W Wielkiej Brytanii dwóch skazanych na mocy RIPA za nieujawnienie haseł
W 2007 roku odnotowałem wejście w życie w Wielkiej Brytanii części przepisów The Regulation of Investigatory Powers Act (RIPA), na mocy których osoba stosująca technologie szyfrujące powinna, na żądanie władz, udostępnić sposób deszyfracji (por. Szyfrujesz? Ujawnij klucz, albo więzienie.). Okazuje się, że już dwie osoby zostały skazane na Wyspach w związku z nieujawnieniem stosowanych przez siebie haseł.
O tych skazaniach informują różne źródła, m.in. w tekst Two UK residents imprisoned for password offenses. Głównym źródełem tych doniesień jest jednak roczny raport brytyjskiego Komisarza ds. Nadzoru, sir Christophera Rose - ANNUAL REPORT of the Chief Surveillance Commissioner to the Prime Minister and to Scottish Ministers for 2008-2009. Raport z działalności Komisarza obejmuje okres od 1 kwietnia 2008 roku do 31 marca 2009 roku. W przywołanym raporcie można m.in. przeczytać (w rozdziale pt. "Statistics relating to the use of property interference and covert surveillance (including the use of Covert Human Intelligence Sources (CHIS) and s.49 Encryption"):
My Commissioners and Inspectors attended a briefing by the National Technical Assistance Centre (NTAC) regarding the processes and procedures for the investigation of protected electronic information. During the period of this report, NTAC approved 26 applications for the service of a notice under s.49 of RIPA Part III. Of these 17 went on to obtain permission from a Judge. No permissions were refused and 15 Notices were served. Eleven individuals failed to comply resulting in seven charges and two convictions. The types of crime under investigation were: counter terrorism, child indecency and domestic extremism.
Na podstawie art. 49 RIPA NTAC rozpatrywało 26 wniosków, 17 z nich trafiło do sądów, piętnaście osób odmówiło ujawnienia haseł po uzyskaniu żądania władz, z czego dwie osoby zostały już skazane.
Opublikowany raport wywołuje już dyskusję na temat inwigilacji obywateli w brytyjskim społeczeństwie (por. np. Leading article: Time to dismantle our surveillance society). Zwraca się uwagę na fragment raportu, w którym jego autorzy stwierdzają, że jeśli rząd nie chce, by władze stosowały nadane im uprawnienia przez Parlament, powinno się postulować, by Parlament tak zmienił przepisy, by tych uprawnień nie było (""If... the Government does not wish public authorities to use powers conferred by Parliament, the proper course... is for Parliament to remove those powers"")...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Co bardziej zaradni pewnie
Co bardziej zaradni pewnie tworzą ukryte szyfrowane partycje TrueCryptem ;) Jak by co, to podają hasło do partycji "czystej".
A jakbym miał niezniszczalny sejf
Tak się zastanawiam, co by było gdyby komputer nie był zaszyfrowany ale gdybym go miał w bunkrze, do którego nie da się wejść bez jakiegoś wymyślnego kodu na zamku przy drzwiach. Coś w stylu hollywoodzkich zabezpieczeń laserami, minami, gazem trującym. Czy byłbym zmuszony do otwarcia prokuratorowi takiego pomieszczenia w przypadku toczącej się przeciw mnie sprawy, czy mógłbym powołać się na artykuł gwarantujący mi możliwość nie podawania informacji, które mogłyby mi zaszkodzić. Jeżeli nie musiałbym udostępniać pomieszczenia, to dlaczego miałbym udostępniać zawartość elektromagnetycznych nośników danych?
Być może jest to bardzo kulawe porównania, gdyż prędzej czy później udałoby się do takiego pomieszczenia przekuć (nie znam matariałów, które byłyby odporne na wszelkie możeliwe sposoby zniszczenia); w każdym razie udałoby się tam dostać szybciej niż złamać PGP.
Z tego co ja się słabo
Z tego co ja się słabo orientuję w procesach nie mogą być wykorzystane materiały zdobne w nielegalny sposób. Tak więc czy nawet po złamaniu haseł zawartość komputera ma jakąś moc dowodową?
