Tag: Encryptie

About Encryptie

Subscribe Feeds

“Google kan op afstand beveiliging smartphones uitzetten”

Geplaatst op in Regulering, 13 reacties

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

Het Wassenaar Arrangement versus de security-onderzoeker

Geplaatst op in Intellectuele rechten, Security, 22 reacties

bug-fout.pngEen Britse student mag zijn scriptie niet publiceren omdat hij daarin exploits uitlegt, wat verboden is door het Wassenaar Arrangement. Dat meldde Ars Technica afgelopen vrijdag. De bachelorscriptie bevat nu enkele zwartgemaakte pagina’s, en details daaruit worden alleen aan bona fide securityonderzoekers beschikbaar gesteld. Wacht even, is het nu ook al verboden om wetenschappelijke publicaties over securitygaten te doen?

Het Akkoord van Wassenaar (niet te verwarren met het Akkoord van Wassenaar) is een verdrag dat exportrestricties stelt op wapens en dual-use technologie. In 2014 werd de scope van dit Akkoord uitgebreid: ook intrusion software is nu een ‘wapen’ en daarmee onderworpen aan exportrestricties.

Meer specifiek gaat het om

Software ‘specially designed’ or modified to avoid detection by ‘monitoring tools,’ or to defeat ‘protective countermeasures,’ of a computer or network-capable device, and performing any of the following: (a) The extraction of data or information, from a computer or network-capable device, or the modification of system or user data; or (b) The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Het is item (b) waardoor ook zero days en andere exploitsoftware hieronder zou kunnen vallen: vrijwel alle exploits zijn uiteindelijk gericht op het uitvoeren van andere instructies, het hele punt immers is de controle overnemen van het systeem dat je aanvalt.

Op zich valt ook een exploit in een paper onder deze definitie. Het gaat immers niet om het medium waarin de software is verschenen of de bedoelingen van de auteur. Echter, elders in het Akkoord staat:

Controls do not apply to “technology” “in the public domain”, to “basic scientific research” or to the minimum necessary information for patent applications.

Hierbij betekent “public domain”

“technology” or “software” which has been made available without restrictions upon its further dissemination. Copyright restrictions do not remove “technology” or “software” from being “in the public domain”.

Oftewel, wie publiceert zonder restrictie, valt buiten het verdrag. Vreemd is het wel, want als je dus je software voor een beperkt publiek aanbiedt dan krijg je exportrestricties om je oren, maar zet je het met broncode en al op internet onder een opensourcelicentie dan heb je nergens wat mee te maken.

Het lijkt er bij deze student op dat er nog wat anders meespeelt: hij noemt naast het Akkoord ook het ethisch beleid van zijn universiteit als factor die in de weg zit. Ik kan dat beleid zo niet vinden, maar het is ergens voorstelbaar dat een stel alfa’s uit het bestuur meende dat exploits publiceren onethisch is ongeacht de wetenschappelijke waarde daarvan. Daar doe je dan verder juridisch niets aan.

Arnoud

Mag een maildienst met encryptie onkraakbaar zijn?

Geplaatst op in Privacy, Security, 24 reacties

pgp-bericht-encryptie-versleutelingMet de dienst Startmail kunnen mensen versleuteld met elkaar mailen, ook als ze geen eigen encryptiesoftware (PGP) hebben. Dat las ik bij Tweakers. Heel mooi, maar PGP is erg sterke encryptie dus ga je je afvragen, hoe zit dat met opsporingsdiensten? Wanneer mag Justitie bij versleutelde mail opgeslagen bij een provider?

Op grond van artikel 125k Strafvordering kan een officier van justitie bij opsporing het bevel geven dat zaken moeten worden ontsleuteld. Het moet wel gaan om een ernstig misdrijf (art. 67 Rechtsvordering).

Het bevel mag aan bijna iedereen worden gericht:

… degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

De enige uitzondering is – niet verrassend – de verdachte zelf. Deze is immers niet verplicht aan zijn eigen veroordeling mee te werken.

Een tussenpersoon als Startmail is zelf geen verdachte en moet dus meewerken aan een bevel als aan de voorwaarden uit de wet is voldaan. En in theorie kunnen ze dat, ik lees bij Tweakers dat Startmail berichten op de server versleutelt en dat daar de privésleutel van de gebruiker is opgeslagen. Het is voor mij juridisch simpel: kún je erbij dan móet je erbij als dat wordt bevolen.

