Franse decryptieplicht wordt ook toegepast op smartphonelockscreens

| AE 13690 | Regulering | 41 reacties

8385 / Pixabay

Het Franse Hof van Cassatie heeft geoordeeld dat een verdachte in een criminele zaak verplicht kan worden om de lockscreencode van zijn of haar smartphone aan te leveren. Dat meldde Tweakers onlangs. In Frankrijk geldt een absolute decryptieplicht, dus ook voor verdachten. En omdat je lockscreencode ook geldt als decryptiesleutel van alle bestanden op het interne geheugen, valt de lockscreencode daar ook onder. Uiteraard geeft dat de nodige juridische heisa.

Ik zou een boek moeten schrijven over dit soort dingen – oh wacht. Het lijkt erop dat de discussies over encryptie uit de jaren negentig weer helemaal terug zijn, beginnend met het idee dat encryptie door de overheid te kraken zou moeten zijn. Omdat dat technisch niet te doen is, maar je mensen wel kunt dwingen wachtwoorden te vertellen (relevant xkcd) heeft men in Frankrijk gekozen voor een wet die kort gezegd iedereen dwingt op bevel alle data te ontsleutelen waar ze het wachtwoord van weten. Artikel 434-15-2 van de Code Pénal bepaalt (bron vertaling):

A penalty of three years’ imprisonment and a fine of €45,000 are incurred by anyone who, having the key to decipher an encrypted message which may have been used to prepare, facilitate or commit a felony or a misdemeanour, refuses to disclose that key to the judicial authorities or to operate it following instructions issued by the judicial authorities under of title II and III of Book I of the Code of Criminal Procedure.
De kern is dus de sleutel hebben en een redelijk vermoeden dat het bericht bewijs is bij een strafrechtelijke overtreding of misdrijf. De eerste vraag die dan bij iedereen opkomt is hoe de autoriteiten vaststellen dat iemand de sleutel wéét. Dat lijkt nog geen argument in Frankrijk te zijn geweest. Ik zou het ook niet sterk vinden, specifiek bij het lockscreen van je telefoon. Je mag aannemen dat je voorafgaand aan je arrestatie bent geobserveerd, en als een agent dan heeft gezien dat jij je telefoon bediende, en een uur later zeg je “eh sleutel geen idee” dan zou ik dat geheel niet geloven.

Het meer fundamentele argument is natuurlijk waarom je mee zou moeten werken. Je bent immers niet verplicht mee te werken aan je eigen veroordeling? Dat klopt, maar de Europese mensenrechtenjurisprudentie is zodanig dat dat alleen gaat om dingen die afhankelijk van jouw wil zijn. Een vingerafdruk bij iemand nemen is dus geen overtreding van dat verbod, want die vinger die is er los van de wil van de verdachte. Een wachtwoord moeten vertellen is iets dat je weet, dus dat valt dan wel onder die wil van de verdachte. Althans dat vinden we in Nederland, de Franse hoogste rechter dacht daar in 2019 anders over:

Since the right not to incriminate oneself does not extend to data which can be obtained from the data subject by resorting to coercive powers but which exist independently of the will of the person concerned, the Court of Appeal did not disregard any of the legal and conventional provisions referred to in the plea;
Het argument is dus dat de gezochte gegevens bestaan los van jouw wil, en dat die dus wezenlijk anders zijn dan een bekentenis over hoe je de bank beroofd hebt bijvoorbeeld. Het is dan meer een feitelijk complexer verhaal hoe we je dwingen. De sleutel van je fysieke kluis die pakken we van je sleutelbos of we wachten tot je naar de wc geweest bent, dat komt wel goed. Maar een digitale sleutel met fysieke dwang afpakken, dat gaat niet. Daarom juridische dwang. Uiteraard liggen er al vragen bij het EHRM hierover (zaak 23624/20 Minteh).

