Juridische vraag: Moet je de politie je encryptiesleutel geven?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
De vraag: Ik vroeg me af hoe het zit met versleutelde bestanden of containers wanneer je verdachte bent. Mag de politie eisen dat je die ontsleutelt en wat gebeurt er als je niet meewerkt?
Antwoord: Als iemand verdacht wordt van een misdrijf, zoals het bezitten van kinderporno of het plegen van belastingfraude, dan heeft de politie de mogelijkheid om diens woning te doorzoeken en alles mee te nemen dat relevant kan zijn voor het onderzoek. Laptops, externe harde schijven en andere opslagmedia worden eigenlijk vrijwel altijd meegenomen bij zo'n doorzoeking. Ook de DVD-filmcollectie: er zijn genoeg slimmeriken die hun data-DVD's in een hoesje van Taxi 2 of Lethal Weapon 4 bewaren.
Voor zo'n doorzoeking van een woning is wel een machtiging van de rechter-commissaris vereist (art. 97 Wetboek van Strafvordering, Sv). Bij kantoren en andere meer openbare plekken kan elke officier van justitie besluiten dat hij een kijkje wil gaan nemen (art. 150 Sv). Maar goed, dan vindt men versleutelde harde schijven, containers of bestanden. En dan?
Als er beveiligde of versleutelde computers, netwerken of bestanden worden aangetroffen, kan de politie het bevel geven om dit te ontsleutelen of toegang te geven tot hetgeen achter de beveiliging zit. Dat geldt zowel voor fysieke als voor softwarematige beveiligingen. Dat staat in artikel 125k Sv. Maar in lid 3 van datzelfde artikel staat dat zo'n bevel niet mag worden gegeven aan de verdachte. Dit omdat niemand kan worden gedwongen mee te werken aan zijn eigen veroordeling.
Brute-forcen
Wel mag de politie zelf proberen het wachtwoord te raden of op een andere manier om de beveiliging of versleuteling heen te komen. Brute forcen is legaal, net als het bekijken van je onversleutelde backups (ja, dat komt voor). En als je ergens gele briefjes met daarop het wachtwoord laat rondslingeren, mag men die natuurlijk in beslag nemen en uitproberen.
Het is ook mogelijk dat men in het kader van opsporing verborgen camera's of keyloggers installeert. Daarmee ben je dan te volgen als je het wachtwoord intypt. Dit is wel een heel zwaar middel omdat het stelselmatig filmen van iemand in diens huis een grove inbreuk op de privacy is, dus dit mag alleen bij zware misdrijven ("die een ernstige inbreuk op de rechtsorde opleveren", art. 126l Sv).
Je kunt dus als verdachte niet worden gedwongen om je bestanden of containers te ontsleutelen. Wel kan men proberen je over te halen, bijvoorbeeld met het argument dat je daarmee je goede wil toont en dat de rechter dat mee zal laten wegen in de strafmaat. Het is niet in het algemeen te zeggen of zulke argumenten opgaan. Mocht je ooit in die situatie zitten, overleg dan altijd met je advocaat voordat je ook maar enige verklaring aflegt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl
als men niets vind, plaats men het wel zelf.....
Meer algemeen en niet paswoord gerelateerd:
Als keyloggers mogen, is dat hetzelfde als afluisteren? Het is geen telefoontap, maar het afluisteren van iets dat niet eens communicatie is: het kan gewoon nadenken zijn..... Iets waarvoor je normaal wel heel erg luid in jezelf moet praten.
Is dat niet in strijd met vrijheid van gedachten??
Wat erger is: als ik het gekeylogde delete en mijn juistere gedachten vervolgens ergens anders opschrijf...
Verder neem ik aan dat deze vraag n.a.v. het TV programma "Undercover in Nederland" is ? Daar had de politie wel een aardig standpunt, het wachten tot de encryptie wel gekraakt kan worden en dan alsnog tot vervolging overgaan. In de IT kan dat snel gaan b.v. 1 of 2 jaar.
Er zijn natuurlijk methodes die niet helpen als je de ge-encrypte bestanden eerst splitst in 1 tot x deelbestanden, die ieder versleutelt worden en dan gehost op div HDD's bij evenzoveel hosts (kunnen ook particulieren zijn).
Wuala is zo'n systeem, jammer genoeg alleen voor de M$ piepeltjes, Tux komt nog wel.
Daarnaast zal het vinden van de fysieke opslag steeds lastiger worden, ik zag een micro sd kaartje van wat is het, 6 x 15 mm ? Met een opslag capaciteit van 4GB ! Binnenkort 8, 16 etc.
Natuurlijk moet het zo blijven dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling, al was het maar om martelen te verkomen.
1) Niet alleen de politie maar ook de douane wil soms weten wat er op je computer staat. Mogen die je laptop in beslag nemen als je je password niet geeft?
2) als de politie op zoek is naar kinderporno, maar dat niet vindt, maar bij de huiszoeking wel stuit op een aantal cd's gekraakte software - kun je daar dan op veroordeeld worden?
