Krypterede harddiske i retten

Man er inkompetent hvis man ikke krypterer alle harddiske/SSD'er med følsomme informationer, så firkantet kan det siges.

Det er der naturligvis også en masse kriminelle der har indset og derfor er der dukket nogle få sager op, hvor officer Odie ud over de 27 8x10 blanke farvefotografier med krydser og cirkler og en forklaring bagpå, også står med en harddisk han ikke kan læse fordi den er krypteret.

I civilizerede lande er borgere beskyttet imod selvinkriminering, i USAnsk politik er dette kendt som "pleading the fifth", efter deres grundlovs femte tilføjelse:

"[...]nor shall be compelled in any criminal case to be a witness against himself[...]"

Spørgsmålet er så, om det er "selvinkriminering" at udlevere sit password, hvornår man kan nægte det og om og hvornår retten kan tvinge en sigtet dertil.

De fleste lande har også en retsprocedure for husundersøgelser og oftest vil krypterede diske lande i krydsfeltet imellem en sådan ransagning og selvinkrimineringen.

Igen er der forskel på hvorledes det foregår under hhv. fransk og engelsk retstradition og også nationale forskelle under hver af disse regiemer.

Der er kommet en interessant kendelse i en USAnsk sag om børneporno, som giver håb om at der ikke bare går politistat i det hele, ihvertfald i USA.

I første runde havde dommeren besluttet at den sigtede ikke kunne tvinges til at udlevere/indtaste sit password, fordi politiet ikke havde sandsynliggjort at de allerede vidste hvad der lå på diskene.

Men vigtigere: De havde ikke bevist at han rent faktisk havde "kontrol over" diskene, de kunne f.eks tilhøre en bekendt eller en nabo der havde lånt hans computer, i hvilket fald politiet hverken havde ret eller årsag til at få dem dekrypteret, ligesom det ville være tvivlsomt om den sigtede kunne, selv hvis retten pålagde ham det.

Det er godt tænkt af dommeren, specielt pointen med at man ikke må pålægge den sigtede en byrde kan ikke kan løfte, hvis han nu faktisk ikke kender password.

Siden da er det lykkedes FBI at dekryptere en af den håndfuld krypterede drev der er tale om, herpå har de fundet den sigtedes financielle optegnelser, personlige billeder mv. samt et antal billeder der "må klassificeres som børneporno."

Politiet har også tidligere forelagt retten et vidnesbyrd fra sigtedes (formodentlig tidligere) arbejdsgiver, at han kendte rutiner for brugen af krypterede diske.

OK siger dommeren, nu har politiet vist at det er sigtedes diske, at han har (haft) kontrol over dem og at der er børneporno på dem.

Dermed er det ikke længere et spørgsmål om selvinkriminering, politiet har deres ællinger på rad, nu er det et spørgsmål om at fuldføre den husundersøgelse som dommeren allerede tidligere godkendte på en begrundet mistanke.

Ergo må den sigtede til tastaturet og dekryptere diskene, præcis som han måtte åbne døren til sit hjem for politiet, da de viste ham dommerkendelsen.

Hvis denne dom danner præcedens, har jeg kun ros til dommeren: Det er et klart og tydeligt ræsonemment der balancere retssikkerheden i privatlivsfredens favør, uden at sætte politiet helt ud af spillet, hvis de vel og mærke har en solid sag.

Hvis den mistænkte nu nægter, eller "har glemt sit password", er det foragt for retten, hvilket dommeren kan svinge hammeren over jvf.loven og i princippet fænglse den sigtede op til den maksimale straframme for den anklage der er rejst imod ham.

Men bemærk: Det her er en sag fra USA.

I Danmark har vi væsentligt ringere retssikkerhed på begge disse centrale områder.

phk

Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Pelle Söderling

En anden faktor herhjemme er hvem den politi-enhed herhjemme er som man vil få til at forsøge at bryde en sådan kryptering i første omgang? PET? Næppe. Svend Bent fra Nørresnede? Tænkeligt. Eller vil man outsource det til private virksomheder ? Der er trodsalt tale om juridisk bevismateriale.

