Jesper Lund skrev:
> Bjarne wrote:
>
>> Kan nogen hjælpe lidt med forståelsen af bekendtgørelsen?
>
> Jeg skal gerne prøve, da jeg selv af personlig interesse har gravet lidt
> i sagen.
>
> Først et par links til hhv. logningsbekendtgørelsen og en nogenlunde
> letlæselig vejleding som er udarbejdet til bekendtgørelsen.
>
> Bekendtgørelse
>
http://147.29.40.91/DELFIN/HTML/B2006/0098805.htm
>
> Vejledning
>
http://147.29.40.91/DELFIN/HTML/C2006/0007460.htm
>
>> 1)
>> Gælder logningsbekendtgørelsen kun for udbyderen af en
>> internetforbindelse, f.eks. ADSL, eller gælder den også for dem,
>> der udbyder tjenester med egen server med http, ftp osv
>> tilsluttet internettet?
>
> Du kunne også have spurgt: hvem er omfattet? Her er det bedst, synes
> jeg, at læse afsnit 1.4 i vejledningen.
>
> Citat: "Hovedkravet er altså, at der udbydes elektroniske
> kommunikationsnet eller -tjenester på kommercielt grundlag til
> slutbrugere."
>
> Et par eksempler, dels fra vejledningen, dels min egen fortolkning (hvad
> der er hvad skulle gerne fremgå).
>
> a) Din internetudbyder er selvfølgelig omfattet.
Ja, klart.
Så helt grundlæggende vil det altid blive registreret, hvem man i første
omgang kommunikerer med.
>
> b) Et bibliotek eller et universitet er ikke omfattet pga det manglende
> kommercielle grundlag. Hvis du surfer på nettet på dit arbejde, er det
> heller ikke omfattet (din arbejdsgiver sælger ikke kommunikationsydelser
> til dig som "slutbruger" - det må være sådan at det manglende
> kommercielle grundlag skal forstås; arbejdsgiveren vil formentlig gerne
> tjene penge...).
Nej, men arbejdsgiveren vil formentlig blive betragtet som slutbruger.
>
> c) Tjenester som Hotmail (webmail), MSN (instant messaging) og VoIP uden
> forbindelse til PSTN nævnes direkte som værende ikke-omfattet, da de
> ikke udbyder elektroniske kommunikationsnet eller -tjenester. Jeg ved
> ikke helt hvorfor vejledningen absolut skal nævne tjenester som Hotmail
> og MSN, der drives i udlandet, og derfor af andre årsager umuligt kan
> være omfattet af en dansk logningsbekendtgørelse. Jeg vil ANTAGE at et
> dansk web- eller mailhotel heller ikke er omfattet. Det står ikke
> direkte i vejledningen, men jeg vil mene at det må følge som
> analogislutning af hotmail-eksemplet. Webhoteller nævnes dog direkte på
> side 18 i denne tekst
>
http://www.ft.dk/samling/20051/Lovforslag/L217/Bilag/4/264270.PDF
> som værende udenfor logningskravet.
Det er ganske interessant, hvis det er tilfældet, for i så fald vil det
være nemt at undgå logning af sin indgående post ved at benytte en anden
mailserver end sin internetudbyders.
>
> d) Mindre bolignet (under 100 lejligheder) er ikke omfattet.
>
> e) Hvis en cafe tilbyder free WiFi til deres gæster, vil jeg tro at de
> er omfattet, da de udbyder en kommunikationstjeneste på et kommercielt
> grundlag (prisen er indregnet i mad og drikkevarer).
>
> f) Hvis du åbner dit WiFi for dine naboer fordi du tror på fri
> information (eller bare vil have "plausible deniability" for din
> eventuelle fildeling), kan der næppe foreligge et kommercielt grundlag i
> bekendtgørelsens forstand. Bemærk: det er min fortolkning uden nogle
> garantier for at PET ikke en dag står i din stue med et SWAT team
Men hvis det sker via en alm. ADSL, vil hele trafikken blive logget som
din egen.
