Kinderporno- of terrorisme-verdachten kunnen in Nederland straks gedwongen worden om mee te werken bij het ontsleutelen van bestanden op systemen, las ik bij Tweakers. De minister wil een wetsvoorstel indienen waarmee er celstraf moet komen te staan op het weigeren zo’n bevel op te volgen. En dat roept dan meteen de vraag op: hoe past dit binnen het principe dat je niet mee hoeft te werken aan je eigen veroordeling?
Het “nemo tenetur”-beginsel uit het strafrecht bepaalt dat niemand kan worden gedwongen om tegen zichzelf te getuigen of een bekentenis af te leggen. Mede hierom krijg je als verdachte de “cautie”, een waarschuwing dat je niet verplicht bent te beantwoorden. En ook hierom staat in de huidige strafvorderingswet dat je als verdachte niet kan worden bevolen om dingen te ontsleutelen.
Wel moet je natuurlijk als verdachte tolereren dat de politie dan zélf gaat snuffelen en zoeken naar dingen. Weiger je de kluis met daarin het bewijs te openen, dan mag men een slotenmaker met thermische lans inschakelen. Het probleem met digitale kluizen (encryptie) is dat er geen thermische lans is. Openmaken is onmogelijk als iemand een béétje z’n best doet met het wachtwoord. Vandaar het idee, nou dán moeten we hem toch kunnen dwingen?
Bert-Jaap Koops deed onderzoek naar de reikwijdte van het nemo-teneturbeginsel. Hij noemt vier factoren die door het Hof van Justitie worden meegenomen in de bepaling of sprake is van een toegestane inbreuk:
- de aard en mate van dwang;
- het gewicht van het publiek belang;
- de aanwezigheid van relevante waarborgen in de procedure;
- de manier waarop het afgedwongen materiaal wordt gebruikt.
In het Verenigd Koninkrijk en Frankrijk zijn regelingen ingevoerd waarbij het inderdaad strafbaar is om niet mee te werken aan decryptie als verdachte. In theorie voldoen die regelingen, want zoals de bovenstaande factoren laten zien zitten er allerlei belangenafwegingen in. Als je daaraan voldoet, dan is geen sprake van een ongerechtvaardigde inbreuk op het rechtsbeginsel.
Algemeen aanvaard is dat het zwijgen van de verdachte kan worden gebruikt in de waardering van ander bewijs. In een rechtszaak over kinderporno werd het zwijgen van de verdachte gebruikt als bewijs van zijn intenties met het binnenhalen daarvan (dat is relevant voor de vraag of het per ongeluk dan wel opzettelijk gebeurde). Je zou een decryptieplicht binnen die regel kunnen positioneren, en dan zeg je dus: u mág zwijgen over uw sleutel maar de rechter kan dat dan de doorslag laten geven als er twijfel is.
Je kunt ook nóg verder gaan en gewoon expliciet een paar jaar celstraf zetten op het weigeren gegevens te ontsleutelen. Of, ietsiepietsie subtieler, bepalen dat als je toch al veroordeeld wordt je extra straf krijgt voor het niet ontsleutelen. In die laatste situatie kun je nog steeds gewoon vrijuit gaan als er geen bewijs is, maar is er verder genoeg bewijs dan ga je dus nog langer de bak in.
Oké, allemaal juridisch vast wel ergens in te bouwen. Maar heeft het zín? Het lijkt me vandaag de dag nóg makkelijker dan begin jaren nul (toen deze discussie ook speelde) om onkraakbare of zelfs ondetecteerbare encryptie in te zetten. Daar staat tegenover dat menig crimineel gewoon dom is en dus niet weet hoe dat moet. Daarmee zou het middel toch in de praktijk inzetbaar kunnen zijn. Maar goed, zelfs een domme crimineel kan nog bedenken dat “ik ben het wachtwoord vergeten, sorry” een prima verweer is. En dan?
En wat Bits of Freedom zegt: het is een schijnoplossing. Er zijn maar zó weinig zaken waarbij dit het cruciale probleem is.
Arnoud
Maar er zijn toch wel “offline” mogelijkheden te bedenken die vergelijkbaar zijn? Wat gebeurt er in die gevallen?
Stel ik heb een kluis waar ik met explosieven of zuur een truc heb ingebouwd, waardoor de inhoudt vernietigd wordt als geprobeerd wordt om mijn kluis te kraken (in De Da Vinci Code zit een dergelijk apparaat).
Of iets minder vergezocht: ik heb een moord gepleegd en weiger te vertellen waar ik het lijk begraven heb, omdat ik dan de zaak natuurlijk praktisch rond maak.
Wat kan de politie dan tegen me uitrichten in deze gevallen? Kunnen ze me tot iets dwingen zoals dat met encryptie voorgesteld wordt?
In principe is het niet strafbaar om bewijs weg te maken als verdachte. Natuurlijk wél om politieagenten aan te vallen of schade te berokkenen. Dus een explosief onder je kluis dat afgaat bij onbevoegd openen zal tot extra aanklachten leiden. Maar alleen maar de inhoud vernietigen is voor zover ik weet niet strafbaar.
Ik betwijfel of het veel gebeurt, zo’n ding met zuur lijkt me nogal lastig te construeren en wat als ie per ongeluk afgaat?
In de context van ICT zie je dat de politie zelf over meer middelen beschikt om bewijs veilig te stellen. Zo kunnen ze computers meenemen zonder dat de stroom eraf hoeft. Men prikt dan een speciale accu op de stroomvoorziening, waarna deze uit het stopcontact kan zonder dat de PC uitschakelt. Zo voorkom je dat bv. diskencryptieprogramma’s het wachtwoord vergeten. Ook zijn er technieken om de inhoud van het werkgeheugen te dumpen, en dan kun je daarin bv. de sleutel gaan zoeken.
