02.10 // Власти Великобритании будут требовать выдачи ключей шифрования
В Великобритании вступила в силу третья часть Акта о правовом регулировании следственных полномочий (Regulation of Investigatory Powers Act, RIPA), принятого в 2000 году.
Акт RIPA состоит из пяти частей, определяющих полномочия правоохранительных органов при проведении следственных мероприятий, перехвате информации и пр. Третья часть RIPA посвящена вопросам, связанным с информацией, передающейся или хранящейся в зашифрованном виде. Согласно принятым положениям, правоохранительные органы Великобритании вправе требовать выдачи криптографических ключей или данных в расшифрованном виде, от лиц, которые, как полагает следствие, располагают подобными сведениями.
Однако наиболее важен тот факт, что за отказ от сотрудничества с органами безопасности лицо, согласно акту RIPA, может быть помещено за решетку. При этом, если речь идет о расследованиях антитеррористического характера, максимальный срок лишения свободы за отказ предоставить криптографические ключи достигает пяти лет. В остальных случаях срок тюремного заключения ограничивается двумя годами.
Третья часть акта RIPA вызывает резкую критику со стороны многих экспертов и правозащитных организаций. Теперь правоохранительные органы Великобритании фактически смогут требовать выдачи любых, даже конфиденциальных сведений от лиц, которые имеют самое отдаленное отношение к делу. К тому же некоторые пункты третьей части акта предполагают достаточно широкое толкование и далеко неоднозначны.
Обозреватели уже отмечают, что компании и частные лица, работающие с информацией в зашифрованном виде, будут вынуждены переместить все свои информационные активы в офисы и на серверы за пределами Великобритании. Примечательно, что принятие акта привело к появлению проекта m-o-o-t, участники которого разрабатывают специальную операционную систему для противодействия третьей части RIPA. Все данные (основные документы, вспомогательные файлы и криптографические ключи), с которыми работает пользователь на компьютере под управлением m-o-o-t, хранятся на удаленных серверах. Причем для передачи информации используется криптографически усиленный вариант протокола FTP.
Источник: http://security.compulenta.ru/334378/
Смотрите также: «Британца посадили за отказ сдать пароль» (Новости),
«Параноик попал за решётку за отказ выдать шифроключи» (Новости),
«"Взлом" грубой силой: полиция получила пароль с помощью пыток» (Новости),
«Британский суд: подсудимый не вправе отказаться от выдачи ключа как свидетельствования против себя» (Новости),
«Первые злоупотребления законом о выдаче шифровальных ключей» (Новости)
комментариев: 11558 документов: 1036 редакций: 4118
Более того, все обычные средства от PGP Whole Disk до Linux cryptsetup-luks имеют документированный формат, отличающийся от белого шума.
Кстати, если вернуться к теме, один из комментаторов (Ричард Клейтон из Кембриджа) отмечает, что некоторые островки безопасности законодатель предусмотрел. Так, лицо, получившее запрос на раскрытие ключа, может заявить, что просто забыл его (ключ или пароль, из которого тот разворачивается или которым он зашифрован). В этом случае обвинитель должен будет убедить жюри присяжных во лжи подозреваемого, например, показав, что тот активно использовал ключ до самого последнего времени.
+1
Идея с одноразовым блокнотом очень понравиться органам :) Теперь у тебя нет шансов доказать, что ты не верблюд.
В современных реалиях в России, а порой и в других местах эти красивые слова не будут работать. Если у следователей появится уверенность в <...> (нужное вставить), то будут бить пока не получат чистосердечных признаний во всём, что предполагается, и ещё кучу сверху навесят того чего не было. Как следствие, рекомендуется работать только с более реальными моделями, которые учитывают, что попадание в круг подозреваемых чревато тем, что вы уже не сможете сохранить тайну.
комментариев: 9796 документов: 488 редакций: 5664
При аресте пользователь утверждает, что все пароли к его ключам состояли из двух частей.
Одну часть он запоминал. Другую (она может быть общей для множества разных паролей), он сгенерировал в виде длинной
случайной строки и записал на маленькую бумажку.
Пользователь утверждает, что бумажку он уже уничтожил ещё до ареста, а её содержимое вспомнить невозможно.
У допрашивающей стороны по крайней мере три варианта:
1) Пользователь действительно всё сделал как он говорит и успел уничтожить бумажный мастер-пароль. Тогда его даже пытать бесполезно (если только в контрольных целях).
2) Пользователь всё это выдумал для суда, а на самом деле, он прекрасно помнит пароли.
3) Пользователь уничтожил мастер-пароль, но неизвестно сохранил ли он где-нибудь копию (у доверенных лиц или в лесу закопал). Если закон обязывает выдавать ключи по требованию, он же не запрещает их уничтожение?
...) Может быть масса других вариантов, которые делают требование выдачи ключей по крайней мере противоречащим презумпции невиновности. Можно завалиться целой кипой бумажек с кодами и ежедневно менять по ним пароли. А если никакая из них не подойдёт, то тут может быть ещё более трёх вариантов.
P. S. Бумажку можно пропитать нитратом аммония для быстрого сгорания.
P. S. S. Книга "Между шёлком и цианидом". Часть вторая. Наши дни. Только вместо Гестапо теперь английские спецслужбы.
Если презумпция невиности очень жёстко нарушается, то ничего не поможет, можно и ангела обвинить в чём-угодно.
Но в крайнем случае можно для небольших объёмов данных сочетать: стеганографию (все файлы пользователя выглядят безобидными), уничтожаемый пароль на внешнем носителе (его нельзя вспомнить, но легко заменить)+запоминаемый пароль.
комментариев: 11558 документов: 1036 редакций: 4118
Великолепно!
комментариев: 11558 документов: 1036 редакций: 4118
Как известно, где два юриста — там три мнения; я лишь излагаю свою точку зрения на этот вопрос. Имейте в виду, её разделяют и другие специалисты. Но попытаться пожонглировать в суде аргументами Вам ничто не мешает. ;-)
[QUOTE]что при устном свидетельствовании Вы подвергаетесь риску инкриминировать самого себя. Но документ, как и сторонний свидетель, обязан "сообщить" всю информацию, которой располагает; Вы же не имеете права ограничивать его в этом свидетельствовании.[/QUOTE]
А если как обвиняемый? Получается, что он должен предоставить доказательства своей вины? Так?
Тогда предлагаю принять другой закон, который очень быстро сведет престумность на нет – "Пожизненное заключение за отказ в чисто сердечном признании".
Как там в американских фильмах – "Вы можете хранить молчание, [поскольку] всё что вы скажете, может быть использовано против вас."
А вообще есть проблема в том, что толкование закона есть продукт "внутрицехового" соглашения юристов, которые могут выродиться в ни от кого не зависящую замкнутую касту.
комментариев: 11558 документов: 1036 редакций: 4118
Как отметил Baca6u, не забывайте о теме страницы. Всё, что я писал — нынешняя специфика Великобритании. В других странах пока возможны и иные варианты: де-юре, ни в Штатах, ни в России уголовная ответственность за сокрытие шифровального ключа не предусмотрена. Подобные действия могут трактовать как препятствование ведению следствия, но у нас ещё можно попытаться это оспорить.
А что говорят при задержании в Англии?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11 документов: 0 редакций: 0