Bemærk: Jeg er modstander af sessionslogningen, men denne artikel er ikke tænkt som et partsindlæg. Det er en faktuel beskrivelse af de tekniske detaljer bag sessionslogning.
Siden vores justitsminister, Søren Pind, fortalte at han agter at genindføre den sessionslogning som blev nedlagt pga. (1) den var ulovlig, og (2) den var ubrugelig for politiet, er debatten eksploderet på de tekniske medier.
Jeg fornemmer en vis usikkerhed blandt nogle borgere om, hvad sessionslogning egentlig er for noget: Hvilke informationer er det helt præcist, som staten vil indhente om samtlige borgere?
Det vil jeg forsøge at forklare i denne artikel.
Hvad er en session?
Først skal vi lige have det basale på plads: Internettet er et pakke-koblet netværk. Det vil sige at al data på internettet består af pakker, og hver enkelt pakke kan tage forskellige ruter gennem internettet mellem sender og modtager.
En pakke består af de data som skal sendes, kaldet payload, og så nogle metadata om afsender, modtager, etc. Det kan sammenlignes med et brev, hvor selve brevet er payload og konvolutten er metadata.
Størrelsen af de enkelte pakker er begrænset, og derfor gælder det, at data mellem sender og modtager typisk vil bestå af et antal pakker. Hvis vi nu bliver i post analogien svarer det til hvis konvolutten maksimalt kan indeholde 10 A4 ark, og jeg vil sende information, svarende til 100 A4 ark, så vil denne information fylde 10 konvolutter. Disse konvolutter putter vi en kasse og sender den til modtageren.
Denne kasse svarer til en session ovre i internetverdenen og det er disse sessioner, staten ønsker at ISP’erne registrerer for alle internetbrugere.
Mere præcist, så skal ISP’erne registrere følgende metadata for samtlige sessioner der går gennem borgernes internetforbindelser:
- Tidspunkt for sessionens start
- Tidspunkt for sessionens afslutning
- Afsenderens IP adresse
- Modtagerens IP adresse
- Afsenderens port
- Modtagerens port
- Det totale antal af bytes i sessionen
Lad os tage et praktisk eksempel, og kigge på metadata for en tilfældig session fra min computer:
<fileobject> <filename>159.020.006.022.00443-192.168.001.010.63833</filename> <filesize>72176</filesize> <tcpflow startime='2016-03-05T12:12:29.570548Z' endtime='2016-03-05T12:12:51.653103Z' src_ipn='159.20.6.22' dst_ipn='192.168.1.10' packets='60' srcport='443' dstport='63833' family='2' /> </fileobject>
Så hvad kan vi se her? Vi kan se at den 5/3/2016 kl 12:12:29 og 22 sekunder frem, blev der sendt 72176 bytes til min computer, fra Danmarks Radio, og vi kan se at der er tale om data via HTTPS protokollen (jeg multitaskede, og så et program på DR samtidig med at jeg skrev denne artikel).
Hvor mange sessioner er der så tale om?
Det afhænger selvfølgelig af den enkelte bruger, men et bud er at en gennemsnitlig bruger genererer omkring 20.000 sessioner dagligt. For mit eget vedkommende er tallet ca. 35.000 sessioner, men jeg har nok lidt flere internetforbundne dimser end gennemsnittet.
Der er 2.654.585 husstande i Danmark (dst, 2016) så totalt set vil der for alle husstande skulle registreres metadata for 53 milliarder sessioner i døgnet, svarende til 19 billioner sessioner per år!
Hertil skal lægges mobil bredbånds abonnementer, så vi ender på nogle ganske store tal.
Hvor meget fylder de metadata?
I hele træskolængder, bare et skud fra hoften, baseret på hvor meget de forskellige metadata fylder, estimerer jeg at data for en enkelt gennemsnitlig borger vil fylde mellem 1 og 2 Mbyte per dag.
Det betyder for en ISP af Fullrates størrelse at vi skal for vores bredbåndskunder opbevare mellem 50 og 100 Terabytes sessionslog per år det skal gemmes.
For Danmark er tallene mellem 1000 og 2000 Terabytes om året.
Ovenstående betragtninger gælder ukomprimerede data, men til gengæld uden hensyntagen til om der skal være redundans af lager.
Hvad nu hvis jeg mener at det ikke rager staten hvad jeg laver på internettet?
Er det svært at undgå sessionslogningen? Slet ikke! Det er særdeles nemt. Du kan tage en tur på biblioteket eller et af de mange andre steder som er undtaget sessionslogning. Skulle det være dårligt vejr, så klarer vi den hjemme fra sofaen og det kræver blot at du installerer en TOR browser.
Se en youtube video, hvor jeg demonstrerer sessionslogning og effekten af at bruge TOR.