De politie kan je niet dwingen te zeggen waar het lijk ligt, ook niet als de zaak al rond is (bv. de moord zelf is gefilmd door een getuige en je hebt bekend). Wel kan de rechter deze weigering mee laten wegen in de strafmaat, hij mag het opvatten als het niet-tonen van berouw en daaruit concluderen dat je extra straf nodig hebt. En dat kan de rechter je vooraf melden. Is dat dwingen, “zeg me waar het lijk ligt of u krijgt 5 jaar extra”?
En toch kunnen criminelen altijd een stap voor zijn op die ICT methoden van de politie. Dat de PC aan de stroom kan blijven hangen is leuk, maar als je echt met ernstige feiten bezig bent, waarom hang je dan niet ook een GPS tracker aan je PC die alle data encrypt zodra je buiten je huis komt? Of schrijf je een script die alles locked als je niet exact dezelfde randapparatuur weer aansluit? Of als je telefoon zich buiten je wifi netwerk bevindt en je dus niet thuis bent? Of een combinatie van deze dingen?
Ik vind zonder meer dat het in het maatschappelijk belang is dat er na een zorgvuldige afweging door een rechter encryptiesleutels moeten worden afgestaan, maar ik denk dat het totaal geen zin heeft vanwege de mogelijke tegenmaatregelen die een slimme crimineel kan nemen.
Je neemt daarbij aan dat de politie (altijd) slim is. Niet iedere agent heeft voldoende kennis van computers en veiligstellen van digitaal bewijs om niet in een valkuil te stappen. Een hele lastige is “laten we de computer aan staan of zetten we het uit?” Wanneer de computer uitgezet wordt bevries je de staat van de opslagmedia, maar worden eventuele wachtwoorden die toegang geven gewist; laat je de computer aanstaan dan kunnen beveiligingsprogramma’s actief de schijf wissen (en daarbij het bewijsmateriaal vernietigen.)
Een lastige afweging, die door een specialist gemaakt moet worden; en zelfs de best gemotiveerde beslissing kan verkeerd uitpakken.
Dat was tog ook het probleem in de amsterdamse zedenzaak? Ik had gelezen dat toen de politie binnenviel dat de computers bezig waren (vermoedelijk dingen snel encrypten/wissen), dus trok de politie snel de stekker eruit.
Dat was een van de dingen waarom ze niet zo snel het wachtwoord konden achterhalen.
Maar in die zaak hadden ze nog een belangrijk, extra voordeel. Ze hadden namelijk al het benodigde bewijs om de daders mee te veroordelen. Daardoor kan een rechter 0ok makkelijker de aanname doen dat er dus kinderporno op de encrypted schijven staan, omdat de daders de moeite namen om dit te verbergen. De encryptiesleutel inleveren kan de rechter mogelijk wat milder stemmen zodat de uiteindelijke straf lager zal uitvallen. Want dat de daders schuldig waren was ook zonder die schijven aan te tonen. Dus de computer in deze situatie uitschakelen heeft het bewijs gewoon gered.
Open mijn pc, til hem op, en hij reset automatisch en een sterke electromagneet verbonden met een accu wist de harde schijf. Ok, niet echt, maar als ik dat soort data op mijn pc had staan zou ik zeker dat soort beveiligingen inbouwen. Zo moeilijk is het niet, een boek als “electronica voor dummies” geeft al voldoende informatie.
Gezien de ontwikkelingen met betrekking tot bewijsvoering en strafmaat in het geval van kinderporno of terrorisme maakt het weinig uit of er agenten/bijstanders omkomen of gewond raken. Je kan dus net zo goed het huis vullen met explosieven. 100 dode agenten of niet, levenslang is levenslang.
Wat ik erg vreemd vind is dat het Nederlands recht ontzettend ver gaat door het bijvoorbeeld niet strafbaar stellen van het vluchten als verdachte zijnde, maar vervolgens het wel wil strafbaar stellen bij het niet mee werken aan decryptie. Dit lijkt mij nogal een tegenstelling. Ik heb dan ook meer het gevoel dat het symboolpolitiek is dan dat het daadwerkelijk gericht is op veroordelen van verdachten van zedendelicten of verdachten van terrorisme.
Er is wel een groot verschil. Bij het onthullen van een encryptiekey wordt je niet gedwongen jezelf te belasten.
Het onthullen van informatie over waar een lijk begraven is op zichzelf al belastend. Een encryptiekey onthullen op zich is niet belastend. Het gebruiken van encryptie is niet verboden.
Een encryptiekey onthullen is voor mij equivalent aan vertéllen waar het lijk ligt. Het is kennis in jouw hoofd, die gebruikt kan worden om het bewijs tegen je uit te breiden. De key op zich onthult inderdaad niets, maar met de key zijn je encrypted containers te openen en die onthullen wél een en ander (nemen we even aan).
Ik zie wel degelijk een essentieel verschil met niet vertellen waar het lijk ligt.
Als je vertelt waar het lijk ligt vertel je ze feitelijk dat je op zijn minst op de hoogte/medeplichtig bent aan de moord. Maar als je het niet hebt gedaan, kan je nooit aan die eis voldoen. Het is dus een onredelijke want voor een onschuldige onmogelijke eis. Als ze dat strafbaar maken als je het niet zegt wordt je als onschuldige dus strafbaar omdat je ze dit niet kan vertellen.