Liever had ik gezien dat de dienst GPG of PGP op de clientside inzet, zodat ze geen sleutels om mee te ontsleutelen hebben. Maar Startmail meldt in haar whitepaper (p5 en 6) een aantal stevige redenen om wél serverside te versleutelen. Kort gezegd: dat moet je niet willen als de client side omgeving een browser met Javascript is. En daar zit ook weer wat in.

Arnoud

Heeft Truecrypt een anti-NSA warrant canary losgelaten?

Geplaatst op in Security, 44 reacties

truecrypt-duress-canaryEindelijk weten we het: het was de NSA die Truecrypt heeft gesaboteerd. Dat meldt althans Slashdot. Het project kondigde onlangs nogal cryptisch (haha) aan dat de gratis diskencryptiesoftware niet veilig meer zou zijn en of we allemaal op Microsoft Bitlocker over zouden willen stappen. En de tekst “Using TrueCrypt is not secure as it may …” is natuurlijk helemáál een weggever. Maar kan het?

Een warrant canary is een juridische truc waarbij je elke dag een boodschap produceert à la “Vandaag ontvingen wij geen tapbevelen”. De dag dat je wél zo’n bevel krijgt, produceer je die boodschap niet. Daarmee weet de goede verstaander hoe het zit, zonder dat je expliciet hebt gezegd “wij kregen een bevel” – dat laatste is verboden want dergelijke bevelen komen met een “u mag niemand vertellen dat u dit bevel gehad heeft”-gag order. De analogie is met de kanarie in de kolenmijn: als die dood neervalt, dan is er koolmonoxide in de buurt en moet je wegwezen. Daar heb je nog net tijd voor, want een kanarie gaat eerder dood daaraan dan een mens.

Ik blijf erbij dat een warrant canary niet kan, niet in de VS en niet in Europa (bij ons: art. 126bb strafvordering). Als je een bevel krijgt met een verbod om anderen te vertellen dat je het gehad hebt, dan mag je óók niet ophouden met zeggen “Ik heb vandaag géén bevel gehad”. Dat komt immers informatietechnisch op hetzelfde neer. Je moet dan liegen om het bevel op te volgen.

In het Amerikaanse rechtssysteem is iemand dwingen wat te zeggen (compelled speech) juridisch heikeler dan iemand dwingen niets te zeggen (gag order). En daar is dit idee op gebaseerd. Maar ik zie in dit specifieke geval het verschil niet. Als het spreekverbod toegestaan is, dan moet dat ook kunnen worden gehandhaafd tegen iemand die daardoor óphoudt met spreken.

Een dodemansknop zie ik nog wel: maak een script dat als je een week niet inlogt, een vooraf bepaalde tekst plaatst en het project sluit. Dat is dan niet te voorkomen met een gag order, zeker niet als je een week lang koppig om je advocaat blijft vragen en niet vertelt over de dodemansknop. Het lijkt me wel technisch lastig te automatiseren (een kennis instrueren en die het handmatig laten doen is wellicht slimmer) en het is riskant, wat als je een week internetstoring hebt of de server met het script maakt een datumfout en leeft ineens een week in de toekomst.

De verklaring dat de overgebleven developer(s) tegen een burnout aan liepen na tien jaar ondankbaar werk, lijkt me waarschijnlijker. Wat jullie?

Arnoud

Mag Kliksafe https verkeer openbreken?

Geplaatst op in Security, 11 reacties

kliksafeVia Twitter kreeg ik de vraag:

Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan?

Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter – dat alle opgevraagde informatie scant die niet van een whitelisted site afkomstig is. (Geblackliste sites kun je natuurlijk niets van opvragen.)

Een handige internetter kan natuurlijk een encrypted verbinding opzetten en zo een dergelijk filter omzeilen. Er valt weinig te contentfilteren als je de content niet kunt lezen. Vandaar dat Kliksafe een https-filter heeft ontwikkeld. Dit filter werkt als een man-in-the-middle: de browser denkt dat hij met de bank of Youtube verbinding maakt, maar in feite gebeurt dat met het filter. Hierbij wordt een sleutel gebruikt die het filter kent, zodat het filter het verkeer kan openmaken. Vervolgens zet het filter een verbinding met bank of Youtube op, waarbij het zich voordoet als de browser. De site heeft dus geen idee dat er iemand tussen zit. Overigens staan banksites op de witte lijst, dus hun verkeer blijft versleuteld.

