V sobotu 2. listopadu proběhla mohutná oslava naší plnoletosti !!
Multimediaexpo.cz je již 18 let na českém internetu !!

Povinné vydávání klíčů

Z Multimediaexpo.cz

Povinné vydávání klíčů znamená, že lze za určitých zákonných podmínek vynucovat, aby osoba vydala klíče k zašifrovaným datům. To umožňuje získat přístup k těmto datům a tato data zajistit, buď jako důkaz pro soudní proces nebo v zájmu národní bezpečnosti. Podobnou povinností je povinné dešifrování, kdy lze ze stejných důvodů vynutit na někom dešifrování dat.

Například pokud je v určitém státě zakázáno držení dětské pornografie, může se pachatel snažit vyhnout usvědčení tím, že ukládá média s dětskou pornografií na svém počítači zašifrované, takže k nim nemá přístup nikdo, kdo nedisponuje dešifrovacím klíčem. Ve státě, kde platí povinné vydávání klíčů nebo povinné dešifrování, mohou státní orgány přinutit pachatele vydat klíč (resp. dešifrovat data), takže lze dešifrovaná data zajistit jako důkaz proti pachateli. Ve forenzní informatice existuje mnoho dalších příkladů, jak lze použít získaná data, včetně nepřímého použití, například ke zjištění úmyslu pachatele.

Kritici takovýchto zákonů v nich vidí narušení soukromí informací – tím, že může dojít k odkrytí osobních informací, které se nevztahují k vyšetřovanému zločinu. Považují ho také za porušení práva udávat sebe sama, resp. obecněji práva nevypovídat, v zemích, kde se taková práva respektují. V některých případech nemusí být možné dešifrovat data, protože se klíč ztratil, byl revokován nebo protože se jedná o náhodná data, která nelze efektivně odlišit od dat zašifrovaných.

Proaktivní alternativou k povinnému vydávání klíčů je zákonná povinnost poskytovat státním orgánům veškeré používané kryptografické klíče, které se pak smí použít pouze v případě náležitého odůvodnění (např. prostřednictvím soudního příkazu). Tyto systémy ale čelí technickým problémům a jsou kritizovány úplně stejně jako povinné vydávání klíčů. Sice řeší některé případy jako ztracené klíče, ale zase přinášejí velké riziko v případě úniku velkého počtu klíčů.

Konkrétní implementace právních předpisů ohledně vydávání klíčů se v různých zemích liší. Například v Austrálii mají státní orgány široké pravomoci vynutit si pomoc při dešifrování dat od kterékoli osoby. Někde, například v Belgii, kvůli znepokojení z vypovídání proti sobě samému, lze pomoc při dešifrování dat vynutit pouze na osobách, které nejsou mezi podezřelými. Někde se povinnost týká jen některých subjektů, například telekomunikačních operátorů, certifikačních autorit nebo správců šifrovacích služeb. Ve všech případech je obecně potřeba úřední (soudní) příkaz.

Obsah

Podle států

Antigua a Barbuda

Computer Misuse Bill, 2006, Článek 21(5)(c), by v případě schválení umožňoval policii se soudním příkazem vyžadovat a použít dešifrovací klíče. Při odmítnutí by bylo možné uložit pokutu 15 tisíc východokaribských dolarů a/nebo vězení až na dva roky.[1]

Austrálie

The Cybercrime Act 2001 No. 161, Položky 12 a 28 zajišťují policii s příkazem soudce široké pravomoci požadovat, „aby určená osoba poskytla jakékoli informace nebo pomoc, které jsou přiměřené a nezbytné k tomu, aby policista získal přístup k počítačovým datům, která jsou důkazním materiálem“; toto lze chápat tak, že sem patří i povinné dešifrování. Kdo pomoc odepře, bude potrestán odnětím svobody na 6 měsíců. Electronic Frontiers Australia považuje takové ustanovení za „alarmující“ a „v rozporu s běžnou právní výsadou nevypovídat proti sobě“.[2]

Belgie

Loi du 28 novembre 2000 relative à la criminalité informatique (Zákon o počítačové kriminalitě z 28. listopadu 2000), Článek 9, umožňuje soudci nařídit operátorům počítačových systémů a poskytovatelům telekomunikačních služeb poskytnutí pomoci bezpečnostním složkám, včetně povinného dešifrování; o poskytnutí součinnosti musí zachovávat mlčenlivost. Toto nelze použít proti podezřelým a osobám jim blízkým. Odmítnutí se trestá odnětím svobody na 6 měsíců až 1 rok a/nebo pokutou 130 až 100 000 EUR.