Og hvad når det går op for folk at anvende kryptering rigtigt, så selv FBI kommer til kort? Eller ganske enkelt undlader at lægge nogen som helst private oplysninger på maskinen, som i ovenstående case? Det hele beror i et eller andet omfang på at der er en politi-enhed som i første omgang kan knække dele af materialet og sandsynliggøre at ejeren har noget med disken at gøre.

Og lad os sige man har "glemt" sit password, hvad så? Og hvad hvis det en dag viser sig at være rigtigt? Kan man tvinge folk til at huske et password de har glemt? :)

Det er bestemt ikke uden problemstillinger og jeg kan godt forstå det giver retsvæsenet lidt grå hår i hovedet (hvis det ik var gråt i forvejen altså).

  • 8
  • 0
Jeppe Boelsmand

Hvis man har påvist at personen har børneporno, har man så brug for at se hvad de ellers har for at dømme dem?

I mine øjne giver det ikke mening at man skal udlevere sit password uanset hvad. Det må være op til myndighederne at bryde ind i lagerenheden(hvis de har årsag til at ransage) og så dømme på baggrund af det de finder. Det jeg hører er at hvis man finder ulovlig porno på en lagerenhed og ejeren ikke vil give password til resten af sine lagerenheder, så kan myndighederne antage at det alt sammen er fyldt til randen med ulovlig porno og dømme derefter. Det virker uretfærdigt.

  • 1
  • 0
Henrik Kramshøj Blogger

Der er en masse antagelser om at disken udelukkende kan åbnes af ejeren som har koden, som i mange tilfælde ikke holder 100%. Enten grundet bagdøre eller frivillig opbevaring af koder hos eksempelvis Apple ved brug af Filevault.

Jeg bevæger mig sjældent rundt uden min laptop og rejser en del, så for mig er det mindst lige så interessant hvor mange rettigheder man har som rejsende.

Potentielt har du ved kontrollen inden adgang til USA som jeg forstår det så godt som ingen rettigheder.

Ligeledes er UK jo langt fremme med at kræve adgang til krypterede data, så hvis man er på besøg i UK kunne jeg snildt forestille mig at man ville blive afkrævet koderne.

Dernæst kommer der en skrækscenario hvor straf for IKKE at oplyse fastsættes til X år i isolation, hvorefter alle kriminelle som har inkriminerende data som vil give >X år ikke oplyser, hvorefter lovgiverne sætter X=X+1 rinse, repeat - indtil os som har privatlivet kært risikerer en høj straf blot fordi vi ikke giver Skat fri adgang til alle data.

NB: det er ikke tilfældigt at jeg bruger Skat som eksempel, da de er nogle af dem som øsnker at fiske mest i vores data! Læs: rockerlov som giver adgang til at inficere PC med spyware for NETOP at omgå kryptering, selv i små sager, pyha det er stygt allerede i Danmark

  • 23
  • 0
Lars Lundin

Loven om at man kan idømmes fængsel (op til 2 år i UK[*]) for ikke at oplyse et password finder jeg krænkende.

Det betyder jo at myndighederne har vendt bevisbyrden, og at man altså skal forsøge at bevise at man faktisk har glemt sit password
- hvilket næppe vil lykkes.

Og så er der naturligvis en rimelig relevant XKCD:

http://xkcd.com/538/

[*] http://en.wikipedia.org/wiki/Key_disclosure_law#United_Kingdom

  • 3
  • 0
Jesper Lund

Loven om at man kan idømmes fængsel (op til 2 år i UK[*]) for ikke at oplyse et password finder jeg krænkende.

Du er ikke den eneste
http://www.edri.org/edri-gram/number6.20/ripa-application-uk

Spørgsmålet er om loven krænker din ret til at undgå self-inkriminering efter EMRK. Denne jura blog siger "måske"
http://www.out-law.com/page-8826

Jeg er ikke bekendt med at der var været sager ved menneskerettighedsdomstolen om dette. Andre?