In deze zaak speelde vooral het argument nog of een lockscreencode van een telefoon wel een decryptie-sleutel is, aangezien hij toegang geeft tot het OS of gebruikersaccount en niet tot opgeslagen data. Maar dat laatste kan heel goed wél het geval zijn: moderne mobiele OS’en slaan data versleuteld op, en pas na ontgrendelen met je lockscreencode wordt de data beschikbaar. Daaarmee is die code dus wél een decryptiesleutel geworden.

Arnoud

 

Wacht even, een passieve radar is nu óók al verboden onder de wapenwet?

| AE 13685 | Regulering | 9 reacties

This really sucks, zo begint het Krakenproject met haar aankondiging: vanwege “regulatory reasons” mogen wij onze passieveradarsoftware niet meer aanbieden als deel van het Kraken software defined radio project. Kraken is een leuk speeltje om gericht naar radiosignalen te kijken, bijvoorbeeld om te bepalen waar een zendmast staat. Maar je kunt zo veel meer dankzij de leuke algoritmes in het pakket. Een hele bijzondere was de passieve radar: deze stuurt zelf geen pulsen uit, maar luistert juist heel zorgvuldig naar binnenkomende signalen met verschillende antennes, waarbij verschillen in ontvangsttijd en -kwaliteit je helpen bepalen waar een bepaald object is. En dat mag dus niet.

Oké dat was een heel pittige intro. Dit artikel in IEEE Spectrum is een stuk duidelijker:

With one hand I pointed the surveillance antenna at the overcast skies and held my phone in the other. Gratifyingly, I almost instantly started seeing a blip on the speed-versus-range radar plot, matched a few moments later by the rumble of an approaching jet. (The plot updates about once every 3 seconds.) Because of the strength of the echoes, I was able to raise the signal-cutoff threshold significantly, giving me radar returns uncluttered with noise, and often with multiple aircraft. A win for SDR!
Het lijkt erop dat dit artikel mede de ondergang is geweest van de feature. Radar heeft namelijk militaire toepassingen, en is daarom als technologie fors gereguleerd. Dit is de bekende (beruchte) International Traffic in Arms Regulation (ITAR) waarmee in de jaren negentig cryptografische software zoals PGP ook werd tegengehouden. Encryptiesoftware wordt onder die wet net zo streng gereguleerd als munitie, maar ook radarsystemen staan erop:
(xxvii) Bi-static/multi-static radar that exploits greater than 125 kHz bandwidth and is lower than 2 GHz center frequency to passively detect or track using radio frequency (RF) transmissions (e.g., commercial radio, television stations);
Naar de letter voldoet een opstelling met de software van Kraken aan die omschrijving, en kennelijk vond iemand bij het Amerikaanse ministerie van Defensie (of een bezorgde jurist bij Kraken) dit reden om bij het project aan de bel te trekken.

Op zich raar, want er is al geruime tijd een “public domain exception“, als informatie of software in het publiek domein beschikbaar is dan geldt exportcontrole daarvoor niet meer. Verder wordt het Kraken project niet in de VS gerund, zij het dat de software wel op het Github-platform van Microsoft staat. Maar op safe spelen bij dit soort regels is natuurlijk geen gek idee.

Arnoud

Nederlandse politie arresteert man om maken van deepfakeporno van BN’er

| AE 13682 | Regulering | 29 reacties

De politie heeft onlangs een 38-jarige Amersfoortse man opgepakt omdat hij een deepfakeporno zou hebben gemaakt van de NPO-presentatrice Welmoed Sijtsma. Dat meldde Tweakers vorige week. De journalist en presentatrice van Goedemorgen Nederland en Op1 maakte er voor omroep WNL een vierdelige docuserie van, Welmoed en de seksfakes. Tijdens het maken van de docuserie is ook de maker van haar nep-filmpje opgespoord, die na verhoor weer is vrijgelaten. Dat roept de vraag op of en hoe deze man strafbaar is.