Złamanie haseł nie byłoby
Złamanie haseł nie byłoby "nielegalne". Zakładam, ze policja/prokuratura dysponuje nakazem przeszukania. I tak jak może uszkodzić zamek w drzwiach (jesli nikt nie chce jej wpuscic), tak i może złamać hasło. Brak jest elementu bezprawności - czynnośc jest nalezycie umocowana - nie jest więc "nielegalna".
Ciekawa sprawa z tymi
Ciekawa sprawa z tymi brytyjskimi przepisami. Generalnie jednak na polskim gruncie zgadzam się z Zefirynem. Postanowienie o przeszukaniu to jedno i jeśli policja zabierze sprzęt komputerowy to może go przejrzeć, a jeśli dyski są zaszyfrowane to może bawić się w łamanie szyfrów i jeśli je złamie to plus dla nich. Ale jeśli nie daje rady z szyframi to moim zdaniem nie można nikogo zmusić do podania hasła, właśnie w myśl zasady, że nikt nie może być zmuszany do dostarczania dowodów przeciw sobie.
Ok. Ale ile czasu dajemy im
Ok. Ale ile czasu dajemy im na złamanie haseł i po jakim czasie muszą obligatoryjnie oddać sprzęt właścicielowi? 5 lat (śmiech na sali)? O ile się orientuję mogą sobie go trzymać ile im się "uvidi" - imo jest to grabienie obywateli w majestacie prawa.
BTW - za "zaginiony" sprzęt z policyjnych magazynów już ktoś poniósł konsekwencje, czy rozeszło się po kościach?
Istnieje jakiś przepis
Istnieje jakiś przepis mówiący o tym w Polskim prawie?
Na szczęście polski wymiar
Na szczęście polski wymiar sprawiedliwości ma tutaj dla oskarżonego znacznie korzystniejszą ofertę począwszy na znikania bez śladu już zabezpieczonego materiału dowodowego, gubieniu akt a skończywszy na przeciągania postępowania tak długo, aż świadkowie umrą ze starości.
--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/
Ta zasada nie dotyczy
Ta zasada nie dotyczy polskiego prawa gdzie dowodem może być wszystko to co sąd uzna za dowód.
Cryptocarty
Zastanawia mnie, jak wyglądałoby oskarżanie o 'nieujawnienie hasła' kogoś, kto do szyfrowania używa karty kryptograficznej, która sprzętowo wygenerowała kod i którego kopia nigdy nie istnieje. Taką kartę stosunkowo łatwo zablokować, podając niewłaściwy admin-pin z dziesięć razy - i co wtedy?
honej (od wczoraj użytkownik krypto-karty gpg w wersji 2.0)
A co z ludzką pamięcią?
Może to i naiwne tłumaczyć się że się zapomniało hasła, ale na zasadzie nie odmawiam jego podania tylko go nie pamiętam. Ludzie często nie pamiętają 4 cyfrowego pinu do swojej karty kredytowej, hasła w komputerze, albo są to właśnie proste hasła typu imię kota, psa itp. A kto normalny do ważnych danych da takie proste hasło. Nie zawsze się pamięta hasło, tym bardziej te skomplikowane, szczególnie jeśli rozsądnie używa się większej liczby haseł a nie tylko jednego, paru do wszystkiego.
... tym bardziej w stresie.
Ja np. nie siedząc wygodnie przed moim komputerem mam problem z wpisaniem hasła do mBanku. Jakoś tak to działa, że zazwyczaj ręce same piszą - nawet nie myślę o tym, co. Jeśli natomiast ktoś nade mną "wisi", pojawia się problem.
Bank to oczywiście tylko przykład, to samo dotyczy różnych innych (nieoczywistych) haseł.
Ale ja już dawno nie wierzę, by te wszystkie łapanki "terrorystów", "pedofili" i "piratów" (lądowych :->) były po to, aby kogoś chronić. Teraz tylko produkują więźniów.