  • 0
  • 0
Lars Lundin

Skulle jeg nogensinde til USA ville det helt klart være med en nyinstalleret maskine og med en wipet disk.

Hvis du af en eller anden (muligvis fejlagtig) grund opfattes som interessant for amerikanske myndigheder og hvis din laptop ifbm. toldinspektionen bringes ud af dit synsfelt, så kan du ikke vide om der bliver installeret en keylogger eller andet, der kompromitterer din sikkerhed.

Ang. den wipede disk og ssh(fs), hvor er det så godt at opbevare sin private nøgle ?

  • 2
  • 0
Jesper Lund

Well...som PHK også skriver, så svarer det lidt til at man nægter politiet adgang til éns hus, selvom de står med en dommerkendelse.

Det synes jeg er en dårlig analogi. Hvis du nægter at give politiet adgang, kan politiet skaffe sig adgang med passende fysisk magt (låsesmed, bulldozer, eller whatever der er påkrævet).

Det vil svare til at politiet brute-forcer sig adgang til din krypterede disk, eventuelt med hjælp fra en hacker. Det har jeg ikke noget problem med, hvis en dommer har godkendt konfiskationen.

Men her taler vi om at du skulle have en pligt til at udføre bestemte handlinger for at hjælpe politiet med at bygge en sag mod dig selv. Det synes jeg er meget problematisk i forhold til EMRK og rettighederne mod selvinkriminering.

  • 9
  • 2
Per Gøtterup

SKAT har allerede fået smuthuller i ellers yderst 'hellige' lovgivninger. De fik lov til at trænge ind på privat grund for at kunne lave 'observationer', og de har fået lov til at benytte hacker-stjålne data til at afsløre danskere med hemmelige konti i de banker, hvis data blev stjålet. Det er på ingen måde i orden og jeg håber at disse ting bliver rullet tilbage når vi får en ny regering efter næste valg. Desværre viser erfaringerne jo at det sikkert ikke sker for når først noget er blevet muligt så er det stort set umuligt at tage væk igen.

Omkring disk-kryptering kan jeg oplyse, at jeg er meget glad for TrueCrypt, at alle mine diske er krypterede og at jeg meget let glemmer password hvis jeg bliver stresset, f.eks. af at nogen vil have adgang til mine data... ;)

  • 4
  • 0
Helge Svendsen

Tiltaget minder rigtignok om en dommerkendelse til et hus. Men det er jo svært at bevise, om man forestiller at have glemt sin nøgle, eller om man rent faktisk HAR glemt sin nøgle til en hard disk.

Jeg kan ikke se, hvordan man skal kunne kende god fra ond tro/hensigt her.

  • 2
  • 0
Mikkel Planck

Retsplejeloven giver nogenlunde samme beskyttelse, altså at hverken du eller nogen i den nærmeste familie behøver at "vidne" imod dig. Der hvor kæden hopper af, er der hvor retspraksis ikke følger retsplejeloven. Desværre sker dette hver dag, specielt i byretterne, og ikke mindst når politiet selv træffer beslutninger ud fra deres vurdering af omfanget af deres retskendelse. pt. kører jeg en sag for en kammerat, som fik deporteret/udvist hans kæreste, fordi hun var fra Nigeria.. de glemte bare at hun har unionsborger-rettigheder i Italien, hvilket de nægtede at undersøge, og sagen derfor skal køre fra Italien (hvor de forøvrigt sendte hende hen, og derfor ikke kunne være uvidende om det).

Scnenario: Vi har begrundet mistanke om at du har børneporno på din PC, og vi har en kendelse fordi du uforvarende har besøgt en hjemmeside der havde et billede i den kategori (muligvis fordi den var blevet overtaget af en hacker etc.). Vi forlanger at få åbnet din HDD, men finder ikke nogen snavs med børn på (heldigvis, da jeg selv er far til to døtre). Men hov... Der er da billeder af din private ganja-farm.. det må man vidst ikke,og ovenikøbet kan vi så undersøge din GPS, da vi har konstateret et lovbrud.

