image

Juridische vraag: mag je op je eigen computer een hash kraken?

woensdag 23 september 2015, 12:18 door Arnoud Engelfriet, 15 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Is het kraken/brute forcen op je eigen computer van een cryptografische hash (beveiligd wachtwoord) zoals MD5 of SHA-1 illegaal als je deze hash hebt gekopieerd van een systeem van iemand anders? De aanval op de hash voer je dus lokaal uit, alleen breek je daarmee wel een beveiliging van iemand anders.

Antwoord: Het inbreken in beveiligde computersystemen is strafbaar, en je breekt in als je een geraden of gekraakt wachtwoord gebruikt.

Het is ook strafbaar om voorbereidingshandelingen te verrichten. Een wachtwoord kraken is te zien als een voorbereidingshandeling - althans, als je intentie is dat je met dat wachtwoord vervolgens gaat inbreken.

Heb je geen intentie om iets strafbaars te gaan doen met dat wachtwoord, dan ben je dus niet bezig met een poging tot inbraak. Echter, het is niet zo simpel als gewoon zeggen "ik was niet van plan in te breken hoor (A)".

De rechter kijkt ook naar de omstandigheden: hoe kwam je aan die hash, waarom ging je dan die hash bruteforcen en wat is jouw relatie tot het bedrijf van wie je de hash hebt?

Uiteraard is de vraag of iemand er achter komt als je enkel een hash te pakken krijgt en gaat kraken om te kijken of het kan. Maar als je dat gaat doen, zorg dat je een uitleg hebt zodat duidelijk is dat je niet van plan was in te breken.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
23-09-2015, 13:03 door Anoniem
Dit is ook voor mij een relevante vraag geweest, dit omdat sinds ongeveer de Linked-in hack ik ook bezig ben geweest om te kijken met videokaart hoe alles werkt om de wachtwoorden te kraken, sindsdien ook een aantal andere (pastebin) lijsten erbij gepakt om gewoon beetje mee te stoeien.

Ik heb wel elke keer de wachtwoorden gescheiden van de rest van de data en eigenlijk alleen de lijsten met hashes bewaard, weet niet eens waar ze vandaan komen en ook niet bij welke hash/login combi deze horen.

Ik ga er dan ook vanuit dat ik op die manier zelf kan bevechten dat ik het alleen doe om meer wachtwoorden te vergaren, te kijken hoe snel het gaat en of het allemaal beetje wil lukken, for the phun.
23-09-2015, 14:15 door Anoniem
Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.
23-09-2015, 14:45 door Anoniem
Door Anoniem:Ik heb wel elke keer de wachtwoorden gescheiden van de rest van de data en eigenlijk alleen de lijsten met hashes bewaard, weet niet eens waar ze vandaan komen en ook niet bij welke hash/login combi deze horen.

Hierdoor maak je het in feite al zeer aannemelijk dat je de resultaten niet wilt gebruiken.

Peter
23-09-2015, 19:08 door Anoniem
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Reageer je alleen op de kop ?
Of heb je Arnoud's artikel niet gelezen - en meen je werkelijk dat onder alle omstandigheden, en ongeacht de afkomst van de hashes je pas nat gaat als je de resultaten gebruikt ?

Kun je die mening toelichten ? Niet wat jij vindt dat zou moeten zijn, maar waarom wetgeving omtrent voorbereidingshandelingen onder geen enkele omstandigheid van toepassing zijn op hashkraken op je thuiscomputer ?
24-09-2015, 07:08 door Anoniem
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Zei de eigenwijze "IT-Specialist" tegen de ICT-jurist.
24-09-2015, 09:43 door Anoniem
Dus proof-of-work is mogelijk ook strafbaar? :D
24-09-2015, 14:32 door SPlid
Door Anoniem:
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Reageer je alleen op de kop ?
Of heb je Arnoud's artikel niet gelezen - en meen je werkelijk dat onder alle omstandigheden, en ongeacht de afkomst van de hashes je pas nat gaat als je de resultaten gebruikt ?

