Mag je een versleutelde film verspreiden?

pgp-bericht-encryptie-versleutelingEen lezer vroeg me:

Stel ik versleutel een film en publiceer het resultaat. Is dat al inbreuk op het auteursrecht? Niemand kan erbij immers. Maar wat nu als de sleutel makkelijk te raden is (één teken bijvoorbeeld) of het algoritme zwak is. Wanneer loop ik auteursrechtelijk tegen de lamp?

Dat is een juridisch nog heel ingewikkelde vraag. De juridische vraag is of jij de film publiceert of verspreidt. Dat betekent hier dus of crypt($FILE) publiceren hetzelfde is als $FILE publiceren. Dat zal afhangen van hoe makkelijk de sleutel te vinden is en in hoeverre de sleutelverspreiding jou aangerekend kan worden.

Zuiver toeval of latere acties van derden maken jouw handelen geen inbreuk. Stel jij publiceert een blob random data, en ik bereken een andere blob die via xor met de jouwe precies een Disneyfilm oplevert. Dat is jou niet te verwijten. (Mij wel.)

De key later publiceren of dat afstemmen met een ander lijkt me wél een publicatie. Dan weet je immers dat mensen de decryptie ongedaan gaan maken, en daarmee de film in handen krijgen. Dat zou voor mij hetzelfde zijn als de film in een zipfile verspreiden, daarvan weet ook iedereen hoe dat ongedaan te maken.

Verder kun je je afvragen waarom jij een encrypted film zou publiceren als je niet wil dat mensen die decrypten. Gebruik je Bittorrent als backup? In dat geval zou het denk ik legaal moeten zijn, niemand kan dan immers bij jouw backup en dat wil jij ook helemaal niet. Natuurlijk moet “dit was mijn backup” wel de giecheltoets overleven.

Dus, kortom, het hangt er vanaf hoe geloofwaardig je uitleg is en hoe makkelijk het te kraken is.

Arnoud

33 reacties

  1. Is dit niet dezelfde situatie als je muziek verzameling op een streaming server zetten, beveiligd met een wachtwoord?

    Dat is namelijk veel gangbaarder, er zijn verschillende programmas om dit mee te bewerkstellingen, ik gebruilk zelf Plex. Ik ga er vanuit dat dit in orde is, aangezien ik het wachtwoord niet deel.

    1. In jouw voorbeeld ben je zelfs nog wat meer aan het delen, want in jouw voorbeeld kan de beheerder van de server bij je muziekverzameling. Bij goede encryptie kan niemand er bij zonder het wachtwoord.

      1. Er zijn verschillende gradaties van het maken van kopieën: privé-kopieën als de reservekopie of een kopie voor eigen gebruik en kopieën die je verspreid en daar ligt nog een verschil of dat naar een besloten groep gaat of dat het een brede publicatie betreft. Als je met een beheerder van een cloudservice een overeenkomst hebt voor opslag van backups (reservekopieën) waarbij de cloudbeheerder belooft de data vertrouwelijk te behandelen, zie ik geen auteursrechtelijke problemen. Privé-streaming via een cloudservice zou kunnen via de uitzondering voor “eigen studie”.

        Publiceren via een cloudservice is (zonder toestemming van de rechthebbende) onrechtmatig; je mag dus niet zomaar wachtwoorden delen.

  2. Dan weet je immers dat mensen de decryptie ongedaan gaan maken,

    Dan weet je immers dat mensen de ENcryptie ongedaan gaan maken.

    Lijkt me ook een beetje vergelijkbaar met het idee dat een torrent verspreiden geen probleem is zolang je alleen maar kleine ‘parts’ deelt. Gaat dus ook niet op omdat je weet dat de rest elders beschikbaar is en aan elkaar geplakt wordt tot het volledige bestand.

    1. Ok, een beetje off-topic; Wat nou als je een (media) torrent deelt waarvan de swarm niet 100% completion kan opleveren. Dan kan de content nooit volledig worden, met mogelijk zoveel gaten dat je de media niet af kunt spelen. Dat is enigszins gelijk aan een niet te decrypten bestand.

      Je download en upload een niet werkend bestand. Schend je dan nog steeds auteursrecht?