Hvis jeg har krypteret min HDD, så er det mindste man kan forlange, at de selv kommer til at kæmpe med at åbne den! Det er nøjagtigt sådanne små afvejninger der underminere vores retssikerhed. Argument for logningsdirektivet: Hvis du ikke har noget at skjule, så burde du ikke have noget imod det! Den største bruger af teledata oplysninger er efter sigende skat, og ikke for at gå efter hardcore kriminelle. Værn om jeres egen digitale anonymitet, og sats ikke på at hverken politikere eller retslige instanser gør det for jer!

I mine øre lyder det ikke som retssikerhed!

  • 1
  • 0
Helge Svendsen

Nu er jeg ikke på nogen måde ekspert i amerikansk lov, men lad os forestille os, der er givet en dommerkendelse til en bopæl pga af mistanke om ulovlig våben besiddelse.

Der findes ingen våben, men baghaven er fuld af skunk planter.

Mon ikke politiet godt må reagere på det så?

  • 0
  • 0
Mikkel Planck

Nu er jeg ikke ekspert i amerikansk lov, da mit fokus ligger på EU-retten, men jeg ved så meget, at det er rimeligt svært at få udstedt en retskendelse i USA, da hjemmet er tæt på ukrænkeligt. Gid vi kunne sige det samme her! Jeg har en rigtig rigtig god ven ved politiet, som uden at blinke har opstillet følgende to scenarier der bliver brugt herhjemme i praksis:
1.
Et bandemedlem kan der ikke udstedes en retskendelse på, så hvad gør man så? Man siger at han muligvis har forbindelser til radikale miljøer, og derfor er det nu terror-lovgivningen der træder til, og der er bevisførelsen stort set ikke eksisterende, og der er nu adgang til personens digitale og materielle liv .. Snedigt, men underminerende for retssikerheden!
2.
Politiet vil gerne have adgang til teleoplysninger på en person af interesse, men kan ikke få det, da der ikke er skyggen af bevis. Hvad gør den snarrådige politimand? Han tager da fat i skat, og siger at de mener der er noget funky ved ham. Skat henter herefter teleoplysninger, men informerer politiet om, at der ikke er noget at komme efter... Forøvrigt kan i lige få teleoplysningerne af os!

Det her bliver brugt i dag, men er strafbart ifølge retsplejeloven, så endnu er der ikke nogen der er retsforfulgt for dette. Jeg tvivler også på at en dansk byret ville dømme en tjenestemand på den baggrund, selvom det er et klart brud.. desværre!

Hvis politiet finder noget i forbindelse med en ransagning, så må de naturligvis bruge det, men det springende punkt må være om de skulle have haft den i første omgang, og om du kan blive tvunget til at inkriminere dig selv:-)

  • 7
  • 0
Mogens Hansen

Hvis politiet finder noget i forbindelse med en ransagning, så må de naturligvis bruge det, men det springende punkt må være om de skulle have haft den i første omgang, og om du kan blive tvunget til at inkriminere dig selv:-)

Dette er korrekt i Danmark, men ikke i USA, hvilket er hvad der blev spurgt til.

I Danmark må politiet gerne bruge den viden om dine hash-planter som de fandt under ransagningen for skatteundragelse. Dette gælder også, selvom det efterfølgende viser sig, at grundlaget for den oprindelige ransagning underkendes i retten.

I USA må politiet IKKE benytte denne viden til f.eks. at arrestere dig på stedet. MEN: de må gerne umiddelbart efter gå til dommeren med en "begrundet mistanke" og få udstedt en ny kendelse. Dermed bliver beskyttelsen lidt teoretisk.

  • 0
  • 0
Alex Rodenberg

nu er det jo sådan at Truecrypt forklarerer i dybe detailjer hvordan hidden volumes fungerer, og alt truecrypt er opensource.. Så hvis whoever der får disken i hånden kender til foretagendet, kan de checke for hidden volumes også. De står stadig over for en giga opgave i at decrypte disken hvis de ikke får udleveret kodeordet dog.
Hvis du bruger truecrypt, så brug hidden volumes, hvis du tror en står med en pistol mod dit hovede på et tidspunkt og siger åben eller dø.
Ellers er et langt kodeord med specialtegn og store/små bokstaver næsten umuligt at bryde med høj kryptering valgt.