Koppel je het vereiste van veroordeling op ander bewijs aan het strafbaar zijn van niet vertellen waar het lijk is, dan klopt het nog steeds niet. Het is helaas niet ongekend dat veroordeelden onschuldig blijken. Het is dan ook raar dat je door deze eis vervolgens onschuldig veroordeelden uiteindelijk zwaarder straft dan schuldige veroordeelden. (Nu ik dit zo schrijf ben ik ervan overtuigd dat zwaarder straffen als je niet zegt waar het lijk ligt onrecht in de hand werkt en niet zou moeten kunnen)
Aan de andere kant is het duidelijk dat jij de sleutel weet voor de decryptie van jouw eigen computer. Zeker als die duidelijk gebruikt wordt. Ook ik heb een stapel hardeschijven liggen en ook daar zitten encrypted volumes en files tussen die ik niet meer zou kunnen decrypten. Maar het is onwaarschijnlijk dat je die niet meer weet voor de harddisk die op dit moment in je computer zit. Aan de andere kant, lijkt het mij dan wel dat justitie moet kunnen bewijzen dat er een ecrypted volume op de computer bestaat. Het gebruik van Truecrypt betekent niet automatisch dat je een verborgen volume gebruikt. Ze kunnen dus hoogstens eisen dat je de sleutel voor het niet verborgen volume geeft. Anders kan het weer gebeuren dat men je straft omdat je het onmogelijke niet kan doen. Overigens, wat voor straf willen ze erop zetten? Een vaste periode? Dan gaat natuurlijk ieder schuldig persoon de afwegign maken welek periode langer is. Of zoals die amerikaan*, vastzetten tot je wel meewerkt?
Ik ben het met dit verschil niet eens.
Zowel bij het onthullen van de locatie van een lijk, als het onthullen van een encryptiekey, weet de politie niet zeker dat er iets strafbaars verborgen IS.
Als ik de locatie van een lijk moet prijsgeven, werkt dat lijk mee aan het bewijs tegen mij. En als ik mijn encryptiekey moet prijsgeven werkt de inhoud van het versleutelde mee aan het bewijs tegen mij. Om nog maar te zwijgen van de situatie waarin ik niet op de hoogte ben van de locatie van het lijk, of de key…
Op zich kan het feit dat jij weet waar een lijk in een moordzaak zich bevind al bewijs zijn in je veroordeling. Dat geldt niet voor een encryptiekey
Wat me altijd verbaasd in dit soort discussies is dat het altijd over KP en terrorisme gaat waarbij beide begrippen ook nog eens erg rekbaar zijn. Wat mij betreft moeten wetten waarbij deze zaken expliciet genoemd worden nog kritischer bekeken worden.
Verder is het natuurlijk een onzinnig voorstel.
Vreemde uitspraak: “In een rechtszaak over kinderporno werd het zwijgen van de verdachte gebruikt als bewijs van zijn intenties”. Dus als je zwijgt (terwijl je dat mag) wordt je (mede op basis van het zwijgen) schuldig bevonden? Volgens mij was één van de argumenten (van Opstelten en co) dat je dit “dwangmiddel” mag inzetten als er eventueel levens op het spel staan (“het gewicht van het publiek belang”). Dat is ook een onzin argument: – Als je een échte terrorist bent, zul je alle informatie proberen te verbergen om zo je eventuele mede-terroristen te helpen om alsnog de aanslag te plegen of (indien alleen) de bom alsnog te laten afgaan of zo. – Als je kinderporno in je bezit hebt, dan is er volgens mij geen sprake van “levens die op het spel staan”. Dan gaat het alleen nog maar om bewijs verzamelen, en dat strookt niet met “levens op het spel”. Het is dan meewerken aan je eigen veroordeling… En we weten allemaal hoe dat soort “dit wordt alleen voor speciale omstandigheden en sporadisch toegepast” wetten uiteindelijk worden opgerekt en misbruikt. Nederland, aftapland #1…
Zowel Robert M. is gepakt dankzij foto’s van een andere kindermisbruiker, alsook hebben de foto’s in zijn bezit weer geleid tot arrestaties.
Dat is dus het probleem, jij (en justitie kan het als argument/excuus gebruiken om dit middel in te zetten) gaat er automatisch van uit dat de verdachte deel is van een “netwerk”, terwijl hij ook alleen maar kinderporno lukraak van het net heeft geplukt dat vrij verkrijgbaar was en verder niets… In het bezit hebben van kinderporno wat niet verder wordt verspreid, en wat op een encrypted schijf staat en verder niet wordt doorverspreid is ziekelijk maar zorgt verder niet voor een verergering op oplossing van het huidig misbruik. Je moet de makers en verspreiders aanpakken, dan heb je uiteindelijk ook geen bezitters meer… Robert M. was een maker van kinderporno…
Wat als de encryptie niet eens te vinden is? In het geval van Steganografie zijn de versleutelde gegevens ook nog eens verborgen in ogenschijnlijk onschuldige bestanden. Even de giegeltest: Wij hebben aanwijzingen dat jij betrokken bent in een kinderporno netwerk. Ergo jij moet foto’s hebben op jouw computer. Maar wij zien niets dus je hebt ze verborgen. Geef ons de verborgen spullen of je gaat de bak in. Dan ben je mooi klaar als er echt niets is. Niets is zo moeilijk aan te tonen als het niet bestaan van iets waarvan vermoed wordt dat het er wel is. Ik vind het maar enge wetgeving en ik ril bij de gedachte dat er ooit een echt onbetrouwbare club aan de macht komt en die wij dan dit soort middelen in handen hebben gegeven.
Tijd voor een encryptyiemethode (als die niet al bestaat) die 2 (of generiek ‘N’) datasets versleutelt met 2 keys, waarbij men dan uiteraard niet kan bewijzen dat er meerdere datasets zijn en/of dat je de verkeerde dataset decrypt.