Een deepfake is een techniek voor het samenstellen van videobeelden met machine learning, meer specifiek een generatief antagonistennetwerk of generative adversarial network (GAN). Heel simpel uitgelegd bestaat een GAN uit twee AI systemen, de een genereert plaatjes en de ander probeert te zien of die gegenereerd zijn. Pas als die laatste ze niet herkent, zijn ze af. Maar los van de technische details, de omschrijving uit het AD “Mijn hoofd is op het lichaam van een pornoactrice gemonteerd.” laat prima zien waar het om gaat. Er zijn immers genoeg andere manieren om dit resultaat te bereiken, ze zijn alleen duurder of arbeidsintensiever dan een GAN.

Is dat strafbaar? Ja. Sinds een paar jaar hebben we een nieuw wetsartikel over onvrijwillige porno, namelijk art. 139h Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft: a.hij die opzettelijk en wederrechtelijk van een persoon een afbeelding van seksuele aard vervaardigt; b. hij die de beschikking heeft over een afbeelding als bedoeld onder a terwijl hij weet of redelijkerwijs moet vermoeden dat deze door of als gevolg van een onder a strafbaar gestelde handeling is verkregen.
Dit artikel is ingevoerd vanuit de wens om ‘wraakporno’ te bestrijden, zeg maar stiekem je partner filmen tijdens seks en dat publiceren om haar (het is vrijwel altijd een haar) pijn te doen of te vernederen. Maar ik zie geen reden waarom een GAN-gegenereerd beeld hier niet onder zou vallen.

De discussie gaat dan namelijk over de vraag of het een ‘afbeelding’ is. Dat lijkt mij wel: die persoon is herkenbaar in beeld, dat is het hele punt van de deepfake. Dat er geen beeldbewerking is gebruikt en dat je het portret wellicht niet zelf hebt gemaakt, is dan geen argument.

Ditzelfde woord ‘afbeelding’ staat namelijk in het wetsartikel dat kindermisbruikafbeeldingen (csam) strafbaar stelt. Daarbij is door de minister gezegd:

Voorts is sprake van vervaardigen van kinderporno als bijvoorbeeld een verdachte foto’s van kinderhoofdjes op pornografische foto’s van volwassenen plakt, realistische tekeningen of computeranimaties maakt, maar ook als (heimelijk) beeldmateriaal gemaakt wordt van (naakt) spelende kinderen, met een kenbaar seksuele strekking.
In het strafrecht betekenen dezelfde woorden dezelfde dingen. Als dus ‘afbeelding’ in 139h staat, dan geldt die uitleg van de minister ook voor artikel 139h. Dus is een “realistische tekening of computeranimatie” een vorm van “afbeelding”, en je kunt van een deepfake veel zeggen maar “tekening of animatie” dekt de lading prima. En dat de afbeelding een tekening is, is geen bezwaar om het een portret van iemand te noemen, zie het strafbareportretrecht (art. 31 Auteurswet). Ik zie dus het probleem niet.

Werkte ik bij de politie dan was ik een minderheid, want in NRC schrijft onderzoeker Marthe Goudsmit:

De huidige wettekst biedt wel ruimte voor een interpretatie waarbij deepfakes ook strafbaar zijn, maar is daar niet duidelijk over. Daardoor komt een slachtoffer dat aangifte wil doen in een soort lekkende pijpleiding terecht: allereerst zal de politie moeten inschatten dat pornografische deepfakes onder de huidige strafwet vallen. Als de politie denkt van niet, kan geen aangifte worden gedaan. Als de politie de aangifte echter wel opneemt, is voor vervolging nodig dat er een officier van justitie is die er brood in ziet. Als dat dan ook het geval is, zal uiteindelijk de rechter moeten bepalen of in art. 139h Sr met ‘beeldmateriaal’ ook nepfoto’s bedoeld worden. In het beste geval zegt de rechter ‘ja’. Maar de rechter kan ook ‘nee’ zeggen, en dan heeft Nederland geen wet die pornografische deepfakes strafbaar stelt.
De huidige richtlijnen van het OM gaan inderdaad niet in op het aspect “is een foto van werkelijk gebeurde seks” versus “een hoofd is op andermans lijf geplakt”. Ik vermoed omdat de aandacht twee jaar geleden vooral ging over dat eerste, deepfakes bestonden wel maar waren nog geen maatschappelijk fenomeen. Dat is wel een héél frustrerende opstelling.