Het openbreken van dergelijk verkeer is al langer bekend. Bedrijven gebruiken dit nog wel eens om uitgaand werknemersverkeer te kunnen inspecteren op strijd met het bedrijfsbeleid. Of dat mag vraag ik me zeer af. Echter, omdat het decrypten hier gebeurt op speciaal verzoek van de klant zelf, lijkt me er weinig mis mee. Net zoals een slotenmaker best op mijn verzoek mijn voordeur mag openbreken.

Iets dubieuzer wordt het als het gaat om een verzoek van de klant maar niet om zijn eigen verkeer. De internetverbinding kan binnenshuis worden gedeeld, en zo zouden ouders het encrypted internetverkeer van hun kinderen kunnen lezen. Dat voelt ergens toch een tikje gek, net als een slotenmaker inhuren om de afgesloten kast in de kinderkamer open te maken (of een securitybedrijf om een verborgen camera in die kamer op te hangen). Maar dat lijkt me toch vooral een keuze van die klant, en niet iets waar je Kliksafe op kunt aankijken.

Arnoud

Kan een ontsleutelplicht voor verdachten worden ingevoerd?

Geplaatst op in Security, 62 reacties

decryptie sleutelKinderporno- of terrorisme-verdachten kunnen in Nederland straks gedwongen worden om mee te werken bij het ontsleutelen van bestanden op systemen, las ik bij Tweakers. De minister wil een wetsvoorstel indienen waarmee er celstraf moet komen te staan op het weigeren zo’n bevel op te volgen. En dat roept dan meteen de vraag op: hoe past dit binnen het principe dat je niet mee hoeft te werken aan je eigen veroordeling?

Het “nemo tenetur”-beginsel uit het strafrecht bepaalt dat niemand kan worden gedwongen om tegen zichzelf te getuigen of een bekentenis af te leggen. Mede hierom krijg je als verdachte de “cautie”, een waarschuwing dat je niet verplicht bent te beantwoorden. En ook hierom staat in de huidige strafvorderingswet dat je als verdachte niet kan worden bevolen om dingen te ontsleutelen.

Wel moet je natuurlijk als verdachte tolereren dat de politie dan zélf gaat snuffelen en zoeken naar dingen. Weiger je de kluis met daarin het bewijs te openen, dan mag men een slotenmaker met thermische lans inschakelen. Het probleem met digitale kluizen (encryptie) is dat er geen thermische lans is. Openmaken is onmogelijk als iemand een béétje z’n best doet met het wachtwoord. Vandaar het idee, nou dán moeten we hem toch kunnen dwingen?

Bert-Jaap Koops deed onderzoek naar de reikwijdte van het nemo-teneturbeginsel. Hij noemt vier factoren die door het Hof van Justitie worden meegenomen in de bepaling of sprake is van een toegestane inbreuk:

  1. de aard en mate van dwang;
  2. het gewicht van het publiek belang;
  3. de aanwezigheid van relevante waarborgen in de procedure;
  4. de manier waarop het afgedwongen materiaal wordt gebruikt.

In het Verenigd Koninkrijk en Frankrijk zijn regelingen ingevoerd waarbij het inderdaad strafbaar is om niet mee te werken aan decryptie als verdachte. In theorie voldoen die regelingen, want zoals de bovenstaande factoren laten zien zitten er allerlei belangenafwegingen in. Als je daaraan voldoet, dan is geen sprake van een ongerechtvaardigde inbreuk op het rechtsbeginsel.

Algemeen aanvaard is dat het zwijgen van de verdachte kan worden gebruikt in de waardering van ander bewijs. In een rechtszaak over kinderporno werd het zwijgen van de verdachte gebruikt als bewijs van zijn intenties met het binnenhalen daarvan (dat is relevant voor de vraag of het per ongeluk dan wel opzettelijk gebeurde). Je zou een decryptieplicht binnen die regel kunnen positioneren, en dan zeg je dus: u mág zwijgen over uw sleutel maar de rechter kan dat dan de doorslag laten geven als er twijfel is.

Je kunt ook nóg verder gaan en gewoon expliciet een paar jaar celstraf zetten op het weigeren gegevens te ontsleutelen. Of, ietsiepietsie subtieler, bepalen dat als je toch al veroordeeld wordt je extra straf krijgt voor het niet ontsleutelen. In die laatste situatie kun je nog steeds gewoon vrijuit gaan als er geen bewijs is, maar is er verder genoeg bewijs dan ga je dus nog langer de bak in.