Bestaat al.
Late reactie, maar je kunt ook gewoon de boel versleutelen met One-Time Pads. Zelfs in het meest dwangmatige geval kun je de politie altijd het pad geven, maar dan moeten ze nog steeds de juiste combinatie zien te vinden en dat kan jaren duren als je de sleutel maar lang genoeg hebt gemaakt (en dan heb ik het nog niet eens over het gebruik van meerdere sleutels – dat gaat zó lang duren dat de politie ervanaf zal zien). Stel dat je bijv. de sleutel 40 tekens lang hebt gemaakt, dan moeten ze per teken het juiste teken vinden (dat alleen al is 26 letters per mogelijkheid en dan nog kan het een cijfer of speciaal teken zijn) en dan ook nog 40 tekens in de juiste volgorde (en bij goed toepassen moet je dus meerdere sleutels op die manier ontcijferen)… reken maar uit.
Bij een goede encryptietechniek kun je niet eens zien aan het bestand of het een geëncrypteerd bestand is of een bestand dat slechts “ruis” bevat. Voor extra veiligheid bestaan er programma’s die lege schijfruimte en de ruimte die veranderde of verwijderde files achterlaten meteen vullen met “ruis”. Bij een verdachte computer die met dergelijke software uitgerust is kan justitie niet eens aantonen dat er geëncrypteerde bestanden op de computer aanwezig zijn. Het lijkt me bezwaarlijk om dwang om een sleutel af te geven in te zetten tegen een verdachte als niet eens zeker gesteld is dat een bestand of een deel van een harde schijf geëncrypteerd is.
Ik heb ook nog wel een stapeltje oude harde schijven liggen die versleuteld zijn, maar daar weet ik dus echt de sleutel niet meer van. M.a.w. als ze bij mij ooit huiszoeking doen, kunnen ze me al de bak ingooien dan. Lijkt me beter om het te houden zoals het is: laat de aanklagers maar komen met onomstootelijk bewijs van iemands schuld. En zoals peter al schrijft kan elk bestand wat niet 1,2,3 te lezen is als encrypted gezien worden en dus verdacht en dus ga de bak maar in? Wordt leuk voor virusschrijvers: ff een encrypted bestandje op alle besmette pc’s zetten en de halve wereld kan de bak in (bij wijze van). En zo kun je nog wel meer mogelijkheden bedenkenom iemand de bak in te krijgen..
Da’s wel een leuke, want daarmee creëer je plausible deniability. Als dat soort virussen er in het wild zijn dan kun je dus altijd claimen van niets te weten, en het misschien wel een virus is geweest. Een andere methode voor plausible deniability (naast de methode van Kevin), is bijvoorbeeld een OS die bij installatie altijd een encrypted volume creëert van een paar MB. Je kunt deze dan vervolgens overschrijven met je eigen encrypted volume, of gewoon met rust laten. Het OS moet dan wel wijdverspreid genoeg zijn, en niet specifiek ‘plausible deniability’ als oogmerk hebben, maar dan kun je dus ook claimen dat je van niets weet.
In de analogie met de kluis in huis zou dat zijn dat elk huis bij de bouw een kluis ingebouwd krijgt, maar dat de initiële code onbekend is. Je kunt de kluis ook openen met een rood knopje, die de inhoud vernietigt (middels pyrolyse) en je vervolgens je eigen code laat instellen.
Het hebben van een encrypted volume of een kluis mag geen verdachtmaking an sich zijn, en medewerking om die te openen mag in mijn ogen dan ook niet verlangd worden.
@VLDR : Truecrypt hidden volumes bedoel je?
Wat is de regeling voor personen die versleutelde bestanden van derden in hun beheer hebben? Een algemeen advies is om backups die je in “de cloud” opslaat te versleutelen.
Met de huidige cloud-technologieen kan ik mij voorstellen dat slimme criminelen gewoon een server in het buitenland gaan huren en daar hun gevoelige data op bewaren. Deze data kan heen en weer gekopieerd worden met een tijdelijke sleutel die de verdachte eerst aan moet vragen door de server een speciale request te sturen, en die vervolgens gedurende 1 sessie geldig blijft. Als de server dan ook nog eens in een land staat dat niet echt wil meewerken met justitie in Nederland dan heeft men een groot probleem. En die wordt vervelender omdat de verdachte opgepakt kan worden, maar een medeverdachte dan vanaf een ander systeem een kill-commando naar de server stuurt, waarna deze leeg is. Blijft alleen over wat er op de computer zelf staat. Maar ja, neem een read-only Ubuntu-disk (CD/DVD/Blu-Ray) en zet daar je cloud-client software op en een RAM disk zodat alle data gewist wordt zodra de computer uit gaat en je hebt als verdachte een ideaal middel waar justitie bijna niet aan kan komen. Er blijven immers geen sporen achter op de computer. Daarnaast zullen de ICT’ers van justitie slim genoeg moeten zijn om de werking van dit systeem te doorgronden. En ook daar twijfel ik wel aan.
