Britse activisten moeten encryptiesleutels inleveren bij politie

20 november 2007

Dierenactivisten behoren bij de eerste 'slachtoffers' die gevraagd worden hun encryptiesleutels voor gegevens op hun computers aan de politie te overhandigen. Het verzoek tot overhandiging van die sleutels wordt gedaan op basis van de zeer controversiele Regulation of Investigatory Powers Act (RIPA). Computers die in mei door de politie in beslag zijn genomen, maar onleesbaar waren door de toegepaste versleuteling, kunnen nu met behulp van de opgevraagde sleutels leesbaar gemaakt worden. De activisten hebben geen keuze: er staat gevangenisstraf op de weigering op het verzoek in te gaan. 30 dierenactivisten hebben begin november brieven van de Crown Prosecution Service in Hampshire ontvangen, waarin hen vriendelijk doch dringend werd verzocht de wachtwoorden en sleutels te overhandigen die het mogelijk maakt de encryptie te verwijderen. De brief aan de activisten is de eerste stap in het proces dat in de RIPA is voorgeschreven voor de verwerving van encryptiesleutels. Nu dit verzoek is gedaan kan er een zgn. Section 49-opdracht op tafel worden gelegd, waarbij een persoon wordt opgedragen de gegevens in 'intelligible' vorm te brengen, of een Section 51-opdracht om de sleutels te overhandigen. Dat deel van de RIPA dat betrekking heeft op encryptiesleutels is op 1 oktober 2007 wet geworden. Dat is dan ook de reden dat er pas nu actie ondernomen wordt tegen de activisten.


De autoriteiten mogen iedereen die een Section 49-opdracht krijg opleggen te zwijgen dat ze onderwerp zijn van een RIPA-procedure. Een van de dierenactivisten zei op BBC nieuws (anoniem) 'that even if others disagreed with animal rights activists the use of the law had grave implications for personal privacy. Even if they hate our guts my personal view is that this is a matter where there's great issues of public interest that should be being talked about'. Uiteraard wenste het CPS geen commentaar te geven. De activisten kunnen indien ze weigeren de sleutels te overhandigen een gevangenisstraf van twee jaar krijgen opgelegd. Deit deel van de RIPA is uiterst controversieel. Leden van Lager- en Hogerhuis, academici en cryptografen noemden de voorstellen 'flawed', toen in het wetgevingsproces om commentaar gevraagd werd. Commentaren stelden dat 'Section III, which is aimed at serious criminals, such as paedophiles and terrorists, is flawed because those involved would much rather serve a few years for refusing to hand over keys than provide them and potentially incriminate themselves'. Anderen kunnen eenvoudig zeggen dat 'they had forgotten the complicated passphrase they used when encrypting material'. Onder bepaalde omstandigheden erkent de RIPA dit als een plausibele verdediging. 'It is very likely', zegt David Harris, een ICT advocaat, 'that activists will devise systems that legally circumvented the law'. Hij voorziet een tijd dat activisten 'prepared encrypted files that people could download to let them plausibly deny they have a key to unlock such data if it is found on their PC. These may become prevalent as a result of this case'. Harris zegt dat er geschikte producten bestaan, zoals Truecrypt, 'that hid data and supplied a key to some of it while leaving the rest undetectable to the police'. En daar waar er twijfel was of een verdachte niet in het bezit was van een encryptiesleutel, 'it was up to the prosecution to demonstrate beyond a reasonable doubt that they could know the passphrase. They have quite a hurdle to overcome'. En zo blijkt maar weer dat iedere poging om iets wat versleuteld is te ontleutelen te allen tijde afhankelijk is van een decodeersleutel. En als er producten gaan verschijnen, die het bezit van een persoonlijke sleutel niet langer nodig maken omdat bijvoorbeeld een sleutel op een bepaalde website kan zijn geplaatst, bekend aan de encryptiesoftware, maar niet aan de gebruikers, dan is de strijd van politie en justitie zo goed als niet te winnen.

Share This:

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.