>
>> 2)
>> Er det korrekt, at indholdet/headeren af emails ikke logges, men
>> alene oplysninger om afsender og modtager, tidspunkt m.v.?
>
> Ja, der sker ingen "deep packet inspection" efter
> logningsbekendtgørelsen.
> §5 i logningsbekendtgørelsen siger at følgende skal logges:
> a) Afsenderens IP
> b) Modtagerens IP
> c) Transportprotokol, f.eks. TCP
> d) Afsenderens portnummer
> e) Modtagerens portnummer
> f) Start og sluttidspunkt
>
> Enten skal udbyderen logge første og sidste pakke i en "session" (der
> ikke defineres nærmere i vejledningen!), eller også skal man statistisk
> logge hver 500. pakke (sampling).
>
> Der skal kun logges pakker, som forlader udbyderens eget net. Hvis to
> TDC kunder kommunikerer direkte, altså peer-to-peer, forlader trafikken
> ikke TDCs net, og der skal ikke logges noget.
>
> Hvis der afsendes eller modtages emails, skal følgende registreres jf.
> §6, også selv om det er mellem to kunder i udbyderens eget net.
> a) Afsenderens email adresse
> b) Modtagerens email adresse
>
> Bemærk at registreringen af email adresser kun gælder, hvis du benytter
> en email tjeneste fra en udbyder, som er omfattet af
> logningsbekendtgørelsen (selvsagt), dvs. den mail tjeneste som din
> internetudbyder tilbyder. Hvis du sender emails via din internetudbyders
> SMTP server, bliver emailadresserne logget, også selvom din mailkonto er
> "ude i byen" hos en anden udbyder (webhotel, hotmail, eller whatever).
>
> Hvis man bruger mailservere (POP3/IMAP til modtagelse, SMTP til
> afsendelse), som ikke drives af din internetudbyder men en ekstern
> service, bliver email adresserne ikke registreret. Det registeres
> naturligvis at du har kommunikation med den pågældende IP adresser
> (servere).
Det lyder som om der er potentiale for langt mere udbredt brug af
eksterne mailservere, med mindre folk er ligeglade med bigbrother.
>
> Grundlæggende kan man vel sige at det registreres "hvem" du har
> kommunikeret med, i det omfang man kan associere IP adressen i den anden
> ende med en person, men ikke "hvad" du har kommunikeret, bortset fra de
> slutninger som man kan drage ud fra portnummeret (port 110 betyder nok
> at du pop'er fra en mailserver, men anden trafik kan godt køre på 110;
> visse fildelingsprogrammer er f.eks. meget kreative i deres valg af
> portnummer for at omgå ISPer som vil begrænse p2p trafik). Her er
> vejledningen nok lidt naiv mht. hvad der i praksis kan uddrages af et
> portnummer.
>
> Den største (mest indgribende) logning er nok af emailadresser, hvis du
> altså benytter din internetudbyders mail services.
Ja
>
> Hvis du besøger en webside, er det kun IP adressen som registreres, ikke
> domænenavnet. Da mange mindre sites kører med shared hosting, kan du
> ikke nødvendigvis bare lave en reserve DNS lookup, og serveren kunne
> være flyttet til en anden IP i mellemtiden (bare en tanke,
>
www.ungdomshuset.dk kunne i teorien ligge på samme server som
www.vu.dk;
> jeg har dog ikke checket).
Det er ikke tilfældet, men Frederiksberg Svømmehals hjemmeside skal man
nok holde sig fra, for ikke at falde i vandet og registreres som
tilhænger af Ungdomshuset.
>
>> 3)
>> Hvor meget vil der blive logget i henhold til bekendtgørelsen,
>> hvis danskere vælger at benytte udenlandske mailservere?
>
> Der logges at du har trafik med de pågældende servere (IP adresser),
> ligesom portnummeret og tidspunktet logges.