  • 1
  • 2
Pelle Söderling

Jeg foretrækker normale container filer døbt som temp-filer eller debug data eller lign. som er svært identificerbart og selvfølgelig ingen history i TrueCrypt. Det kan tænkes man baseret på nogle header-data i containeren kan identificere dem som TrueCrypt containere, det har jeg ærlig talt ikke undersøgt nærmere, men Hidden volumes opdager man hurtigt at der er noget lusket ved så jeg synes faktisk denne løsning er bedre.

  • 0
  • 0
Jacob Andersen

nu er det jo sådan at Truecrypt forklarerer i dybe detailjer hvordan hidden volumes fungerer, og alt truecrypt er opensource.. Så hvis whoever der får disken i hånden kender til foretagendet, kan de checke for hidden volumes også.

Nu kender jeg ikke Truecrypt i detaljer, men ifølge manualen skulle brugen af hidden volumes sikre plausible deniability. Dvs. såfremt man gør det rigtigt, vil det slet ikke være muligt at se, at der er et hidden volume med mindre man har den korrekte kode. Ergo skulle det ikke være muligt at "checke for hidden volumes" uden først at lokke den korrekte kode ud af dig...

  • 2
  • 0
Ivo Santos

Alternativt kan man sende et fysisk brev til hotellet, dog må koden ikke fremgå tydeligt, en mulighed kunne være at det første bogstav i hver sætning eller paragraf repræsentere hver bogstav i koden, men ellers er mulighederne uendelige.

  • 0
  • 0
Thomas Toft

Jeg foretrækker normale container filer døbt som temp-filer eller debug data eller lign. som er svært identificerbart og selvfølgelig ingen history i TrueCrypt.

Følgende citat er spændende i den pågældende situation:

"A few years ago I read an account by someone working in computer forensics who said for trucrypt containers (not entire drives) they basically run "strings" over the entire drive to pull out every bit of ASCII text and use that to make a custom dictionary for brute forcing the container, and he'd never seen it fail."

  • 1
  • 0
Christian P. Broe Petersen

Så vidt man kan læse i TrueCrypts dokumentation, så er det IKKE umiddelbart muligt at checke at der ER en hidden volume. Hvis man mounter den ikke gemte, så vil det se ud som om hele disken er tilgængelig, og man kan overskrive alt hvad der ligger i den gemte. Det eneste der som sådan kunne indikere at den er hidden er, at der ikke ligger så mange filer (alt efter hvor meget man har sat af til det), og at man sikkert har glemt at opdatere dem for nylig. Men hvis man nu sørger for alt det, så er det jo stort set umuligt at vide. Og hvordan tvinger man så det "RIGTIGE" password ud af folk, når man ikke kan checke om det ER det rigtige man har fået?

  • 0
  • 0
Jacob Andersen

"A few years ago I read an account by someone working in computer forensics who said for trucrypt containers (not entire drives) they basically run "strings" over the entire drive to pull out every bit of ASCII text and use that to make a custom dictionary for brute forcing the container, and he'd never seen it fail."


Og den faldgrube skal man jo så også være opmærksom på, ved brug af et hidden volume. For idet man må formode, at man "frivilligt" giver andre adgang til det normale truecrypt volume, vil de jo kunne køre strings på dette for at søge efter koden til det skjulte volume...

I det hele taget er det jo vigtigt, som også nævnt tidligere i debatten, at bruge det normale truecrypt volume til noget plausibelt - fx arbejde eller personlige formål, hvor fx personfølsomme oplysninger er involveret. Hvis man har en maskine liggende, hvor det nyeste tidsstempel på filerne er 2 år gammelt, men hvor maskinen ikke er dækket af et tykt lag støv, bliver det svært at overbevise nogen om, at der ikke er lusk involveret...