In a ruling issued last month, US District Judge William Sessions in Vermont ruled criminal defendant Sebastien Boucher does not have a constitutional right to keep the files encrypted. The ruling reversed an earlier decision by a federal magistrate that said forcing Boucher to enter his password into his laptop would violate his Fifth-Amendment rights against self incrimination. Boucher's attorney is appealing Sessions's ruling, according to CNET News, which reported the story earlier.
The tiiiimes they are a'changiiiing!
Dat is correct.
Met 2 jaar brute forcen daarentegen zou je best een eind kunnen komen. Je weet dat de entropie beperkt is: letters, cijfers en die tien rare tekens op het toetsenbord. Heel lang zal de zin niet zijn.
Hier staat zelfs dat als men een vermoeden heeft dat bijvoorbeeld je beste vriend je wachtwoord weet, dat men deze voor 6 maanden kan opsluiten als deze niet je wachtwoord ophoest.
Kun jij hier meer duidelijkeheid over geven? Bij voorbaat dank.
Symb
Zou het toch kunnen, gaat de NSA heus niet hun kennis delen voor een of andere viezerik, die schunnige plaatjes en filmpjes op zijn rukbox heeft staan. Maar nogmaals, ze kunnen het niet, nooit niet en daarom gebruiken ze het zelf ook. 8 tekens (a-z, A-Z, 0-9) geeft al ca. 218 biljoen (1.000.000.000.000) combinaties. Zou je 10 miljoen sleutels per seconde kunnen testen, ben je 250 dagen bezig ze allemaal te testen. De kans bestaat echter dat de sleutel eerder wordt gevonden dan het einde bereikt zal worden. Soms is het eerder, soms later maar gemiddeld kun je dus stellen dat men op de helft de sleutel gevonden heeft. Dus na ca. 4 maanden is de sleutel waarschijnlijk wel gevonden. Zou je ook {}!@#$%^&*() etc. gebruiken wordt dat gemiddeld 7.500 jaar!!!
Je moet in het laatste geval dus minimaal 50 miljard sleutels per sec. kunnen testen om binnen een aantal jaar de data te ontcijferen. En dat is momenteel, technisch en financieel een onmogelijke opgave, zelfs voor het met miljarden dollars gesponsorde NSA.
http://wetten.overheid.nl/cgi-bin/deeplink/law1/title=Wet%20op%20de%20inlichtingen-%20en%20veiligheidsdiensten%202002/article=24
Weigeren is vervolgens strafbaar (WIV art 89) max 2 jaar gevangenisstraf. De weigeraar is dan ineens wel verdachte (strafrechtelijk gezien). Interessante paradox?
Maurice Wessling
Sowieso is dit nog een reden om "geen" wachtwoorden van andere mensen te willen weten.
En, heel praktisch: als de AIVD je op de korrel heeft, zit er waarschijnlijk iets in die encrypted container waarvoor je langer de cel in gaat dan voor het weigeren je wachtwoord af te geven.
Stel, ik heb een bestand op mijn PC met de naam FILE0000.CHK die bestaat uit een aaneenschakeling van ogenschijnlijk onbegrijpelijke bytes. Ik houd stug vol dat ik niet weet wat het is. Een beetje specialist zal zeggen dat dergelijke files kunnen onstaan als CHKDSK heeft geprobeert om een corrupt bestand te redden. Het is dus aannemelijk dat ik niet weet wat het is.
In dat geval kan ik, verdachte of niet, ontkennen dat het een encryptie container is.
Het wetboek zegt:
"Het eerste lid is van overeenkomstige toepassing indien in geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van wijze van versleuteling van deze gegevens."
In dit geval zou ik ontkennen dat er sprake is van versleutelde gegevens.
Zolang ik dat volhoud kan men toch niet redelijkerwijs vermoeden dat ik kennis heb van een versleuteling totdat men bewijs geleverd heeft dat er überhaupt sprake is van versleuteling. Of zit daar nog een addertje onder het gras?
En, heel praktisch: als de AIVD je op de korrel heeft, zit er waarschijnlijk iets in die encrypted container waarvoor je langer de cel in gaat dan voor het weigeren je wachtwoord af te geven.
Gelukkig hebben onze inlichtingendiensten geen opsporingsbevoegdheid. Je zou er toch niet aan moeten denken dat je in een strafrechtelijk onderzoek door de AIVD of MIVD wordt gedwongen je encryptiesleutel af te staan op straffe van maximaal 2 jaar gevangenis. Het zou best wel kunnen leiden tot een uitspraak als onrechtmatig verkregen bewijsmateriaal.
http://en.wikisource.org/wiki/European_Convention_for_the_Protection_of_Human_Rights_and_Fundamental_Freedoms#Article_3_.E2.80.93_Prohibition_of_torture.C2.B9
Article 3 – Prohibition of torture¹
No one shall be subjected to torture or to inhuman or degrading treatment or punishment.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.