>
> Hvis du benytter webmail logges de sædvanlige portnummere (80 for HTTP,
> 443 for HTTPS). Tilsvarende er der nogle portnumre som er normale for
> POP3 (110) og SMTP (25).
>
> Der er ikke noget i vejen for at serveren kan bruge nogle andre
> portnumre. Jeg sender f.eks. emails gennem en udenlandsk SMTP server,
> hvor jeg connecter på port 26. Det er dog primært fordi TDC blokerer
> port 25 udgående hos mig (for at begrænse spam).
Det lyder fornuftigt. Hvor finder man en pålidelig udenlandsk
SMTP-server, som ikke er blacklisted?
>
> Hvis du connecter til din mailserver gennem en proxy, bliver der
> registreret kommunikation til og fra den proxy (som kan være krypteret,
> hvilket sådan set ikke gør nogen forskel, da pakkerne ikke inspiceres).
> Hvis du bruger TOR, bliver der registreret trafik med tilfældige TOR
> nodes. PET kan godt se om en given IP adresse er en TOR node (Hvis de
> kan bruge det til noget? En sådan eventuel registrering af TOR nodes hos
> PET har dog ikke noget med logningsbekendtgørelsen at gøre).
>
> Som nævnt ovenfor behøver det *ikke* at være en mailserver i udlandet
> (den kan under ingen omstændigheder være omfattet af dansk logning, men
> "kun" logningsregler i det pågældende land, som snildt kan være
> strengere end de danske; jeg ville f.eks. holde mig langt væk fra
> Tyskland). Et dansk webhotel er heller ikke omfattet, så vidt jeg kan
> vurdere.
Nej, det er bestemt en mulighed, hvis det er rigtigt.
>
> Et lille OT rant: hvad den udenlandske mailserver logger er en helt
> anden sag, og det har selvfølgelig intet med logningsbekendtgørelsen at
> gøre. Af en eller anden grund fremhæver aviserne altid Gmail, hvis man
> skal emaile "uden at det logges". Her vil jeg dog personligt vælge noget
> andet, f.eks.
www.lavabit.com, da Google generelt har nogle helt
> uacceptable "data retention" policies, efter min mening (men "desværre"
> den bedste søgemaskine...). Det er en fornøjelse at læse Lavabit's
> privacy policy; det samme kan man ikke sige om nogen Google tjeneste.
Absolut.
Det er uhyggeligt, hvad Gurgels databaser ved om os alle.
>
>> 4)
>> Vil man være omfattet af logningsforpligtelse, hvis man bruger
>> egne mailservere til afsendelse/modtagelse af mail?
>
> Hvis du mener at du selv vil køre en mailserver hjemme, så er svaret nej
> (at være omfattet af bekendtgørelsen er i øvrigt ikke bare et spørgsmål
> om at en masse ting skal logges; det er også et spørgsmål om at der hos
> udbyderen skal være personer, som PET kan få fat på 24/7, og som er
> sikkerhedsgodkendt af PET, hvilket skulle være en temmelig omfattende
> undersøgelse af de pågældende personers privatliv).
Ja.
Jeg har forøvrigt undret mig, hvilke juridiske kriterier en sådan
undersøgelse foregår ud fra.
>
> Du skal selvfølgelig være opmærksom på at hvis dine udgående mails
> routes gennem din udbyders SMTP server (hvilket kan være mere eller
> mindre nødvendigt i disse spam tider), bliver TO/FROM adresserne logget
> efter bekendtgørelsen i den forbindelse.
Netop derfor er mulighederne for en alternativ SMTP-server interessante.
>
> NB: korrektioner til ovenstående modtager gerne!! Det skal understreges
> at jeg ikke er jurist, og jeg synes generelt ikke at det er særligt nemt
> at få afklares hvad der logges.
>
Nej, det kunne være fint at få afklaret.
Bjarne