  3. Ik heb al eerder nagedacht over XOR encryptie.

    Stel, er zijn auteursrechtelijk beschermde werken A0, A1, …
    En er zijn vrij verspreidbare werken V0, V1, …
    En er zijn sets van random data(*) R0, R1, …
    En er zijn personen p0, p1, …

    p0: D0 = A0 xor R0
    p0: stuurt D0 naar p1 (“Hier heb je random data”)
    p0: stuurt R0 naar p2 (“Hier heb je random data”)

    p1: D1 = V0 xor D0
    p1: stuurt D0 naar p3 (“Hier heb je de helft van V0”)
    p1: stuurt D1 naar p4 (“Hier heb je de helft van V0”)

    p2: D2 = V1 xor R0
    p2: stuurt R0 naar p3 (“Hier heb je de helft van V1”)
    p2: stuurt D2 naar p4 (“Hier heb je de helft van V1”)

    p3: berekent A0 = R0 xor D0

    p4: downloadt V0 en V1 via andere kanalen
    p4: berekent A0 = D1 xor D2 xor V0 xor V1

    Is er dan iemand die de auteurswet overtreedt? Welke van de genoemde datasets mogen wel en welke mogen niet vrij verspreid worden?

    (*) Bijkomende vraag: is random data auteursrechtelijk beschermbaar?

    1. Het is toch evident dat p0 de fout ingaat wanneer hij D0 verspreidt? D0 is geen random data, D0 is een afgeleid werk van A0 en mag niet zomaar verspreid worden. Ieder ander kan misschien niet zien dat D0 niet random is, maar p0 weet het donders goed en dat is waar het om gaat. p1 kan niet zien dat D0 geen random data is, en als hij dat niet weet dan doet hij niks fout; zo wel, dan is hij medeplichtig. En ik stel me zo voor dat hij dat wel degelijk wist, want waarom zou anders p3 op het idee komen om zijn inkomende berichten met elkaar te xor-en?

      1. Ik begrijp je redenering. Legaliteit van het verspreiden van D0 hangt dus af van wat je van D0 weet? Kan het dan ook andersom gezien worden: als je D0 verspreidt, dan is het voor jou illegaal om iets te weten van D0? Kennis kan illegaal zijn?

        En waarom p3 op het idee komt om die twee datasets te xor-en? Misschien had hij wel V1 willen verkrijgen (legaal). Hij krijgt R0, weet dat dat de helft van V1 is, en gaat op zoek naar de andere helft. Hij weet dat V1 een videobestand van een bepaald formaat is, dat begint met een bepaalde header signature H. Dan weet hij dus ook dat de andere helft van V1 moet beginnen met begin(R0) xor H. Hij ziet dat ‘ie al zo’n bestand heeft: D0. Dus heeft p3 een legitieme reden om R0 xor D0 te berekenen.

    2. (*) Bijkomende vraag: is random data auteursrechtelijk beschermbaar?

      Random data zal geen sporen van creatieve elementen bevatten en daarom ook niet beschermd zijn. In praktijk is random vaak niet volstrekt random en zijn er algoritme’s die semi-random data genereren. Als aan de semi random data te herkennen zou zijn van welke generator die afkomt is het een slechte random generator, maar dan zou je kunnen beargumenteren dat de data wel beschermd is (als uit dit afgeleid werk de creatieve trekken van de generator te herleiden zijn 🙂 ).

  4. Dus, kortom, het hangt er vanaf hoe geloofwaardig je uitleg is en hoe makkelijk het te kraken is.

    Betekent dit dat het “het ging per ongeluk” argument in principe geldig is, als het maar geloofwaardig is? Dus als je maar een enorme computer-onbenul bent, dan mag je van je hele (legale) film-verzameling een shared folder maken vanwaaruit de hele wereld kan downloaden.

    Is wellicht ook een nuttig verweer voor gebruikers van Popcorn Time.