Kun je die mening toelichten ? Niet wat jij vindt dat zou moeten zijn, maar waarom wetgeving omtrent voorbereidingshandelingen onder geen enkele omstandigheid van toepassing zijn op hashkraken op je thuiscomputer ?
Een ding is zeker , niemand kan weten dat de hash die ik "opgelost" heb daadwerkelijk bij een specifieke string hoort . Het enige wat je met zekerheid kunt zeggen is dat de gevonden string na een hashing een zelfde resultaat oplevert. Ergo een hash kan bij meerdere teksten horen .
Zie : "https://en.wikipedia.org/wiki/Collision_resistance"
24-09-2015, 15:53 door Anoniem
Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg... Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

De situatie ligt wel wat anders, wanneer je *voorafgaande* aan die berekening strafbare handelingen hebt gepleegd om aan die informatie te komen. Wat wel redelijk wat zegt over intentie en omstandigheden. In de vraag wordt immers al gesteld dat de vraagsteller de hash heeft gekopieerd (gestolen) van iemand anders. Dat je dan strafbaar bezig bent is verre van apart.

Zei de eigenwijze "IT-Specialist" tegen de ICT-jurist.

Tja, dat soort argumenten zullen bij een rechtbank erg weinig opleveren ;)
24-09-2015, 15:56 door Anoniem
Een ding is zeker , niemand kan weten dat de hash die ik "opgelost" heb daadwerkelijk bij een specifieke string hoort

Tuurlijk kan dat wel. Immers kan de handeling op video staan, er kunnen getuigenverklaringen zijn van mensen die jou die hash hebben zien "oplossen". Misschien leg je zelf onder druk wel een verklaring af als (aanvullend) bewijs. Er zijn tal van mogelijkheden op basis waarvan men dat wel zou kunnen ''weten'' in een strafdossier, waarover een rechter mag oordelen. Hangt net van de al dan niet aanwezige bewijslast af.
24-09-2015, 21:16 door Anoniem
Door SPlid:
Door Anoniem:
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Reageer je alleen op de kop ?
Of heb je Arnoud's artikel niet gelezen - en meen je werkelijk dat onder alle omstandigheden, en ongeacht de afkomst van de hashes je pas nat gaat als je de resultaten gebruikt ?

Kun je die mening toelichten ? Niet wat jij vindt dat zou moeten zijn, maar waarom wetgeving omtrent voorbereidingshandelingen onder geen enkele omstandigheid van toepassing zijn op hashkraken op je thuiscomputer ?
Een ding is zeker , niemand kan weten dat de hash die ik "opgelost" heb daadwerkelijk bij een specifieke string hoort . Het enige wat je met zekerheid kunt zeggen is dat de gevonden string na een hashing een zelfde resultaat oplevert. Ergo een hash kan bij meerdere teksten horen .
Zie : "https://en.wikipedia.org/wiki/Collision_resistance"

Ja en ? Het bestaan van collisions is een onvermijdelijk gevolg wanneer de invoer langer is dan de lengte van de hash .
('pigeonhole principle ' )
De taak van een goede hash is om het vinden ervan praktisch gezien onmogelijk te maken .

De originele password eigenaar kan ook niet bewijzen dat zijn password de 'echte' is en jouw collision een collision.
Het enige wat je achteraf zou concluderen is dat er een collision gevonden is.

Nu zijn crypto/password hashes bedoeld om het vinden van collisions 'praktisch onmogelijk' te maken - de kans dat je met een dictionary gebaseerde aanpak een _collision_ vind (dus een andere oplossing dan het password wat de eerste gebruiker koos) is wel heel erg klein - de dictionary search doorzoekt maar een relatief klein deel van de keyruimte vergeleken met wat nodig is om in de buurt van een collision te komen . (aangenomen dat de hash goed is,lang genoeg en de password aanroep ook goed is).

Als de password verwerking slecht is heb je in dat deel al veel collisions - bijvoorbeeld als de invoer voor hashing altijd omgezet wordt lowercase . Ook al kiest de gebruiker netjes een variatie hoofd en kleine letters, een zoektocht vind equivalente passwords die niet hetzelfde zijn - en niemand kan zeggen dat de een beter is dan ander.

