hjemmeside.

»Uagtet at logning finder sted, kan den således ikke anvendes efterforsknings-mæssigt, idet det ikke er brugerens reelle IP-adresse, der logges,« står der i svaret fra Rigspolitiet.

Læs også: Her er hvad vi ved om genoplivning af sessionslogning i Danmark

Desuden skriver Rigspolitiet, at VPN-forbindelser anvendes til at skjule indholdet af en konkret datakommunikation. Men selvom det ikke er muligt at se indholdet af de krypterede VPN-datapakker, så er det dog muligt at se, hvor pakkerne bliver sendt hen. Altså ikke som med Tor, hvor afsenderens ip-adresse ikke vil være synlig i eksempelvis en server-log.

»Logning af hvem, der kommunikerer med hvem, finder dog sted og kan anvendes efterforskningsmæssigt af politiet. Dette gælder også, hvis der anvendes en VPN-forbindelse,« skriver Rigspolitiet.

Netop denne del af svaret kalder Christian Panton for ‘Det centrale vrøvl fra svaret’.

Logning af en VPN-forbindelse vil nemlig blot vise, at trafikken går fra klienten til en VPN-server. Men ikke nødvendigvis hvor VPN-serveren så sender trafikken hen.

»Rigspolitiet må have misforstået noget. Det eneste internetudbyderne kan se, er at der er forbindelse til en VPN-server. Den videresendte trafik vil med al sandsynlighed ikke være omfattet af logningsreglerne, særligt hvis der anvendes en server i udlandet. Derfor kan man ikke se 'hvem, der kommunikerer med hvem' ud fra sessionslogning, når en VPN-server anvendes,« skriver Panton i en mail.

Heller ikke Jesper Lund fra it-politisk forening kan få det til at stemme. Til Version2 siger han:

»De giver indtryk af, at Tor gør noget andet end VPN i forhold til sessionslogning, og det er ikke korrekt. I begge tilfælde vil man kunne se internetaktivitet, hvilket ikke siger særligt meget. Men man vil ikke kunne se den reelle destination for internettrafikken.«

Version2 har forsøgt at få et svar fra Justitsministeriet på, hvorfor der står noget forkert i svaret til Retsudvalget. Ministeriets pressemedarbejder henviser til Rigspolitiet, der har leveret inputtet til svaret. Rigspolitiet har ikke svaret inden deadline.