Het probleem is dat het een wapenstrijd is die justitie eigenlijk niet kan winnen omdat ze qua techniek altijd achter zullen lopen. Maar die strijd hoeft ook niet op technisch vlak gewonnen te worden. Het aantal personen in Nederland die een dergelijke techniek daadwerkelijk gebruiken zijn volgens mij op 1 hand te tellen. Het gebruik van een bootable CD-Rom komt wel vaker voor, maar meestal wordt dan nog steeds een harde schijf of USB-stick gebruikt om data op te slaan. En dat levert toch weer sporen op. We moeten de gemiddelde crimineel niet overschatten. De gemiddelde crimineel is niet al te slim. En ja, sommige criminelen weten uit handen van justitie te blijven maar dat is lang niet altijd aan hun intelligentie te danken. Eerder aan fouten die justitie maakt. Want ook justitie is lang niet even slim…
Hier twee domme (?), lekenvragen: 1. Wat is het verschil tussen het moeten toelaten van politie in je huis en in je computer? 2. Waarom is het niet hoeven meewerken aan je eigen veroordeling een grondbeginsel? Wat gebeurt er als mensen wel verplicht zouden moeten meewerken? (Afgezien van een hoop leugens en/of ogenschijnlijk blijde slachtoffers/nabestaanden van slachtoffers). Wat is er fundamenteel mis mee?
Ik ben er geen voorstander van, het voelt niet goed, maar als ik de geluiden hoor van sommigen in mijn omgeving, dan kan ik geen verbaal weerwoord geven… Wie geeft me munitie?
Antwoord 1. De politie kan jouw huis in of jij dat wil of niet. Als jouw computer gecodeerd is, dan kunnen ze daar niet in zonder dat dat jouw wil is (jij hun het wachtwoord geeft). Zo kunnen ze bij je huis een slotenmaker laten komen die het slot openbreekt, bij een computer gaat dat niet zo makkelijk.
Antwoord 2. Stel je zou moeten meewerken aan je eigen veroordeling. En iemand wordt van iets beschuldigd wat hij niet heeft gedaan, dan moet die persoon meewerken met zijn veroordeling ookal is hij onschuldig. Als hij zegt dat hij onschuldig is, dan werkt hij dus niet mee en wordt hij daarvoor gestraft.
1) Eigenlijk niets. In je huis kan je ook een speciale kluis aanbrengen en verborgen opbergvakken aanbrengen in de muren, het plafond en de vloer. Zolang de politie er niet in komt is de inhoud dan ook veilig. En natuurlijk kan justitie brute kracht gaan gebruiken om een kluis te openen, of om je vloer af te breken op zoek naar verborgen holle ruimtes maar dat maakt het achteraf enorm vervelend voor jou indien jij alsnog onschuldig blijkt.
2) Meewerken aan je eigen veroordeling is extra vervelend als je onschuldig bent. En in Nederland gaan we er van uit dat iemand onschuldig is tot het tegendeel bewezen wordt. Er zijn al te vaak mensen in Nederland veroordeeld voor dingen die ze niet hebben gedaan, waarbij de Puttense moordzaak wel een groot dieptepunt was. Een belangrijk probleem bij zowel een inval in je woning als een inval op je computer is dat de politie zaken kan vinden die niet strafbaar zijn, maar die je liever niet bekend maakt aan de buitenwereld. De vraag is of de politie dan ook hun mond houdt over wat ze aantreffen en vaak genoeg komen er toch altijd wel extra details naar buiten. Om eens een voorbeeld te noemen: stel dat je twee maanden in de USA hebt doorgebracht bij een wapenfanaat en daarbij weken op een schietterrein hebt mogen oefenen met zware geweren. Stel dat je daarbij ook op “vreemde wijze” hebt geposeerd voor provocerende foto’s. Het kan dan lijken dat je een terrorist bent, maar in feite heb je alleen lol gehad. Maar die foto’s kunnen zwaar in je nadeel werken en de politie kan b.v. gaan eisen dat je verraadt waar jij die wapens in je huis hebt opgeborgen. (Maar je hebt niets in huis!) Ze gaan met metaaldetectoren aan de slag, breken de vloer open op een plek die je juist wegens lekkage hebt gerepareerd en een oude, antieke kluis waarvan je de combinatie niet weet maar die met een cijferslot werkt wordt met een thermische lans gekraakt om erachter te komen dat de 150 jaar oude dollarbiljetten brandbaar zijn en nu in rook is opgegaan. Huiszoekingen kunnen enorm ingrijpend zijn, zeker voor mensen die echt niets gedaan hebben. En we gaan nog steeds er van uit dat mensen onschuldig zijn tot het tegendeel is bewezen.
Ik ben van mening dat je iemand eerst moet veroordelen voor een misdrijf zodat de schuld al vaststaat. Daarna mag de crimineel meehelpen met het aangeven van extra bewijzen in ruil voor een (eventueel) lagere straf. Dergelijke dwang mag niet gebruikt worden om iemand een zwaardere straf te geven.
Klinkt goed, maar dat moet ook gelden voor ontlastend bewijs. Anders krijgen onschuldig veroordeelden effectief een zwaardere straf dan schuldigen.
Late reactie, maar in hoeverre breekt justitie überhaupt zomaar vloeren af? Volgens mij laten ze eerst speurhonden naar binnen en pas als die iets oppikken, dan worden er vloeren afgebroken.
Inderdaad zijn huiszoekingen erg ingrijpend, zeker als er fouten worden gemaakt. Het is al meermaals gebeurd dat er huiszoekingen zijn gedaan op het foute adres (bijv. bij de buren). Voor die mensen was het nog veel ingrijpender, zeker omdat ze achteraf hoorden dat niet hun huis doorzocht had moeten worden maar dat van een ander (bijv. de buren)…
Ik kwam laatst een aantal jare oude containers tegen waar ik het wachtwoord van was vergeten. Is best mogelijk dat verdachten hun wachtwoorden zijn vergeten. Wat dan?
Het is aan het openbaar ministerie om voor de rechter aan te tonen dat jij een encrpytiekey verborgen houdt. Als het gaat om oude disks is het best makkelijk om inderdaad te claimen dat je daar de ontslueteling niet meer van kent.