Oké, allemaal juridisch vast wel ergens in te bouwen. Maar heeft het zín? Het lijkt me vandaag de dag nóg makkelijker dan begin jaren nul (toen deze discussie ook speelde) om onkraakbare of zelfs ondetecteerbare encryptie in te zetten. Daar staat tegenover dat menig crimineel gewoon dom is en dus niet weet hoe dat moet. Daarmee zou het middel toch in de praktijk inzetbaar kunnen zijn. Maar goed, zelfs een domme crimineel kan nog bedenken dat “ik ben het wachtwoord vergeten, sorry” een prima verweer is. En dan?

En wat Bits of Freedom zegt: het is een schijnoplossing. Er zijn maar zó weinig zaken waarbij dit het cruciale probleem is.

Arnoud

Is de export van sterke cryptografie nog steeds verboden?

Geplaatst op in Intellectuele rechten, Security, 9 reacties

one-team-jabber-chat1.pngEen lezer stelde me een vraag over chatclient Jabber. Hij gebruikt deze op het werk inclusief de feature van end-to-end encryptie: OTR. Voor de iPad en iPhone is ook een Jabber-client beschikbaar, OneTeam geheten. Deze had echter geen encryptie. Op zijn verzoek of dat binnenkort dan opgenomen zou worden, reageerde het bedrijf met:

Chances to get encryption in OneTeam on iOS are very low, as we would have to ask permission to US government (as requested by Apple). This is a hassle we would like to avoid.

De vraag is natuurlijk, wat heeft de Amerikaanse regering te maken met encryptie op je iPhone?

In eerste instantie niet per se heel veel, maar Apple voelt zich als Amerikaans bedrijf geroepen de Amerikaanse wet te handhaven. Daarom staat in de voorwaarden voor app-developers dat zij bij gebruik van encryptie moeten bewijzen dat het Ministerie van Handel de export van deze technologie heeft goedgekeurd. Dat proces is een heel gedoe, maar het kan wel.

Deze regels gelden ook voor andere besturingssystemen en software, alleen wordt daar niet heel hard op gelet. Maar reken maar dat Microsoft keurig toestemming heeft gevraagd alvorens Windows met encryptie aan boord uit te leveren.

Vroeger waren er heel strenge regels over encryptie: je mocht als Amerikaan geen sterke encryptie naar buiten het land exporteren, wat inhield dat een sleutel bijvoorbeeld maar 40 bits lang mocht zijn (en niet de 128 bits die het zou moeten zijn om veilig te zijn). Dat geldt niet meer, er is alleen nog een verbod op export naar Libië, Iran en die landen. Voor de rest geldt een meldingsplicht en een paar beperkingen.

Voor open source is ook dat nog een probleem, want je hebt geen idee waar je software naartoe gaat dus je kunt niet garanderen dat de software niet naar Iran zal gaan. Daarom is er een uitzondering in de export control wetgeving opgenomen (art. 740.13 e-CFR), die zegt dat software in broncodevorm die publiek op internet downloadbaar is niet onder de strenge wetgeving valt.

Dat is volstrekt onlogisch gezien doel van de wet maar wel handig voor open source: wie producten met encryptie verkoopt, moet nagaan wie de klanten zijn en goedkeuring voor export hebben, maar wie het gratis op internet zet hoeft dat allemaal niet. Je moet alleen melden dat je cryptografische open source op internet hebt gezet.

In Europa geldt geen eis van melding. Wel is het verboden encryptie opzettelijk te exporteren naar landen als Libië, Noord-Korea of Iran. Want ja, encryptietechnologie wordt nog steeds gelijkgeschakeld met wapens en munitie.

Arnoud

Amerikaanse verdachte hoeft PGP-decryptiesleutel niet af te geven aan politie

Geplaatst op in Privacy, Regulering, Security, 2 reacties

Een verdachte mag niet worden bevolen zijn PGP-decryptiesleutel of wachtwoord af te geven, bepaalde een een Amerikaanse magistrate judge eind november. Zo’n bevel is in strijd met de Amerikaanse Grondwet. Dat meldt onder andere Planet. In Engeland moesten diezelfde maand een groep Britse dierenactivisten nog hun decryptiesleutels afgeven. En hoe zit dat in Nederland?