Kanada

Kanada implementuje vydávání klíčů širokou interpretací „existujících procedur výslechů, pátrání, pomoci a zajišťování věcí“;[3] v prohlášení z roku 1998 vysvětluje ministr John Manley, že „soudní příkazy a nařízená pomoc se vztahují i na situace, kdy jde o šifrování – k získání dešifrovaného materiálu nebo dešifrovacích klíčů“.[4]

Finsko

Zákon o donucovacích prostředcích (Pakkokeinolaki) 1987/450 (ve znění zákona 2007/541) část 4, § 4a[5] požaduje, aby určená osoba vydala policii nezbytná „hesla a další takové informace“, aby bylo možné získat přístup k informacím uloženým v informačním systému. Podezřelý a další určené osoby, které jinak nelze považovat za svědky, jsou z této povinnosti vyloučeni. Existuje návrh (vládní návrh HE 222/2010 vp[6]), který by to měl změnit, což může mít dopady na to, jak lze k informačním systémům přistupovat a vyhledávat v nich.

Francie

Loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (Zákon #2001-1062 o komunitní bezpečnosti z 15. listopadu 2001), Článek 30, umožňuje soudci nebo státnímu zástupci požadovat po kterékoli kvalifikované osobě, aby dešifrovala nebo poskytla klíče k získání jakékoli informace, která byla nalezena při vyšetřování. Odmítnutí se trestá vězením na 3 roky a pokutou 45 000 EUR. Pokud by získání informací zabránilo zločinu nebo ho zmírnilo, trest se zvyšuje na 5 let vězení a 75 tisíc EUR pokuty.[7]

Indie

Information Technology Act, ve znění Information Technology (Amendment) Act z roku 2008, dává v Části 69 pravomoci centrální vládě a vládám jednotlivých států vyžadovat pomoc od kteréhokoli „odběratele nebo zprostředkovatele“ při dešifrování informací.[8] Odmítnutí se trestá vězením až na 7 let a/nebo pokutou.

Spojené království

Regulation of Investigatory Powers Act 2000 (RIPA), Part III, aktivovaný ministerským příkazem v říjnu 2007[9] vyžaduje, aby osoby poskytovaly zástupcům státu dešifrované informace a/nebo dešifrovací klíče. Odmítnutí se trestá trestem odnětí svobody až na dva roky. Opatření bylo poprvé použito proti aktivistům za práva zvířat v listopadu 2007[10] a nejméně tři lidé byli obžalováni a shledáni vinnými pro odepření vydání klíčů[11]; jeden z nich byl odsouzen ke 13 měsícům vězení.[12]

Spojené státy americké

V USA nyní neexistuje žádný zákon ohledně vydávání klíčů, ovšem federální případ USA v. Boucher může mít účinky jako precedens. V tomto případu byl laptop onoho muže zkoumán celními agenty a byla objevena dětská pornografie. Přístroj byl zajištěn a vypnut, čímž se vzhledem k šifrování disku stal důkaz nedostupným. Soudce prohlásil, že protože daný obsah již viděli celní agenti, Boucherovo heslo „přidává jen málo nebo vůbec nic k celkové sumě informací, které mají státní orgány ohledně existence a umístění souborů, které mohou obsahovat inkriminované informace“.[13]

Reference

  1. Antigua and Barbuda: The Computer Misuse Bill, 2006
  2. Electronic Frontiers Australia. Privacy Laws in Australia: Security / Cybercrime. Retrieved 2010 November 8.
  3. The Digital Economy in Canada: Summary of Canada’s Policy on Cryptography
  4. The Digital Economy in Canada: Speaking Notes for John Manley: Canada's Cryptography Policy
  5. Coercive Measures Act (Pakkokeinolaki)
  6. Government Proposal HE 222/2010 vp on revising the acts on coercive measures and investigative powers (Hallituksen esitys eduskunnalle esitutkinta- ja pakkokeinolainsäädännön uudistamiseksi).  [cit. 2019-06-13]. Dostupné online.
     
  7. Loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. Articles 30-31. NOR: INTX0100032L. Version consolidée au 14 mai 2009. Accessed 2010 November 11.
  8. The Institute of Chartered Accountants of India. Chapter 10: Information Technology (Amended) Act, 2008. Paper – 6 : Information Systems Control and Audit. Study Material - Final (New). Accessed 2010 November 19.
  9. http://www.theregister.co.uk/2010/10/06/jail_password_ripa/
  10. http://www.theregister.co.uk/2009/11/24/ripa_jfl
  11. . Dostupné online.  

Související články