De rechter zal dan niet gauw geneigd zijn een straf te geven voor het niet onthullen van de key. Als het echter gaat om je standaard laptop die je (vrijwel) dagelijks gebruikt zal de rechter zeker niet accepteren dat je ineens het wachtwoord bent vergeten.
Tja, waarschijnlijk kunnen ze het wel invoeren. Het is treurig hoe steeds meer principes van een fatsoenlijke democratische rechtsstaat met wat sofisterijen overboord gegooid worden, maar uiteindelijk geldt natuurlijk nog steeds “might is right.” Vergeten wordt echter wel waarom voor dergelijke principes ooit gevochten is. Ik vrees dat een dergelijk gevecht nooit ophoudt, omdat er steeds weer een nieuwe generatie politici opstaat die het essentiële belang ervan ingewreven moet worden.
Of het zinvol is is een ander verhaal. De gebruikelijke zondebokken (KP en terrorisme) worden erbij gehaald om het te rechtvaardigen, maar juist daar gaat het niet echt helpen. Te veel technieken om je versleuteling te verdoezelen. (Om te bewijzen dat je een sleutel weigert af te geven moeten ze eerst bewijzen dat je kennis van die sleutel hebt, en dat de beschikbare data inderdaad versleuteld is met die sleutel — lijkt me knap lastig als je de sleutel niet afgeeft of op een andere manier duidelijk maakt dat aan die vereisten voldaan is.)
Een plek waar dit mogelijk effectief tegen gaat werken is communicatie met public key encryption, waar je op een of andere manier inhoudelijk hebt gereageerd op aan jouw gestuurde berichten; want dan is er bewijs dat je de sleutel tot die berichten hebt. (Natuurlijk gebruik je om dezelfde redenen verschillende sleutels om je berichten te ondertekenen en ontvangen berichten te ontcijferen.)
Ik vermoed zelf dat de uiteindelijke bedoeling van dit soort wetgeving het handhaven van auteursrechten is: daarvoor moet je immers op grote schaal de communicatie en harddrives van privé partijen in kunnen inzien, en heb je een stok achter de deur nodig. Omdat op auteursrechteninbreuk een straf van ten hoogste 4 jaar zit, valt het al snel onder de definitie van ernstige misdrijven.
Voor mij een volgend bewijs dat auteursrecht van een handelsregeling steeds meer verwordt tot een bedreiging van de rechtstaat, en we er dus subiet helemaal vanaf moeten. (al moet je daarvoor wel een paar gedachtesprongetjes maken).
Als er een “sterke aanwijzing” is dat jij iets versleuteld hebt (opvallende data in je legen sectoren op de schijf bijvoorbeeld) moet je plotseling bewijzen dat je GEEN wachtwoord hebt. Leuk…
Ook sterk is de opmerking van Ivo O. dat op het geheim houden van je wachtwoord een extra hoge straf moet staan, omdat je dan zeker “doortrapte crimineel” bent.
Er moet vooral allereerst ook een sterke verdenking zijn dat de betreffende persoon wat verbergt. Bijvoorbeeld omdat zijn vaste IP adres is gevonden tussen de regelmatige bezoekers van een kinderporno site.
En dan komt ineens zo’n plotseling vergeten wachtwoord van iemands dagelijks gebruikte PC een stuk minder geloofwaardig over.
En wat als je IP-adres op een proxy gevonden wordt die veel door KP-bezoekers gebruikt wordt? Of je hebt een TOR-exit-node staan om de Chinese familie te helpen? Ik denk dat als deze regeling er door komt er veel artikelen zullen komen over wat nu “sterke aanwijzingen” zijn. Verder wat BOF zegt: In het rapport staat dat alleen de klunzen er door gepakt worden, en Opstelten vindt dat er extra hard aangepakt moet worden vanwege doortraptheid. Laat ze eerst de beschikbare informatie eens goed verwerken.
Als je een TOR node hebt staan ben je verantwoordelijk voor wat daar overheen gaat. Je neemt dus zelf een risico dat de politie bij jou terecht komt omdat er illegale zaken mee worden uitgevoerd. Dat is nu ook al zo.
Maar het draaien van die exit node is vrijwel zeker dan ook door jou aantoonbaar makkelijk genoeg aantoonbaar doordat je dan de exit node software continu hebt draaien.
Het punt blijft dat dit weer een verhaal is dat de politie steeds meer wil weten, terwijl het verwerken van de huidige informatie ook al een probleem is. Dat wetende geeft het feit dat Opstelten zijn eigen rapport niet goed leest een wrange bijsmaak. Het rapport stelt, onder strikte voorwaarden, met beperkte dwang, en je vangt vooral de “kleine vissen”. Opstelten: Zwaar straffen, want de grote vissen reageren niet op kleine straffen.
Een hidden volume in Truecrypt kan statistisch aangetoond worden. De lege ruimte in de outer volume is dan te onderscheiden van witte ruis.
In het kader van de wapenwedloop is dit ook weer eenvoudig te ondervangen door Truecrypt. In plaats van de nietgebruikte ruimte in de container te vullen met witte ruis (als je geen hidden volume hebt), vraagt TC bij het aanmaken gewoon om willekeurige toetsen in te drukken. Daarmee encrypt het wat gegevens op je disk en gebruikt die om de ongebruikte ruimte te vullen. Sleutel weggooien en een truecrypt volume met en zonder hidden volume zijn weer niet te onderscheiden.
Het idee van de overheid werkt dus gewoon niet. Het enige resultaat is dat ze straks onschuldige mensen en domme criminelen gaan straffen. Dat eerste is een te groot kwaad om het tweede te rechtvaardigen.