Je hoeft niet mee te werken aan je eigen veroordeling. Dat heet het nemo tenetur-beginsel. Dat staat niet expliciet in onze wet, maar wordt wel erkend op grond van artikel 6 EVRM. Op grond van het Saunders-arrest van het Europese Hof geldt dat de verdachte geen verklaringen hoeft af te leggen, maar wel materiaal moet uitleveren dat onafhankelijk van zijn wil bestaat, zoals documenten en bloedmonsters. Als de verdachte in zijn dagboek een bekentenis had geschreven, en de politie vindt deze bij een huiszoeking, dan mag die gewoon worden gebruikt. Ook als het op de PC staat. Maar als de politie het dagboek niet kan vinden, mag de verdachte niet worden bevolen te vertellen waar het ligt.

Een wachtwoord zit ook in je hoofd, en het moeten vertellen is dus een “verklaring afleggen”. Vandaar dat zo’n bevel bij ons niet gegeven mag worden. Dit is expliciet vastgelegd in artikel 125k Wetboek van Strafvordering. Voor getuigen, maar ook voor andere betrokkenen (zoals een systeembeheerder) geldt deze verplichting wel – uiteraard voorzover ze het wachtwoord ook weten.

Kortom, nee, bij ons mag dit niet. Of het in de VS nu echt niet mag, is nog een open vraag. Dit is een beslissing van een magistrate judge, zeg maar een rechter-commissaris. Nog lang geen Supreme Court-arrest dus.

Zeer uitgebreid over nemo tenetur versus afgeven van sleutels is Bert-Jaap Koops, de expert op dit gebied, in Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? (PDF). Bij de behandeling in de Tweede Kamer van het wetsvoorstel Computercriminaliteit II verklaarde de minister trouwens expliciet (RTF) dat het nemo tenetur-beginsel verbood om verdachten te bevelen hun wachtwoord af te geven.

Verder nog een heleboel discussie op Bij Tweakers en Slashdot.

Vraagje voor de toekomst: als ik nou geen wachtwoord gebruik maar een biometrische beveiliging op mijn gegevens heb, kan ik dan verplicht worden mijn vinger op de sensor te leggen? Het nemen van een vingerafdruk is namelijk geen inbreuk op nemo tenetur, maar het effect is wel hetzelfde als bevolen worden een wachtwoord af te geven. Aan de andere kant mag de politie ook de sleutelbos uit mijn broekzak halen en daarmee mijn brandkast openmaken.

Arnoud

Verantwoord hacken van beveiligingen is legaal

Geplaatst op in Security, Uitingsvrijheid, nog geen reacties

Tweakers in de bocht: het testteam van Tweakers haalt de biometrische USB-stick BioSlimDisk Signature volledig uit elkaar, en ontdekt hoe men de beveiliging voor de gek kan houden. Ze deden dat al eens eerder trouwens. Maar het gaat me deze keer om hoe men omging met de bevindingen:

De lezer zal begrijpen dat we wederom verrukt waren met het resultaat; weer een stick bezweken. Zoals de regels van responsible disclosure vereisen, hebben we uiteraard voor publicatie contact opgenomen met de leverancier. De Nederlandse importeur verwees ons direct door naar de fabrikant. Deze nam vanuit het hoofdkantoor in Singapore contact op.

De fabrikant wilde de hack wel erkennen, maar gaf direct aan dat Tweakers.net een prototype getest had, een prototype dat niet op de markt zal verschijnen. In de definitieve stick zouden extra beveiligingen zijn aangebracht die de door ons uitgevoerde hack zouden moeten voorkomen.

En zo hoort het. Het is in Nederland toegestaan om de beveiliging te testen van je eigen apparatuur. Er zijn uitzonderingen, zoals het aanpassen van regio-restricties of het omzeilen of uitschakelen van kopieerbeveiligingen. En andermans systeem hacken “om de beveiliging te testen” mag natuurlijk niet zonder toestemming.

De interessante vraag is natuurlijk, wat mag je met het resultaat? Je hebt natuurlijk recht op vrije meningsuiting, ook (juist!) voor maatschappelijk relevante zaken als een onveilig systeem. Vandaar dat zo vaak gepleit wordt voor full disclosure: publiceer alle details over beveiligingsfouten, zodat iedereen er rekening mee kan houden.

Een nadeel van full disclosure is dat ook kwaadwillenden meteen leren van de fouten, en er gebruik van kunnen maken terwijl de fabrikant nog bezig is met de reparatie. Dat pleit dan weer voor geheimhouding. Alleen, ervaringen uit het verleden leren dat niet alle leveranciers even snel aan de slag gaan met gemelde beveiligingsfouten. Full disclosure is voor een deel dan ook een reactie op deze praktijk: publicatie dwingt de leverancier zo snel mogelijk aan de slag te gaan en met een reparatie (bug fix) te komen.