Maar nog steeds staat het bestaan van collisions en het eventueel tegenkomen ervan bij een password crack los van de stelling van Arnoud dat het verrichten van voorbereidingshandelingen voor een inbraak (of ander misdrijf) ook strafbaar is .
De context en omstandigheden maken het verschil tussen wiskunde, security research en strafbare voorbereidingshandelingen.
28-09-2015, 16:54 door SPlid
Door Anoniem:
Door SPlid:
Door Anoniem:
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Reageer je alleen op de kop ?
Of heb je Arnoud's artikel niet gelezen - en meen je werkelijk dat onder alle omstandigheden, en ongeacht de afkomst van de hashes je pas nat gaat als je de resultaten gebruikt ?

Kun je die mening toelichten ? Niet wat jij vindt dat zou moeten zijn, maar waarom wetgeving omtrent voorbereidingshandelingen onder geen enkele omstandigheid van toepassing zijn op hashkraken op je thuiscomputer ?
Een ding is zeker , niemand kan weten dat de hash die ik "opgelost" heb daadwerkelijk bij een specifieke string hoort . Het enige wat je met zekerheid kunt zeggen is dat de gevonden string na een hashing een zelfde resultaat oplevert. Ergo een hash kan bij meerdere teksten horen .
Zie : "https://en.wikipedia.org/wiki/Collision_resistance"

Ja en ? Het bestaan van collisions is een onvermijdelijk gevolg wanneer de invoer langer is dan de lengte van de hash .
('pigeonhole principle ' )
De taak van een goede hash is om het vinden ervan praktisch gezien onmogelijk te maken .

De originele password eigenaar kan ook niet bewijzen dat zijn password de 'echte' is en jouw collision een collision.
Het enige wat je achteraf zou concluderen is dat er een collision gevonden is.

Nu zijn crypto/password hashes bedoeld om het vinden van collisions 'praktisch onmogelijk' te maken - de kans dat je met een dictionary gebaseerde aanpak een _collision_ vind (dus een andere oplossing dan het password wat de eerste gebruiker koos) is wel heel erg klein - de dictionary search doorzoekt maar een relatief klein deel van de keyruimte vergeleken met wat nodig is om in de buurt van een collision te komen . (aangenomen dat de hash goed is,lang genoeg en de password aanroep ook goed is).

Als de password verwerking slecht is heb je in dat deel al veel collisions - bijvoorbeeld als de invoer voor hashing altijd omgezet wordt lowercase . Ook al kiest de gebruiker netjes een variatie hoofd en kleine letters, een zoektocht vind equivalente passwords die niet hetzelfde zijn - en niemand kan zeggen dat de een beter is dan ander.

Maar nog steeds staat het bestaan van collisions en het eventueel tegenkomen ervan bij een password crack los van de stelling van Arnoud dat het verrichten van voorbereidingshandelingen voor een inbraak (of ander misdrijf) ook strafbaar is .
De context en omstandigheden maken het verschil tussen wiskunde, security research en strafbare voorbereidingshandelingen.

Wat je zegt klopt geheel, maar MD5 wordt nog veel gebruikt, deze wordt afgeraden omdat het algoritme makkelijk misbruikt kan worden om van verschillende plain-teksten de zelfde hash te genereren.

Natuurlijk is het duidelijk dat een string die via hashing wordt gegenereerd uit een groter document niet omgedraaid kan worden, maar dat is voor een collision ook niet noodzakelijk.


Ik probeerde hiermee aan te tonen dat het erg moeilijk zal zijn om aan te tonen dat iemand moedwillig een password genereerd aan de hand van een willekeurige string, dus dat de strafbaarheid niet zomaar kan worden vastgesteld, immers : Onschuldig totdat het tegendeel is bewezen.
28-09-2015, 17:41 door Anoniem
Door SPlid:
Door Anoniem:
Door SPlid:
Door Anoniem:
Door Anoniem: Dus wiskundige berekeningen uitvoeren is strafbaar? apart zeg...

Pas NADAT ik dit heb gedaan; en dit ga gebruiken om foute dingen te doen ben ik strafbaar. Voor die tijd doe ik alleen wat rekenwerk; en dat is NIET strafbaar.

