id: Гость   вход   регистрация
текущее время 15:39 29/03/2024
Автор темы: unknown, тема открыта 19/05/2006 22:02 Печать
http://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/УголовноеПреследованиеВладельцевШифровальныхКлючейВUK
создать
просмотр
ссылки

Уголовное преследование владельцев шифровальных ключей в UK


Sattva, хотелось бы чтобы Вы, если сочтёте нужным, запостили со своим переводом и комментариями эту новость на главную страницу:


http://www.mail-archive.com/cr.....wd.com/msg06174.html
http://archives.seul.org/or/talk/May-2006/msg00284.html
http://archives.seul.org/or/talk/May-2006/msg00286.html
http://news.zdnet.co.uk/0,39020330,39269746,00.htm


Мне часто больше понятны технические аспекты криптографии, а тут явный юридический казус.
В Англии вроде бы и раньше была угроза двух лет тюрьмы за отказ сдачи своих шифровальных ключей полиции?


Но в последние годы, в связи с широким распространением крипто этот закон, что, не применяли? Или он противоречил конституции и его приостановили? Они что, собрались менять конституцию или уголовный кодекс, где подозреваемый обязан свидетельствовать против себя? Как это коснётся почтовых серверов, ремэйлеров, узлов сети TOR, on-line-банков, филиалов фирм, использующих VPN, где разглашение одного ключа ставит под угрозу раскрытия данных сразу многих пользователей?


Мне это всё не очень понятно, боюсь, что если я просто переведу дословно, не понимая толком сути вопроса, то новость на нашем сайте будет некомпетентной. У Вас это получится явно лучше.


 
Комментарии
— SATtva (20/05/2006 13:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хочу сразу оговориться, что я не эксперт по общему праву, но постараюсь допустить поменьше фактических ошибок. Надеюсь, Elk тоже прокомментирует эту тему, он в этих вопросах достаточно компетентен.

Закон о правовом регулировании следственных полномочий (Regulation of Investigatory Powers Act, или сокращённо RIP* Act) был принят в июле 2000 года. Этот законодательный акт можно сравнить с нашим законом "О следственно-оперативных и розыскных мероприятиях", однако более широкой сферы применения.

[*] Можно ещё расшифровать как "rest in peace" — покойся с миром. :)

Этот массивный и весьма сложный документ состоит из пяти частей. Первая посвящена перехвату коммуникаций в сетях электросвязи, вторая — наблюдению и слежке, третья — следственным действиям, затрагивающим зашифрованные данные, четвёртая — надзорным органам, а пятая содержит справочную информацию и различные приложения.

До принятия закона большие споры вызвала первая часть. Индустрию коммуникационных провайдеров волновал вопрос компенсаций со стороны правительства на установку оборудования для перехвата и прослушивания сообщений (похожую дискуссию можно вспомнить и у нас в связи с принятием закона о СОРМ). Закон не оговаривает явно размер таких компенсационных выплат, и были мнения, что введение закона в силу может привести к банкротству множества небольших компаний.

Третья и самая короткая часть RIP, озаглавленная "Investigation of Electronic Data Protected by Encryption etc.", является самой неоднозначной. Далее я разберу некоторые её положения.

Проблема в том, что нормы этой части закона относятся к любым зашифрованным или иным образом защищённым данным, полученным любым силовым ведомством в установленном любым законом порядке (пункт 1 раздела 49). Иными словами, для применения норм RIPA не требуется соблюдения каких-то специальных условий.

Последствия этого таковы, что любое облечённое законом лицо (полиция, таможня, спецслужбы), получившее в распоряжение перехваченные или изъятые зашифрованные данные, имеет право наложить на сторону, которая, как это лицо "полагает на разумных основаниях" (пункт 2 раздела 49), может располагать шифровальным ключом, "требование о раскрытии [информации]" (Imposition of a disclosure). Согласно этому требованию, обязанная им сторона должна представить либо ключ к защищённым данным, либо расшифровку этих данных, однако вид раскрытия определяет уполномоченное лицо (пункт 4 раздела 49, подпункт g).