Ja ik heb thuis ook nog Iomega ZIP discs liggen met encryptie. De encryptie is op bestandsniveau en ik weet echt de wachtwoorden niet meer. Verder staan daar zonder encryptie alle opdrachten die ik op de VU maakte nog op. Hoe lang ga ik de cel in als men mij ergens van verdenkt en ik kan die bestanden niet meer decrypten?
Dit heeft niet eens met digibete politici te maken die de gevolgen niet overzien. Het staat in de rapporten die ze zelf hebben laten maken dus ze weten gewoon dat dit niet werkt. Dit is dus nog erger. het zijn politici die ten koste van de maatschappij makkelijk willen scoren bij digibete burgers. Wie is er nu niet tegen die verschrikkelijke KP?
Er zijn ook andere manieren om hidden volumes aan te tonen of in ieder geval voldoende plausibel te maken dat die er moeten zijn.
Zo kan het zijn dat er op het ‘schone’ gedeelte van de computer sporen zijn die leiden naar een extra volume. Zo kan het zijn dat er op het internet sporen gevonden zijn (downloads, browserinfo) die niet matchen met informatie op het schone volume. Zo kan het zijn dat het schone volume niet consistent is met normaal gebruik van een computer . Bijvoorbeeld alleen maar oude tijdelijke internet bestanden. Zo kan het zijn dat de informatie op het schone volume niet matched met het gebruik van de computer zoals dat in het verhoor van een verdachte naar boven is gekomen.
Deze theorie klopt niet: Er is “bewezen” dat jou computer gebruikt is. Er is niks op jou computer te vinden, dus is er een “hidden volume”.
Altijd raak: er is geen bewijs, dus je hebt het verstopt.
Er is dus iemand die onder zodanig ernstige verdachtmaking staat dat een doorzoeking is bevolen. Dat is al een forse stap die ook al een bepaalde bewijsvoering met zich meebrengt. Dan vindt men bij die verdachte persoon een encrypted computer.
Sowieso staat waarschijnlijk op minder dan 1% van alle computer encrpytiesoftware waarmee je hidden volumes aanmaakt geinstalleerd. Het gebruik van dergelijke encryptie software die hidden volumes ondersteunt is bij een van bepaalde misdrijven verdachte persoon al een belangrijke aanwijzing om verder te kijken naar aanwijzingen voor een een hidden volume. Als je daar gericht naar zoekt zijn zullen die aanwijzingen in de meeste gevallen goed te vinden zijn.
En dan is het aan een rechter om op basis van al die bevindingen een beslissing te nemen. En dat is hun dagelijks werk. Op basis van bepaalde bevindingen beslissingen nemen over schuld of niet.
Blijft het argument van kracht: het bewijs tegen je wordt gebruikt om meer bewijs van jou te eisen. Is het originele bewijs niet goed, dan kan je alsnog gepakt worden voor niet meewerken.
Als er zo’n sterke aanwijzingen zijn, is het bewijs van die geëncrypteerde schijf toch ook niet meer nodig?
Als de politie de computer mee wilt nemen met een noodstroomvoorziening, zullen ze ongetwijfeld de behuizing moeten zien te openen om daar die noodstroom op aan te koppelen. Wat nu als je zelf een switch hebt gemonteerd die (uit veiligheid, niet om de boel te stagneren) de stroom van je pc er af haalt bij openen van de kast.
Het OM kan (zal?) dat opvatten als een instrument om je gecrypte bestanden (die ook heel andere zaken kunnen bevatten die je voor je zelf wilt houden (Swiss banking bijv.?)) veilig te stellen, hetgeen de rechter dan mee kan nemen in de veroordeling. Toch wil jij de code niet geven om voor jouw geldige redenen (bij Swiss banking voorbeeld de ellende die je met de FIOD kunt gaan krijgen).
Denk dat je als verdacht zelf heel snel het rekensommetje moet maken wat interessanter is, X-maanden per jaar extra in cel of een aanvullende straf voor een nieuwe zaak (en alle sores eromheen) van wat er in de gecrypte bestanden staan.
Het schermen met KP en Terrorisme word ik de laatste jaren persoonlijk overigens wel erg moe; niet zelden zijn dat weinig meer dan vrijgeleiden om maar van alles te kunnen/mogen doen en we kiezen bij accordatie daarmee respectievelijk om door boosheid of angst geregeerd worden.
Nee, ze sluiten de noodstroom aan op een lege socket in dezelfde stekkerdoos/wandcontactdoos als waar de pc in zit. 1 van de outputs wordt dan een input. Als dat niet mogenlijk is openen ze heel voorzichtig de stroomkabel en verbinden de orignele kabel met een special verlengkabel.
Wat te denken van een Bluetooth proximity lock. Zodra je telefoon uit de buurt van je computer is valt ie in het slot…
tilt switch in de kast, drukschakelaar onderop de kast, om de zoveel tijd opnieuw wachtwoord moeten invoeren. En dit bedenk ik in minder dan een minuut laat staan een persoon die dit ‘nodig’ heeft en weken de tijd heeft om alles te verzinnen en implementeren.
Vaak zie je ook van die gamers die een zelfgebouwd bureau hebben met daarin de computer onder een plaat plexiglas, deze is volgens mij redelijk lastig mee te nemen. Aangezien je op elke mogelijke booby-trap moet rekenen, dus dat hele bureau kan vol zitten met sensoren.
Bits Of Freedom heeft ook een mening over dit onderwerp… 🙂
Is het noodzakelijk van de wetgever om terrorisme en KP te specifiëren? Wat dan met snuff movie (netwerken) en serie moordenaars of zo? Zijn dat minder erge misdaden als terrorisme en KP? Of wat met hoogverraad (of hoe dit legaal ook mag heten)? Iemand die gevaarlijke staatsgeheimen kan doorgeven aan vreemde machten of zo.