Persoonlijk zou ik bij zo’n onduidelijkheid juist zeggen, forceer een uitspraak. Hoe dan ook is duidelijkheid beter dan gedraai en “mja wie weet”, toch?

Arnoud

Vraag om interieurfoto’s op te sturen voor WOZ-waarde valt slecht

| AE 13643 | Privacy, Regulering | 27 reacties

De gemeenteraad van Enschede wil dat zijn inwoners niet meer om foto’s van de binnenkant van hun huis worden gevraagd. Dat meldde de NOS onlangs. Wethouder Marc Teutelink wordt volgens 1Twente als verantwoordelijke bestuurder op pad gestuurd, om alles in het werk te stellen om de proef met huis- en keukenfoto’s te beëindigen. Dit is… Lees verder

Bunq mag AI inzetten voor controleren van klanten op witwassen

| AE 13623 | Ondernemingsvrijheid, Regulering | 30 reacties

Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet… Lees verder

Soevereine-menstheorieën nu doorgedrongen tot Hoge Raad, natuurlijk wel afgewezen

| AE 13596 | Regulering | 83 reacties

Plaats van zetel regering tijdens WOII leidt niet tot onbevoegdheid raadsheren hof, zo las ik ineens bij de toch zeer degelijke TaxLive-blog van WoltersKluwer. Dat betrof een arrest van de Hoge Raad over een belastingzaak waarin de aangever had geprobeerd zijn loonbelasting op te voeren als een aftrekbare gift aan het ministerie van Financiën. Met… Lees verder

Minister: digitale berichten overheid vergelijkbaar met aangetekende post

| AE 13573 | Regulering | 5 reacties

Digitale berichten die de overheid naar de berichtenbox van burgers met een MijnOverheid-account stuurt hebben dezelfde waarborgen als aangetekende fysieke post, zo stelt minister Bruins Slot van Binnenlandse Zaken. Dat las ik bij Security.nl onlangs. Dit in reactie op een discussie over de status van digitale boodschappen in uw Mijn Overheid-berichtenbox tijdens het plenaire debat… Lees verder

Rechtbank Breda veegt zaak met Sky-Ecc bewijs van tafel

| AE 13557 | Regulering, Security | 9 reacties

Een man die werd verdacht van handel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine is door de rechtbank in Breda geheel vrijgesproken omdat de rechtbank het enkele bewijs van een reeks door de politie ontsleutelde pgp-berichten van Sky-ECC niet voldoende vindt. Dat meldde Crimesite onlangs. De uitspraak is opmerkelijk, omdat in… Lees verder

Cloudflare blokkeert stalkerforum wegens ‘acute dreiging voor mensenlevens’, dit blijkt controversieel

| AE 13546 | Regulering, Uitingsvrijheid | 5 reacties

Cloudflare blokkeert websites normaal niet, maar ziet in de website Kiwifarms een ‘acuut noodgeval en een onmiddelijke dreiging voor mensenlevens’. Dat meldde Tweakers vorige week. De site is berucht vanwege haar veelvuldige intimidatie van online persoonlijkheden en gemeenschappen, met meerdere zelfmoorden tot gevolg. Ze zouden zich daarbij vooral richten op minderheden, vrouwen, lhbt-personen of neurodiverse personen. Nadat… Lees verder