А теперь присядьте: если уполномоченное лицо увидит "исключительные обстоятельства", для расследования которых недостаточно получения только расшифровки данных, то, согласно разделу 51, оно имеет право обязать подследственную сторону выдать шифровальный ключ для защищённых данных. Однако если подследственная сторона заявит, что не располагает рассматриваемой информацией либо нужным ключом расшифрования, она будет обязана выдать ВСЕ(!) шифровальные ключи, находившиеся в её распоряжении в момент получения требования (пункт 3 раздела 50).

(Всё вышесказанное относится как ключевому материалу, так и к парольным фразам, алгоритмам и всему остальному, "что позволяет получить или восстановить ключ либо обратить защищённую информацию в разумный вид" (пункт 9 раздела 50).)

Есть и ряд ограничений. Так, согласно пункту 9 раздела 49 требование о раскрытии не может быть представлено к ключам цифровой подписи, однако лишь в том случае, если ключ не использовался для шифрования данных. Кроме того, требование о раскрытии ключа, а не данных, должно соизмеряться с возможным "ущербом для бизнеса лица, обязанного требованием о раскрытии" (пункт 5 раздела 51, подпункт b), т.е., по идее, не должно налагаться на мастер-ключи банковских организаций. Кроме того, требование о раскрытии исключительно шифровальных ключей может налагать только высшее руководство силового ведомства; выданный ключ должен применяться только для расшифрования изначальной полученной информации, а затем быть уничтожен (раздел 55).

Итак, если, несмотря на получение требования о раскрытии, подследственное лицо откажется от выдачи расшифровки или ключа либо не выдаст их до истечения срока требования, согласно разделу 53, его ожидает уголовное преследование. Если в суде обвинение докажет, что а) сторона располагала ключом в момент получения требования и б) не возникнет разумных сомнений в обратном, подследственный может быть приговорён к сроку до двух лет тюрьмы, либо к штрафу, либо к тому и другому.

Всё это довольно страшно... однако по сей день не действует. Английское право основано на т.н. первичном и вторичном законодательстве (primary and secondary legislation). Первичное — это непосредственно законодательные акты, принятые Парламентом. Вторичное — это распоряжения министров, вводящие те или иные положения законов в силу. Принятие RIPA вызвало столько шума, что вторичные распорядительные акты "активизировали" все части закона, кроме третьей. Считалось, что правительство не хочет ввязываться в перепалку с правозащитниками и придерживает эти жёсткие нормы "на чёрный день". Теперь с помощью привычных уже жупелов "детская порнография" и "терроризм" МВД Великобритании пытается запустить третью часть RIPA в действие.

(До нынешнего времени таможня Объединённого Королевства могла также потребовать выдачи шифровальных ключей для перевозимых через границу данных, но это было связано с другим законодательством, относящимся именно к перемещению информации через границу.)

Как со всем этим бороться? Методов несколько. Технические — это стеганография и "отрицаемое шифрование" (deniable encryption), используемое, в частности, в TrueCrypt (без привлечения дополнительных мер и улик в суде невозможно доказать, что контейнер TC — это зашифрованные данные, а любые сомнения всегда толкуются в пользу обвиняемого); для защиты пересылаемых данных следует использовать PFS — краткосрочные сеансовые ключи, согласуемые после аутентификации с помощью ключей цифровой подписи (такая схема применяется в Tor, в ремэйлерах и во множестве других систем и протоколов). Есть ещё проект m-o-o-t — ОС, специально разработанная как противодействие третьей части RIPA, которую авторы обязуются опубликовать после ввода этих норм в силу.

Правовые методы защиты — это ссылки на забывчивость: подсудимый может утверждать, что пароль, защищающий ключ, был настолько сложен, что стресс от предъявления требования о раскрытии информации привёл к забыванию. Но прокатит ли такая отмазка в суде — вопрос открытый. Но вообще, на мой взгляд, лучше пойти на сотрудничество со следствием, и если дело касается зашифрованного PGP-сообщения, выдать сеансовый ключ, что позволяет GnuPG: это ограничит ущерб и не приведёт к нежелательным уголовным последствиям.
— SATtva (20/05/2006 17:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кстати, написание комментария родило у меня один любопытный вопрос. А как поступит конченный изващенец-педофил с долей здравого смысла или хладнокровный террорист, на совести которого тысячи неповинных жизней, когда им будет предъявлено требование о раскрытии информации? Выбор такой:

1. От 25 до пожизненного в тюрьме либо экстрадиция в Штаты с перспективой высшей меры

либо

2. Два года или штраф за невыдачу ключа.