Ik vermoed dat veel mensen aanvoelen dat er niets klopt aan verdachten verplichten mee te helpen in het onderzoek, maar zoals je zegt is de technologie steeds lastiger aan het worden voor de politie.
Encryptie verbieden , want daar komt het tot een bepaalde hoogte op neer, is toch wel een stap in de verkeerde richting. Is het voor een Westers land ok om dit te eisen, maar voor landen als Syrië en China zou het opeens niet meer mogen waarschijnlijk? Vrijheid is een dun pad waar je als wetgever snel van af kan stappen als je niet oppast.
WTF? Met welke misdaden kan je nog meer wegkomen als je maar een goede belangenafweging maakt? En waar volgt dit uit?
Dat volgt uit het feit dat elk grondrecht ingeperkt mag worden als daar voldoende aanleiding toe is. Zo wordt je vrijheid van meningsuiting ingeperkt door de Wet op de staatsgeheimen, die bepaalt dat je bepaalde dingen niet mag zeggen. Dat is censuur maar legaal want het belang van die staatsgeheimen vinden we erg belangrijk.
Ook voor het recht niet mee te werken aan je eigen veroordeling geldt die mogelijkheid. Ik citeer even Koops:
Als ik het zo lees, dan zou een regel van het soort “als je al schuldig bevonden bent aan moord, mag de rechter strafverhoging opleggen als je dan weigert te zeggen waar het lijk ligt” wel legaal zijn. En wellicht ook “als we al wéten dat er kinderporno in die container zit en we weten dat jij die hebt gemaakt dan moet je het ontsleutelen zodat de ouders van de slachtoffers zekerheid krijgen over wat er is gebeurd”.
Als een recht ingeperkt kan worden is het geen echt grondrecht.
Alle grondrechten kunnen worden ingeperkt. Grofweg is de eis dat ergens bij het grondrecht moet staan op welke grond én dat de beperking gerechtvaardigd is door een dringende reden die we “noodzakelijk in een democratische samenleving” vinden.
Zo kan de vrije meningsuiting worden ingeperkt via de strafbepalingen over smaad en laster, en kun je ook in een contract jezelf in je uitingsvrijheid beperken (een geheimhoudingscontract).
Niet iedere Nederlandse Staatsburger heeft per definitie alle grondrechten, hierbij als voorbeeld defensie, iedere militair doet automatisch afstand van onder andere het grondrecht om (in het openbaar/zonder expliciete toestemming) te mogen demonstreren.
Daarnaast, na het uitroepen van “oorlogstijd” (doodstraf is mogelijk!!!) en “nood-toestand” wordt ook alles anders.
Het probleem in deze is dat men zegt voor een bepaald doel te gebruiken zoals terrorisme en kinderporno, dit zijn ook momenteel de twee buzz-woorden die bijna elke wet door gevoerd krijgt. Als het alleen maar daar voor gebruikt zou mogen worden dan denk ik dat niemand er een echt probleem mee zou hebben maar wat hier in Nederland vaker gebeurd is dat het constant opgerekt wordt en ineens overal voor in gezet mag worden.
Het zelfde met DNA profielen het idee is leuk dat iedereen zijn DNA moet afstaan maar zoals ik boven al zei het oprekken van gebruik is de tegen houdende factor, maar ook dat men denkt als men DNA heb gevonden iemand gelijk schuldig is zonder verdere onderzoek. Beveiliging daarin tegen is gemakkelijk te tewerkstellingen en is bijna 99% waterdicht te krijgen.
Ik denk dat u wenst te verwijzen naar de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) in plaats van het Hof van Justitie.
Ik vraag mij af of deze ontsleutelplicht wel van toepassing zou moeten zijn op verdachten die schuld bekennen, of waarvan schuld al bewezen is. Je hebt dan niet meer te maken met een verdachte maar met een dader. Het extra bewijs wat je op deze manier kan vinden kan de mate van schuld duidelijk maken en mogelijk helpen om andere criminelen ook op te pakken. Denk hierbij aan die kwestie in Amsterdam waar een gestoorde kleuterleider vele jonge kleuters seksueel heeft mishandeld en daarvan beelden op zijn schijf had gezet. Dat hij schuldig was aan kindermishandeling stond al van tevoren vast. Maar hoe ernstig die zaak was en wie er eventueel ook bij betrokken waren? Tja, daarvoor heeft justitie de gegevens op die schijf nodig en omdat schuld al vast staat zou je in die situaties kunnen aanvoeren dat deze vorm van dwang wel geoorloofd is.
Toch twijfel ik daar ook aan in dit soort kwesties. Maar ja, hoe belangrijk zijn de rechten van een dader, als je met een schending van die rechten eventuele mededaders kunt oppakken? Zeker bij zaken waarin kinderen verkracht en/of vermoord worden zullen veel mensen toch het gevoel hebben dat bewezen daders hun rechten gewoon kwijt zijn. Zorgerlijk, maar die mentaliteit lijkt te groeien. Of heb ik het mis?
Daar zou ik eventueel nog wel in kunnen komen. Als onderdeel van de straf: 2 jaar gevangenis en openbaring van je gegevens, of indien daaraan niet wordt meegewerkt, 3 jaar gevangenis. Of iets dergelijks. Dat komt dan ongeveer neer op strafvermindering door het meewerken aan de opsporing en veroordeling van andere criminelen. Als je op die manier een groter deel van het netwerk op kunt rollen, prima.
Als je veroordeelt wordt heb je sowieso al minder rechten, zo mag je bijvoorbeeld de gevangenis niet uit 🙂