Reageer je alleen op de kop ?
Of heb je Arnoud's artikel niet gelezen - en meen je werkelijk dat onder alle omstandigheden, en ongeacht de afkomst van de hashes je pas nat gaat als je de resultaten gebruikt ?

Kun je die mening toelichten ? Niet wat jij vindt dat zou moeten zijn, maar waarom wetgeving omtrent voorbereidingshandelingen onder geen enkele omstandigheid van toepassing zijn op hashkraken op je thuiscomputer ?
Een ding is zeker , niemand kan weten dat de hash die ik "opgelost" heb daadwerkelijk bij een specifieke string hoort . Het enige wat je met zekerheid kunt zeggen is dat de gevonden string na een hashing een zelfde resultaat oplevert. Ergo een hash kan bij meerdere teksten horen .
Zie : "https://en.wikipedia.org/wiki/Collision_resistance"

Ja en ? Het bestaan van collisions is een onvermijdelijk gevolg wanneer de invoer langer is dan de lengte van de hash .
('pigeonhole principle ' )
De taak van een goede hash is om het vinden ervan praktisch gezien onmogelijk te maken .

De originele password eigenaar kan ook niet bewijzen dat zijn password de 'echte' is en jouw collision een collision.
Het enige wat je achteraf zou concluderen is dat er een collision gevonden is.

Nu zijn crypto/password hashes bedoeld om het vinden van collisions 'praktisch onmogelijk' te maken - de kans dat je met een dictionary gebaseerde aanpak een _collision_ vind (dus een andere oplossing dan het password wat de eerste gebruiker koos) is wel heel erg klein - de dictionary search doorzoekt maar een relatief klein deel van de keyruimte vergeleken met wat nodig is om in de buurt van een collision te komen . (aangenomen dat de hash goed is,lang genoeg en de password aanroep ook goed is).

Als de password verwerking slecht is heb je in dat deel al veel collisions - bijvoorbeeld als de invoer voor hashing altijd omgezet wordt lowercase . Ook al kiest de gebruiker netjes een variatie hoofd en kleine letters, een zoektocht vind equivalente passwords die niet hetzelfde zijn - en niemand kan zeggen dat de een beter is dan ander.

Maar nog steeds staat het bestaan van collisions en het eventueel tegenkomen ervan bij een password crack los van de stelling van Arnoud dat het verrichten van voorbereidingshandelingen voor een inbraak (of ander misdrijf) ook strafbaar is .
De context en omstandigheden maken het verschil tussen wiskunde, security research en strafbare voorbereidingshandelingen.

Wat je zegt klopt geheel, maar MD5 wordt nog veel gebruikt, deze wordt afgeraden omdat het algoritme makkelijk misbruikt kan worden om van verschillende plain-teksten de zelfde hash te genereren.

Dat is voor passwords niet relevant, om een paar redenen.
Hoofdzakelijk is een een password hash cracken niet het vinden van een collision, maar het vinden van en 1st preimage.
De hash is gegeven, je zoekt de input of iets equivalents.

Het vinden van twee vrij te kiezen inputs met dezelfde hash output heet een collision , maar dat is niet wat je doet als je een gevonden set hashes probeert te kraken.

Verder worden password hashes gewoonlijk geitereerd, en is de input ruimte ook nog eens beperkt tot printable ascii .


Natuurlijk is het duidelijk dat een string die via hashing wordt gegenereerd uit een groter document niet omgedraaid kan worden, maar dat is voor een collision ook niet noodzakelijk.


Ik probeerde hiermee aan te tonen dat het erg moeilijk zal zijn om aan te tonen dat iemand moedwillig een password genereerd aan de hand van een willekeurige string, dus dat de strafbaarheid niet zomaar kan worden vastgesteld, immers : Onschuldig totdat het tegendeel is bewezen.

Dat slaat nu helemaal nergens op.
De onschuld presumptie is de default, en de aanklager moet het tegendeel wettig en overtuigend bewijzen - op moment dat hij een zaak voor de rechter brengt.
Maar wat heeft dat met , in dit opzicht, nogal theoretische hash collisions te maken ?