  • 1
  • 0
Michael Thomsen

"A few years ago I read an account by someone working in computer forensics who said for trucrypt containers (not entire drives) they basically run "strings" over the entire drive to pull out every bit of ASCII text and use that to make a custom dictionary for brute forcing the container, and he'd never seen it fail."

Det citat synes jeg ærlig talt, kræver en reference.

Det lyder som om det dækker over en af de af truecrypt udfasede algoritmer.

Det kan tænkes man baseret på nogle header-data i containeren kan identificere dem som TrueCrypt containere

Det kan man ikke. Hele skidtet er krypteret. Det kræver den rigtige nøgle før man kan se, om der er tale om et truecrypt image.

Som sædvanlig er keyloggers og social engineering den bedste angrebsvinkel.

  • 1
  • 0
David Konrad

Dommeren vil vel så give en straf for "foragt for retten", du svinger dig gladeligt op til "maksimal straframme" (ved godt det er USA og tænkt) eller sådan noget. Men jeg håndterer hundreder af passwords, telefonnumre osv, jeg glemmer tit de mere perifære. Og man kan jo være i god tro, være helt uskyldig, men slet og ret bare glemme det. Eller, jeg har lister med passwords, de er på min private computer - hvis politiet tog min computer kunne jeg ikke logge ind på noget som helst. Igen ville jeg være en dommer skyldig.

Kan du se skismaet? Det hele er ikke perfekt, selvom retssikkerheden her tydeligvis har været af en lidt højere standard.

  • 0
  • 0
John Mansen

Af samme grund har jeg end til flere krypterede filer jeg ikke kender kodeordet til.
De har autogenererede kodeord som jeg ikke gemmer.

Desuden kan man jo på sit krypterede drev med kinky porn og skatteoplysninger som dække have gemt den rigtige data med steganography værktøjer som OpenPuff.

Det er derved umuligt at tvinge folk til at udlevere kodeordet, for som PHK skriver er det en byrde som personen ikke reelt kan løfte.

Enhver betjent kunne jo så argumenter at de har mistake om at i alle har gemt data i jeres profilbilleder uploaded til Version 2 og at i derfor skal side i fængsel end til dette er udleveret.
Derved bliver det strafbart alene at have billeder på nettet.

Dette er dog også svaret til en tidligere spørger, om hvor du skal gemme din personlige nøgle:
I et billede på internettet evt. dit Version 2 profilbillede.
Så tilgår du den blot via OpenPuff når du har brug for den.

  • 0
  • 0
Anonym

og jeg er rigtig gode venner.. Også til skiver..

Det skyldes, at jeg for år tilbage arbejdede i en lille, dansk virksomhed, hvor vi havde en meget hjælpsom kollega. Han var så hjælpsom, at han gav mig en skive ( CD ) med nogle ordbøger og atlas. Den røg over i bunken og blev glemt, lige indtil jeg begyndte at arbejde med min private virksomhed - så kiggede jeg alle mine skiver igennem efter noget, jeg ikke havde licens til / opensource / own creations.

Skiven indeholdt bl.a. 2 mapper med billeder af (EKSTREMT) mindreårige i diverse scener med voksne mænd. Jeg kontaktede Politiets IT sektion for at høre hvad, jeg skulle gøre ved den. "Du har den ikke længere!" var svaret : Jeg ville være blevet knaldet for at være i besiddelse, og vi kunne ikke bevise, at min kollega havde brændt den. Fedt, at skulle ringe til sin tidligere arbejdsplads og bede dem scanne filserverne igennem for børneporno.. Min makulator fik noget at tygge på..

Relationen til PHK's indlæg er, at jeg lurer lidt på, om jeg som lokal administrator på en maskine er ansvarlig for de data andre brugere lægger ind på deres brugerkonti? Teknisk set, har jeg jo adgang til de data.