:lol:
— unknown (20/05/2006 20:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Да, интересный поворот сюжета. Спасибо за разъяснения. Надо ещё дождаться пока Шнайер этот закон разнесет по всем пунктам. :-)



1. От 25 до пожизненного в тюрьме либо экстрадиция в Штаты с перспективой высшей меры

либо

2. Два года или штраф за невыдачу ключа



Понятно, за террористов и педофилов можно не беспокоится. Они от столь неразумных законов не пострадают. В отличию от журналистов, диссидентов, оппозиционеров, правозащитников, пацифистов и прочих более нелюбимых правительствами людей. Их то будет легче принудить к раскрытию и сотрудничеству в случае чего.

Мне лично кажется, что прогресс необратим и попытки регулировать оборот шифрованной информации и контроль над выдачей шифровальных ключей провалятся. Так же как было с попытками законов о депонировани ключей в Америке.
— Elk (21/06/2006 20:53)   профиль/связь   <#>
комментариев: 73   документов: 1   редакций: 0
unknown, приватность никак не описана документально. Это английский народный обычай, что-то вроде джентльменского соглашения между властями и нацией. Джентльменов во власти всё меньше. Те, кто их сменил, считает себя несвязанным. В США – аналогично.

Конституции, как документа, в Великобритании нет, кодексов тоже. В разных штатах Америки кодификафия действующих законов происходит по мере осознания необходимости (кучу разрозненных законов применять неудобно). Вновь принятые законы, поэтому, кодексам не соответствуют. Многие их подходы диаметрально противоположны тем, что применяются у нас.

SATtva, мало осталось мест, где банковские операции – тайна для государства. Даже в оффшорах прописана обязанность при открытии счёта сообщать госчиновнику имя истинного бенефициара. Там, правда, верили на слово :-). "Ущерб для бизнеса лица" – это о частных врачах, лоерах и им подобных.

Неприятно другое. У представителей властей появилась возможность упечь неугодного (по любым мотивам, вплоть до личной корысти или неприязни), используещего шифрование или шантажировать его. Сгенерировать ключевую пару, зашифровать ею десяток-другой сообщений, выслать их конкретному человеку, затребовать все ключи и убедить присяжных в том, что обвиняемый не выдал им нужный ключ. Ключи – это то, что хранится в ограниченном количестве экземпляров и уничтожается в случае действительной или мнимой угрозы или просто заменяется в профилактических целях. При манипулировании ключами предпринимаются возможные меры, для неоставления следов. Осуждать будут на основании отсутствия следов, которые принято уничтожать всегда.

"Мы считаем, что обвиняемый получал письма с предложениями от террористов (или продавцов ДП). Да, он не отвечал им, но и не сообщал властям об их активности. Расшифровав текст, мы получили бы дополнительную информацию, которая, как мы полагаем, помогла бы нам в поиске преступников. Но он упорно отказывается предоставлять нам ключ и сообщать о содержании писем."

Если у кого-то есть недоброжелатели среди чиновников, то порог использования сильного крипто для целей защиты приватности возрастает. Что спецслужбам и требуется.
— SATtva (03/07/2006 16:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
мало осталось мест, где банковские операции – тайна для государства.

В банковской сфере криптография первично обеспечивает аутентификацию транзакций, это важнее обеспечения их тайны. Представляете, если к мастер-ключам банка получат доступ посторонние лица?

С остальным согласен.
— Elk (04/07/2006 16:42)   профиль/связь   <#>
комментариев: 73   документов: 1   редакций: 0
Я не о технике, а о том, что банковская деятельность отрегулирована государствами задолго до RIP Act-а. Стороне обвинения очень мало смысла применять оный акт, уводя от ответственности и смягчая санкции. Наказания жёстче и обширнее, чем какие-то 2 года для одного зиц-председателя. Корпорации – не только коллективная безответственность, но и ответственность. Сядут все, если что..
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3