    1. Er geldt in het recht ook nog zoiets als “verwijtbare nalatigheid”. Een filmverzameling op een publieke share zetten zal daar snel aan voldoen; als je te onbenullig bent om een computer netjes te gebruiken, moet je het maar niet doen. Als publicatie jouw niet te verwijten valt, door een bug bij jouw cloudopslagprovider worden alle wachtwoorden bekend en daarmee kan “iedereen” bij de backup van jouw films… Niet jouw fout, maar een auteursrechthebbende mag wel verwachten dat jij binnen een redelijke termijn een nieuw wachtwoord instelt.

  5. Dat is een juridisch nog heel ingewikkelde vraag. De juridische vraag is of jij de film publiceert of verspreidt. Dat betekent hier dus of crypt($FILE) publiceren hetzelfde is als $FILE publiceren.

    Volgens mij is een geencrypte kopie van een werk nog steeds een kopie van een werk. (zoals ook een vertaalde kopie of een anders geencodeerde variant nog steeds een kopie is van een werk). Een kopie verspreiden van ene werk is op zichzelf al reeds illegaal en de auteurswet stelt geen eisen aan de inzichtelijkheid van het werk.

    Dat een werk niet inzichtelijk is lijkt me eigenlijk alleen van belang voor een eventuele de schade vraag. Als niemand het werk gezien heeft dan kan er ook moeilijk schade zijn en is het civielrechtelijk geen onrechtmatige daad.

    Als er een sleutel beschikbaar komt dan zal er vrijwel zeker schade optreden en die schade kan dan gewoon aan de verspreider worden toegerekend omdat de verspreiding van de kopie op zich al illegaal was. Het risico dat een sleutel bekend raakt wordt effectief door de illegale verspreider van het werk genomen. Dat is geen risico voor rekening van de rechthebbende.

    1. Ik ben een beetje in de war dat je zegt dat het illegaal is maar geen onrechtmatige daad. Wat betekent ‘illegaal’ dan?

      En volgens mij zit er wel degelijk een eis van herkenbaarheid in de Auteurswet. Als er geen beschermde trekken zijn overgenomen, is er geen sprake meer van inbreuk. Zie deze blog waarin een foto werd overgetrokken tot silhouet, dat geen inbreuk opleverde.

      1. Ik ben een beetje in de war dat je zegt dat het illegaal is maar geen onrechtmatige daad. Wat betekent ‘illegaal’ dan?

        Illegaal als in strijd met wettelijke bepalingen. Voor een onrechtmatige daad is er een aanvullende eis dat er schade moet zijn. Die schade moet bijvoorbeeld het gevolg zijn van handelen in strijd met wettelijke bepalingen. Het maakt dan dus ook helemaal niet uit of hijzelf de sleutel ‘per ongeluk’ vrijgeeft of dat die sleutel door ‘onbekende bron’ wordt vrijgegeven want de sleutel vrijgeven lijkt niet direct in strijd met de auteurswet maar het verspreiden van kopieen van het werk wel.

        Als er geen beschermde trekken zijn overgenomen, is er geen sprake meer van inbreuk.

        Volgens mij heb jij het nu over een oordeel obv de creativiteit in het werk. Als je geen cratieve delen uit het werk kopieert is er geen sprake meer van auterusrechtrecht. Een van een foto overgetrokken silhouet van een persoon bevat onvoldoende creatieve input meer van de maker van de foto en is dus niet meer een kopie van het werk.

        Een encrypted kopie is bevat normaal gezien nog steeds alle originaliteit van het oorspronkelijke werk en is dus als zodanig gewoon wel een beschermde kopie.

        1. Juridisch gezien is het mogelijk een onrechtmatige daad te plegen waarbij geen schade optreedt. In de context van auteursrecht kun je dan denken aan het herpubliceren van een werk dat gratis wordt aangeboden. Dat mag niet (want je hebt geen licentie) maar de schade is nul (want de rechthebbende had geen licentievergoeding kunnen bedingen, zie Curry/Weekend). Dus voor mij is “illegaal” en “onrechtmatig” synoniem.

          En ik twijfel dus over of de encrypted kopie de trekken ‘bevat’. Je ziet ze in ieder geval niet meer terug.