  • 1
  • 0
Per Gøtterup

Problemet med lovgivningen om besiddelse af børneporno er at den ikke skelner mellem bevidst besiddelse og ufrivillig besiddelse. Derfor vil politiet ikke have at vide at du har opdaget børneporno på f.eks. CD-skiver som du har i din besiddelse fordi de så skal retsforfølge dig på præcis samme måde som en rigtig pædofil.

De ved selvfølgelig godt at du bare prøver at hjælpe, men der er desværre ingen mulighed for at du kan slippe sådan rent juridisk. Det bedste du kan gøre er at du kan destruere CD'erne og på den måde forhindre andre i at få fingre i indholdet.

Af samme grund er det så effektivt når hackere som hævn fylder børneporno på deres offers PC og tipper politiet. Selv om at er åbenlyst at det er fremmede som har gjort det, så besidder offeret stadig børneporno og skal derfor retsforfølges for det.

Loven er kun designet sådan at folk som midlertidigt har adgang til et 'tilfældigt' kik (f.eks. en PC-reparatør) kan rapportere evt. børneporno. Findes børnepornoen på noget du besidder så hænger du på den, uanset omstændighederne.

  • 1
  • 0
Morten Andersen

Det forekommer helt vildt hvis man som sagesløs borger i en sådan situation skulle kunne blive 'knaldet' for børneporno. Er der et eksempler hvor dette er sket?

Det er endnu mere idiotisk når loven åbenbart tager hånd om visse specialsituationer som PC-reparatører - det er meget mærkeligt man ikke har udvidet dette lidt bredere. Men det er nok i den politiske korrektheds hellige navn, at man (igen) har valgt at droppe borgernes retssikkerhed.

Det er tankevækkende, hvis der ikke engang er nogle juridiske grundsætninger som kan undtage for straf i sådanne situationer, selv hvis det ikke står direkte i pågældende lov. Og at politiet derfor er nødt til dette krumspring! Tænk hvis man var uheldig og havde fået fat i en betjent der rent faktisk tog sagen op.

  • 1
  • 0
Nikolaj Brinch Jørgensen

SKAT har allerede fået smuthuller i ellers yderst 'hellige' lovgivninger. De fik lov til at trænge ind på privat grund for at kunne lave 'observationer',


Nej det har de da ikke sidst jeg tjekkede. De skal kunne se udefra at der foregår noget på din private grund, som de skal have interesse i at følge op på (det skal f.eks. være synligt udefra at der foregår byggearbejde, for at de kan lave et moms-check). De kan ikke bare gå ind og observere.

  • 0
  • 0
Casper Thomsen

Det er svært at argumentere for om man har glemt et kodeord eller ej. Ditto om andre har eller ikke har.

  1. Brug et kodeord som du kan huske til GPG.
  2. Generer et langt kodeord som du kun copy-and-paste'er (og aldrig ser), så du kan dekryptere dine krypterede filer; ellers er det krypteret med GPG.
  3. Når nogen banker på din dør, destruerer du (eller taber uheldigt) din private GPG-nøgle (eller bare nok dele af den efterfølgende — brug Shamir).

Så kan man ikke dekryptere, for koden er gået tabt.

Alternativt kan man bruge så lang en kode nedskrevet på papir (plus noget du kun ved), så du aldrig lærer at huske den. Og stå klar med en lighter.

Hvis noget skal forsvinde, så er det nemmest hvis det er "noget man har", ikke "noget man ved".

Er det ikke stadig sådan at en tilstrækkelig voldsom elektromagnet kan fjerne alle spor på en disk? Hvordan egentlig med SSD?

  • 0
  • 0
Klaus Slott

Det kan man ikke. Hele skidtet er krypteret. Det kræver den rigtige nøgle før man kan se, om der er tale om et truecrypt image.

En anden mulighed for at nøglen havner på disken kunne være at man laver en suspend-to-disk mens man har sit truecrypt volume mounted. Sålænge crypt volument i brug, må nøglen nødvendigvis være i ram i en eller anden form.

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg var lige en tur til VUG7-møde i New York, så jeg kunne ikke følge op på debatten, det beklager jeg.