Als de aanklager een zaak wil bouwen op het verrichten van voorbereidingshandelingen voor een inbraak is dat wat hij moet bewijzen. Waarom denk je dat het eventueel vinden van bruikbare inlogcodes die iets anders zijn dan wat de eigenlijke gebruiker intikt je meer vrijpleit dan het vinden van dezelfde string die de eigenaar intikt ?
Nog los van de vraag hoe je zelf zou weten _dat_ je een collision gevonden hebt - feitelijk alleen als je in je zoektocht twee oplossingen vindt voor dezelfde hash . Zoals ik schreef, bij een erg slechte input processing zou dat kunnen, en weet je dat bijvoorbeeld
WELKOM, welkom, WeLKoM allemaal dezelfde password hash opleveren . So what , waarom denk je dat je op die basis jezelf beter kunt vrijpleiten dan wanneer er een enkele uitkomst is ?
Denk je dat alleen het gebruik van het originele password van iemands account een inbraak oplevert of zo iets ?
28-09-2015, 20:13 door Anoniem
Door Anoniem:
Door Anoniem:Ik heb wel elke keer de wachtwoorden gescheiden van de rest van de data en eigenlijk alleen de lijsten met hashes bewaard, weet niet eens waar ze vandaan komen en ook niet bij welke hash/login combi deze horen.

Hierdoor maak je het in feite al zeer aannemelijk dat je de resultaten niet wilt gebruiken.

Peter

Lijkt mij eigenlijk niet, je kan toch triviaal de dump er weer bij halen om weer terug te vinden welke hash bij welke username hoort.
29-09-2015, 14:44 door Rstandard
Door Anoniem: Nog los van de vraag hoe je zelf zou weten _dat_ je een collision gevonden hebt - feitelijk alleen als je in je zoektocht twee oplossingen vindt voor dezelfde hash .
Zoals ik schreef, bij een erg slechte input processing zou dat kunnen, en weet je dat bijvoorbeeld
WELKOM, welkom, WeLKoM allemaal dezelfde password hash opleveren . So what , waarom denk je dat je op die basis jezelf beter kunt vrijpleiten dan wanneer er een enkele uitkomst is ?
Denk je dat alleen het gebruik van het originele password van iemands account een inbraak oplevert of zo iets ?
Op zich klopt het wel allemaal wat je zegt.
Alleen is het gedeelte dat hierboven staat niet helemaal correct.
Dat is niet perse een collision en hoort ook niet zo benoemd te worden. Eerder (zoals je zelf al zegt) gewoon slecht geregeld.

Collisions in MD5 vinden is relatief makkelijk, http://www.mathstat.dal.ca/~selinger/md5collision/
Alleen gaat dat moeilijk tot onmogelijk worden om te bewijzen dat je daadwerkelijk een collision hebt gevonden i.p.v. simpelweg een dictionary tegen een hash hebt gegooid.
Daar komt nog Arnoud's uitleg bij van hoe je aan de hash bent gekomen e.d. Als het bijvoorbeeld een lek was in een populaire site, waarvan de database net op straat is gekomen, wordt uiteraard tig keer moeilijker om hier vrij van te komen.
30-09-2015, 22:21 door Anoniem
Door bbecko:
Door Anoniem: Nog los van de vraag hoe je zelf zou weten _dat_ je een collision gevonden hebt - feitelijk alleen als je in je zoektocht twee oplossingen vindt voor dezelfde hash .
Zoals ik schreef, bij een erg slechte input processing zou dat kunnen, en weet je dat bijvoorbeeld
WELKOM, welkom, WeLKoM allemaal dezelfde password hash opleveren . So what , waarom denk je dat je op die basis jezelf beter kunt vrijpleiten dan wanneer er een enkele uitkomst is ?
Denk je dat alleen het gebruik van het originele password van iemands account een inbraak oplevert of zo iets ?
Op zich klopt het wel allemaal wat je zegt.
Alleen is het gedeelte dat hierboven staat niet helemaal correct.
Dat is niet perse een collision en hoort ook niet zo benoemd te worden. Eerder (zoals je zelf al zegt) gewoon slecht geregeld.