          1. Je hebt ook software installatie media (CD/DVD’s) die pas installeren als je en key hebt. Effectief zijn die installatiedisks ook encrypted versies van de uiteindelijke software Zijn die software installatie media volgens jou dan ook legaal te onbeperkt kopieren en te verspreiden zondertoestemming van de software bouwer als je de key er maar niet bij geeft?

          2. En ik twijfel dus over of de encrypted kopie de trekken ‘bevat’. Je ziet ze in ieder geval niet meer terug.

            Klinkt me nogal gezocht. Zie jij ‘de trekken’ wel in een niet-encrypted bit-patroon (bijv. mp3). Zodra iemand het lukt om ‘de trekken’ te reconstrueren uit een door jouw encrypted kopie ben je m.i. ook betrokken bij het maken van een illegale kopie (voor zover je de rechten daarvoor niet hebt).

    1. Dat doel kan bijvoorbeeld zijn om het werk op een eenvoudige manier (alleen) bij rechthebbende te krijgen. Maar als je er voor kiest op deze manier werken te verspreiden, moet je er m.i. in principe ook de verantwoordelijk voor nemen dat de beveiliging voldoende is. En die verantwoordelijk is zwaar, want die beveiliging kan best 150 jaar lang nodig zijn ( tot 1e januari na dood van auteur + 70 jaar).

      1. Wat daar ook nog eens speelt is dat de rechthebbende daar de sleutel van heeft, maar de licentiehouder (de kijker) niet, en er in principe een overeenkomst is tussen de rechthebbende en de licentiehouder om die sleutel uit te wisselen zodat je de film mag kijken.

        Het vervelende is alleen dat dit haaks staat op allerlei “decryptiebevelen” die als voorstel op tafel liggen. Als je een Blu-Ray in de kast hebt staan is die versleuteld en heb je de sleutel niet – zo is dat ontworpen. Maar dat betekent ook dat je daarvoor vervolgd kan worden als je die sleutel niet afgeeft, omdat je die sleutel in beginsel al niet hebt.

        Kort door de bocht genomen kun je van te voren niet eens bepalen of er op die versleutelde Blu-Ray een onschuldige Disneyfilm staat, of dat de schijf vol staat met kinderporno. Je hebt de sleutel immers niet, en bij een verdenking kan een paranoïde overheidsinstantie altijd van het laatste uit gaan.

        1. Wat daar ook nog eens speelt is dat de rechthebbende daar de sleutel van heeft, maar de licentiehouder (de kijker) niet

          De kijker heeft natuurlijk altijd de “decryptie-sleutel(s)” nodig: een Blu-ray speler berekent die sleutels. Niet-gecompromiteerde spelers zullen in staat zijn de Disney-disk af te spelen, dus ligt het toch voor de hand dat een rechter de speler als sleutel voor de Disney-disk zal accepteren?

  6. Een bijkomend probleem is dat een algoritme dat nu “sterk” is, over een X aantal jaar “zwak” kan zijn. De NSA zou inmiddels in staat zijn 1024-bits RSA te kraken. Voor een film waarvan het copyright over 70 jaar vervalt, zou ik volgens de Wet van Moore 22617-bits RSA moeten gebruiken. Als ik nu dus een 2048-bits key zou gebruiken valt de film op dit moment niet te kraken, maar over een aantal jaar wel. Valt de verbetering van de stand van de techniek mij aan te rekenen?

    Een complicerende factor is dat copyright steeds verlengd wordt. Als ik nu keurig een 22617-bits versleutelde film publiceer, kan ik dan over 70 jaar gepakt kunnen worden omdat de termijn inmiddels weer opgerekt is?

    1. Een complicerende factor is dat copyright steeds verlengd wordt.

      Speaking of which, ik zat gisteren online iets te lezen uit 1967 of zo waarin iemand iets bekritiseert dat in 1953 in een Amerikaans wetenschappelijk tijdschrift was verschenen. Hij citeerde niet letterlijk en ik vermoedde stropopredeneringen, dus wou eens nakijken wat er nou precies beweerd was in 1953. Het tijdschrift en artikel vond ik online terug, maar alleen de eerste pagina leesbaar, de rest thumbnails. Ik moest maar inloggen en kon dan misschien een ‘library near you’ vinden. Nou, laat dan maar.