Een tussenvorm is responsible disclosure: geef de leverancier of fabrikant een redelijke tijd om de fout te repareren, en houd de fout geheim zolang er uitzicht is op een snelle reparatie. Blijkt de leverancier onwillig of duurt het onredelijk lang om tot een oplossing te komen, dan publiceer je de fout zodat mensen in ieder geval weten dat het probleem bestaat, en ze een lapmiddel kunnen verzinnen.

Hoe dan ook, publicatie van zulke resultaten mag. Een dergelijke publicatie moet wel duidelijk gericht zijn op een wetenschappelijk of journalistiek doel, en rekening houden met de redelijke belangen van de fabrikant. De publicatie mag niet ontaarden in een recept of instructies om het systeem te kraken, want dat dient geen legitiem doel en is er vooral op gericht de fabrikant schade toe te brengen. En dat mag niet.

Kortom, doe het zoals Tweakers

Wat overigens helaas niet uitsluit dat je toch juridische problemen tegen kunt komen. Dat ondervond Fox-IT bij het testen van een serie beveiligde USB-sticks. De bedrijven wier producten slecht uit de tests kwamen, begonnen over “smaad” en “reputatieschade”, en dreigden met advocaten. De bedrijven in kwestie hadden het rapport trouwens nog niet gezien toen een van de wel succesvolle firma’s al met een juichend persbericht naar buiten kwam. Dat was inderdaad niet zo netjes. De bedrijven allemaal op de hoogte houden is dus wel belangrijk.

Arnoud

Engelse wet kan verdachte dwingen om data te decrypten

Geplaatst op in Security, 1 reacties

In Groot-Brittannië is het sinds kort verplicht om gegevens onversleuteld te overhandigen aan de autoriteiten. Indien nodig moeten medewerking worden verleend aan het ontsleutelen van de gegevens, zo melden onder andere Security.nl en Tweakers.

Bedrijven en individuen die een ‘Section 49’-dwangbevel krijgen, zijn verplicht de decryptiesleutels te overhandigen of de voor onderzoek gewenste gegevens in plaintext te overhandigen. De Britse rechtshandhaving ziet zich naar eigen zeggen steeds vaker geconfronteerd met versleutelde data, wat de voortgang van onderzoeken belemmert. … Weigering om aan ‘Section 49’ te voldoen kan een gevangenisstraf van twee jaar opleveren of, als het onderzoek de staatsveiligheid betreft, zelfs vijf jaar.

Zo heel nieuw is dit niet, al is de Engelse wet wel relatief streng. Bij ons geldt al jaren een dergelijke verplichting om wachtwoorden aan de politie te geven. Artikel 125k Wetboek van Strafvordering bepaalt:

1. Voor zover het belang van het onderzoek dit bepaaldelijk vordert, kan indien toepassing is gegeven aan artikel 125i of artikel 125j tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Degeen tot wie het bevel is gericht, dient desgevraagd hieraan gevolg te geven door de kennis omtrent de beveiliging ter beschikking te stellen.
2. Het eerste lid is van overeenkomstige toepassing indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Een uitzondering is wel lid 3: een bevel tot afgifte van sleutels of andere informatie over de beveiliging mag niet worden gegeven aan de verdachte.

Hoe waardevol zo’n beval in de praktijk zal zijn, moet nog blijken. Ten eerste, waarom zou iemand zijn wachtwoord afgeven als hij daardoor bewijs onthult van een misdrijf dat hij gepleegd heeft? Dan liever de cel in voor het niet afgeven van het wachtwoord.

Ten tweede zijn er genoeg technische oplossingen om het afgeven van zo’n wachtwoord zinloos te maken. Het bekendste voorbeeld is de plausible deniability van harddisk-encryptiesoftware Truecrypt. Met deze software kun je een hele partitie op de harde schijf versleutelen. Het bijzondere is dat je in zo’n versleutelde partitie een tweede partitie kunt opnemen die met een aparte sleutel versleuteld is. Alleen: zonder die aparte tweede sleutel is die tweede partitie niet terug te vinden. Hiermee kan de eigenaar van de harde schijf dus desgevraagd de eerste sleutel afgeven, waarna relatief onschuldige gegevens ontsleuteld worden, zonder dat de “echte” gegevens zichtbaar worden.

Arnoud