Het is een collision in de _password functie_ - die typisch bestaat uit input verwerking, een hash functie, en manier van gebruik van de hash zoals die hash x keer itereren. De input verwerking kan bv een salt toevoegen, zal de lengte beperken tot een bepaald maximum, en de input limiteren - vaak tot printable ascii - , misschien te veel door alle casing plat te slaan.
Natuurlijk is het daarmee geen collision in de hash-component van het geheel .


Collisions in MD5 vinden is relatief makkelijk, http://www.mathstat.dal.ca/~selinger/md5collision/
Alleen gaat dat moeilijk tot onmogelijk worden om te bewijzen dat je daadwerkelijk een collision hebt gevonden i.p.v. simpelweg een dictionary tegen een hash hebt gegooid.

Je moet niet alleen linken, maar ook lezen.
_Nogmaals_ (Ook SPlid haalt dit door elkaar) : op basis van de uitkomst één of meerdere md5 inputs vinden is helemaal niet makkelijk.
Dat heet een first pre-image in de crypto literatuur, en daar is geen aanval op md5 voor bekend.
Als je dat zoekt, of vindt, noem je het ook geen collision .

De link over md5 collisions is NIET RELEVANT voor first pre-image attacks. Dat zijn het niet. Dat claimen de auteurs niet.

Is het hebben van vindbare collisions slecht genoeg om te standaardiseren op andere hashes - ja .
Betekent het dat ook first of second pre-image attacks mogelijk zijn - nee, dat volgt daar niet uit.

En _nog_ nog maals : Ook jij schrijft alsof het uit zou maken of je er 'simpelweg een dictionary tegen eeh hash [nee- password functie ] gegooid hebt ' ?
Leg eens uit waarom dat je , juridisch (want daar ging de discussie over) gezien, meer/makkelijker of extra schuldig zou maken ?


Daar komt nog Arnoud's uitleg bij van hoe je aan de hash bent gekomen e.d. Als het bijvoorbeeld een lek was in een populaire site, waarvan de database net op straat is gekomen, wordt uiteraard tig keer moeilijker om hier vrij van te komen.

Ik schreef (24-9 21:16)
"De context en omstandigheden maken het verschil tussen wiskunde, security research en strafbare voorbereidingshandelingen."

Nu stap ik op wat dunner ijs, want van de echt juridische zaken heb ik minder verstand dan van security of cryptografie.
Ik ga wat 'informed guessen' over dingen en context die zo'n verschil zouden zijn :

M.i. is de strafbaarstelling van voorbereidingshandelingen vooral een juridische kapstok om mensen die bijna maar net niet toekwamen aan het werkelijke misdrijf tenminste te kunnen veroordelen zonder dat slachtoffers schade ondervinden als ze het misdrijf door (laten) gaan (dat soort artikelen zijn er ook voor fysieke inbraak, moord en doodslag e.d. - ).
Oftewel - degenen die ruim op weg zijn naar een (computer) inbraak, daarbij in beeld zijn gekomen , en waarbij het hashkraken een deel(tje) is van wat ze doen en voorbereid hebben.
Ik stel me systemen voor vol met auto-inlog tools, verkenningen, misschien planning en afspraken met anderen waarbij de inbraak besproken wordt etc - bezig zijn een vers botnet te verkopen 'available soon' terwijl je hash kraker staat te stampen maar je nog niet ingelogd geweest bent.
Als je op dat moment gepakt wordt zijn strafbare voorbereidingshandelingen de kapstok waarop de aanklager je tenminste iets kan maken.

Als je (blijkbaar toch in beeld gekomen door het een of ander) bijvoorbeeld wilt claimen dat je bezig was met wiskunde, of met security research naar gemiddelde password kwaliteit verwacht je de voorbereidingen die _daar_ bij horen. Een (draft) paper, voorgaande publicaties, voorlopige reservering als spreker of postersessie op een conferentie - en de _af_ wezigheid van overige voorbereidingshandelingen die wel zouden wijzen op inbraak plannen.

Ik denk dat in die tweede context een aanklager waarschijnlijk al niet begint aan de zaak, en indien toch een ruime kans heeft te verliezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.