      Oorzaak ongetwijfeld: de auteur is ‘pas’ in 1970 overleden, dus ik ben 85 als het vrijkomt. Het gaat om dingen waar buiten mij werkelijkheid geen hond in geïnteresseerd is, dus het commercieel belang is nul.

      Laat wel zien dat die veel te lange termijn van 70 jaar vaak alleen maar hindert en geen doel dient.

  7. Bestaat er eigenlijk iets als verjaring in relatie tot auteursrecht. M.a.w. als jij of je kind nu iemands auteursrecht schendt (of je publiceert nu een encrypted kopie, waarvan het aannemelijk dat deze over x jaar te kraken is), hoe lang blijf je aansprakelijk voor de gevolgen?

  8. Ik denk aan de bewijslast. Wetboek van Strafvordering 125k is de Nederlandse versie van de “key disclosure law”, maar bij auteursrechteninbreuk gaat dit volgens mij niet op.

    Dus je mag een versleutelde film verspreiden, totdat de auteursrechtenhouder het wachtwoord raad. Maar om dat te raden, moeten ze encryptie doorbreken, en dat mogen ze niet (ze zouden je bankgegevens kunnen brute-forcen, omdat ze vermoeden dat er een Disney film in zit, en dat lijkt me niet sjofel).

    Technisch gezien: Een bestand met alleen maar 0’tjes, kan ook met een (lange) sleutel veranderd worden in elke film ooit uitgebracht.

    Maar stel je publiceerd een film online, versleuteld, maar je geeft je broertje de sleutel om te decrypten. Dan valt dit toch onder tonen in huiselijke kring/delen met familie?

    Om de eerste observatie kracht bij te zetten: Het is mogelijk om twee bestanden te encrypten in één bestand. Sleutel1 geeft alle artikelen ooit gepubliceerd op blog.iusmentis en Sleutel2 geeft de Disney film. Bewijst maar dat Sleutel2 bestaat en met opzet is gemaakt door de verspreider.

    Kortom: De auteursrechtenhouder moet eerst achter de sleutel komen en dat gaat alleen als de sleutel word verspreid of supergemakkelijk te raden is (random ogend data + sleutel = werk. random ogend data = geen werk). Heeft de auteursrechtenhouder de sleutel en de encrypte data, dan is het al snel geen versleuteld werk meer. Het komt op mij over als een patent aanvragen op het laatste getal van Pi. Kom eerst maar over de brug met dat getal, en dan praten we verder…

    1. Om de eerste observatie kracht bij te zetten: Het is mogelijk om twee bestanden te encrypten in één bestand. Sleutel1 geeft alle artikelen ooit gepubliceerd op blog.iusmentis en Sleutel2 geeft de Disney film. Bewijst maar dat Sleutel2 bestaat en met opzet is gemaakt door de verspreider.

      Leuk geprobeerd, maar dan is de maker van Sleutel2 natuurlijk gewoon Disney zelf. Dan worden de rollen van bericht en sleutel gewoon omgedraaid en wordt het oorspronkelijke “bestand” de sleutel om de berichten in “Sleutel1” en “Sleutel2” te decrypten.

      1. Ik doelde op:

        https://en.wikipedia.org/wiki/Deniable_encryption

        In cryptography and steganography, plausibly deniable encryption describes encryption techniques where the existence of an encrypted file or message is deniable in the sense that an adversary cannot prove that the plaintext data exists. […] Deniable encryption makes it impossible to prove the existence of the plaintext message without the proper encryption key. This may be done by allowing an encrypted message to be decrypted to different sensible plaintexts, depending on the key used. This allows the sender to have plausible deniability if compelled to give up his or her encryption key.

        https://en.wikipedia.org/wiki/Rubberhose(filesystem)

        In computing, rubberhose (also known by its development codename Marutukku)[1] is a deniable encryption archive containing multiple file systems whose existence can only be verified using the appropriate cryptographic key. […] It was originally designed for use by human rights groups working in third world dictatorships, but was often proposed for use in other countries such as the United Kingdom where threats of imprisonment can be used to force people to reveal their encryption keys …

        Maar dat omdraaien van sleutel en bericht is een erg stoer concept.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.