Nogle enkelte kommentarer er stadig på sin plads:

Bemærk at man i USA kun har grundlovens beskyttelse hvis man er borger der. Som besøgende har man ikke noget der på nogen måde ligner retssikkerhed og man har slet ingen i lufthavnens ingenmandsland.

At få en dommerkendelse i USA er ikke noget stort problem for politiet, til gengæld kan den anklagede med godt held få "supressed evidence" der blev skaffet med ulovlige metoder under den efterfølgende retssag.

MHT. om man har glemt sit password: Det er en meget dum situation at sidde i, særligt hvis man skal bevise det.

Folk jeg kender løser nogen gange problemet ved at de kan bevise at de ikke kender passwordet.

F.eks er der nogen der bruger at få låst krypterede partitioner op via remote-control fra hovedkontorets hot-line, hvilket kun sker efter en i forvejen aftalt protokol overbeviser hovedkontoret om at medarbejderen er i en sikker situation.

Skulle vedkommende blive stillet overfor et dommerkrav om dekryptering, sender hovedkontoret gerne en lokal advokat med et "afidavit" der forklarer at den anklagede ikke kender password, aldrig har kendt det og aldrig kommer til at kende det og at dommeren kun kan få fingre i passwordet via en sag imod hovedkontoret i hjemlandet. Er krypteringen god nok, ender sagen der.

For dem der kommer med forskellige "smarte løsninger" ovenfor, er det værd at erindre at der sidder mange folk hos både FBI, NSA og CIA, som Bruce Schneier ser op til...

  • 0
  • 0
Kristian Klausen

Brug et kodeord som du kan huske til GPG.


Den GPG-fil med din kode, kan du så lægge på en VPS. VPS'en sætter du så op til, at hvis den ikke har fået en eller anden form for signal i f.eks 3 dage, så bliver filen overskrevet..
Du får så fat i din kode ved at logge ind på VPS'en og dekryptere filen..
Hvad kan dommerens så gøre? Det er jo så teknisk umuligt at få adgang til dataene, og der kan da godt kun over 3 dage fra din computer er blevet beslaglagt til de spørger om koden første gang (vil jeg tro).

Man har vel som sådan ikke gjort noget forkert, man har bare sørget for at man ikke kan havne i en uheldig situation..

  • 0
  • 0
Mads Madsen

Nej, analogien til at nægte politiet adgang til ens hus holder ikke.
Politiet har alt den adgang til ens data de ønsker, men hvad krypteringen vanskeliggør er at de kan udlede en bestemt betydning af den.

At tvinge folk til at afkode deres data svarer mere til at politiet ved en ransagning af en mordmistænkts ejendom vil pålægge vedkomne at udpege det sted, hvor mordvåbnet er gemt.

  • 0
  • 0
Mads Madsen

Bemærk at man i USA kun har grundlovens beskyttelse hvis man er borger der. Som besøgende har man ikke noget der på nogen måde ligner retssikkerhed og man
har slet ingen i lufthavnens ingenmandsland.

Det er både rigtigt og forkert.
Det er ikke korrekt, at kun en "borger" har forfatningsmæssige rettigheder.
Det er korrekt, at du som noncitizen nyder færre rettigheder på visse områder, men i straffesager har du præcisde samme rettigheder som amerikanske borgere.

  1. Reglen om at du ikke reelt har nogle rettigheder i lufthavne eller ved grænsekontrollen gælder så sandelig også for amerikanske borgere, der vender hjem fra udlandet.

Google på "border exception" og "Fourth Amendment" og man opdager, hvor meget myndighederne kan tillade sig.

  • 0
  • 0
Mads Madsen

Ville du ikke være rar at finde en citation for den påstand, at noncitizens ikke har samme forfatningsmæssige rettigheder i straffesager (læs Fifth, Sixth og Eighth Amendment).

At de kan udvises er ikke det samme som at regeringen kan gøre hvadsomhelst mod en udlænding, hvis den vælger at rejse en straffesag.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize