image

Juridische vraag: Moet je de politie je encryptiesleutel geven?

woensdag 1 april 2009, 13:25 door Arnoud Engelfriet, 29 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

De vraag: Ik vroeg me af hoe het zit met versleutelde bestanden of containers wanneer je verdachte bent. Mag de politie eisen dat je die ontsleutelt en wat gebeurt er als je niet meewerkt?

Antwoord: Als iemand verdacht wordt van een misdrijf, zoals het bezitten van kinderporno of het plegen van belastingfraude, dan heeft de politie de mogelijkheid om diens woning te doorzoeken en alles mee te nemen dat relevant kan zijn voor het onderzoek. Laptops, externe harde schijven en andere opslagmedia worden eigenlijk vrijwel altijd meegenomen bij zo'n doorzoeking. Ook de DVD-filmcollectie: er zijn genoeg slimmeriken die hun data-DVD's in een hoesje van Taxi 2 of Lethal Weapon 4 bewaren.

Voor zo'n doorzoeking van een woning is wel een machtiging van de rechter-commissaris vereist (art. 97 Wetboek van Strafvordering, Sv). Bij kantoren en andere meer openbare plekken kan elke officier van justitie besluiten dat hij een kijkje wil gaan nemen (art. 150 Sv). Maar goed, dan vindt men versleutelde harde schijven, containers of bestanden. En dan?

Als er beveiligde of versleutelde computers, netwerken of bestanden worden aangetroffen, kan de politie het bevel geven om dit te ontsleutelen of toegang te geven tot hetgeen achter de beveiliging zit. Dat geldt zowel voor fysieke als voor softwarematige beveiligingen. Dat staat in artikel 125k Sv. Maar in lid 3 van datzelfde artikel staat dat zo'n bevel niet mag worden gegeven aan de verdachte. Dit omdat niemand kan worden gedwongen mee te werken aan zijn eigen veroordeling.

Brute-forcen
Wel mag de politie zelf proberen het wachtwoord te raden of op een andere manier om de beveiliging of versleuteling heen te komen. Brute forcen is legaal, net als het bekijken van je onversleutelde backups (ja, dat komt voor). En als je ergens gele briefjes met daarop het wachtwoord laat rondslingeren, mag men die natuurlijk in beslag nemen en uitproberen.

Het is ook mogelijk dat men in het kader van opsporing verborgen camera's of keyloggers installeert. Daarmee ben je dan te volgen als je het wachtwoord intypt. Dit is wel een heel zwaar middel omdat het stelselmatig filmen van iemand in diens huis een grove inbreuk op de privacy is, dus dit mag alleen bij zware misdrijven ("die een ernstige inbreuk op de rechtsorde opleveren", art. 126l Sv).

Je kunt dus als verdachte niet worden gedwongen om je bestanden of containers te ontsleutelen. Wel kan men proberen je over te halen, bijvoorbeeld met het argument dat je daarmee je goede wil toont en dat de rechter dat mee zal laten wegen in de strafmaat. Het is niet in het algemeen te zeggen of zulke argumenten opgaan. Mocht je ooit in die situatie zitten, overleg dan altijd met je advocaat voordat je ook maar enige verklaring aflegt.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl

Reacties (29)
01-04-2009, 13:31 door Anoniem
Nee!
01-04-2009, 13:44 door Anoniem
Nee dat hoef je de politie niet encryption code tegeven alleen als je bedreigd wordt met pistool en de politie zegt als niet geeft schiet ik je dood , dan zou zelfse James Bond van CIA zijn geheim encryptiesleutel wel afstaan. Ik vind niet dat je onder druk iets moet afgeven of bijvoobeeld misbruik maken dat bedreigt was door politie dan kan rechter aantekening maken van dreiging! De rechter bepaald om je gegevens afstaan en het is hier geen Guantanamo Bay, ik zou altijd aanraden bij goed vriend je backup bewaard, en thuis geheim Encryption's codes of eerst letter data verminken met ultraeditor zodat Encyrtion niet meer werkt, jij weet alleen dat eerst A, laate Z is bijvoobeeld, of een eerst 1 bijvoorbeeld een 9 is, .Justitie vernitigt zou gevens als niet over encryption code beschikken, meestal kunnen via toetsenboard keylogger inbouw zodat genoem bewijs matriaal hebben om jou gegevens ontsleutelen.
01-04-2009, 14:04 door bobo
Goed artikel! Erg informatief
01-04-2009, 14:18 door Anoniem
Ja! Want zei zijn de beste !!!!
01-04-2009, 15:03 door Arnoud Engelfriet
Eerlijk gezegd vraag ik me af of ik me nog wel genoeg kan concentreren om een wachtwoord in te typen als iemand een pistool op me richt. Maar ik heb nog nooit gehoord van Nederlandse agenten die op die manier druk uitoefenen, dat zou ook strafbaar zijn en leiden tot niet-ontvankelijkheid van de rechtszaak.
01-04-2009, 15:25 door spatieman
och ja.
als men niets vind, plaats men het wel zelf.....
01-04-2009, 15:39 door Anoniem
Maar Arnoud,

Meer algemeen en niet paswoord gerelateerd:
Als keyloggers mogen, is dat hetzelfde als afluisteren? Het is geen telefoontap, maar het afluisteren van iets dat niet eens communicatie is: het kan gewoon nadenken zijn..... Iets waarvoor je normaal wel heel erg luid in jezelf moet praten.
Is dat niet in strijd met vrijheid van gedachten??
Wat erger is: als ik het gekeylogde delete en mijn juistere gedachten vervolgens ergens anders opschrijf...
01-04-2009, 16:19 door Eerde
...het argument dat je daarmee je goede wil toont en dat de rechter dat mee zal laten wegen in de strafmaat.
Dat kan alleen in het specifieke geval dat er toch een of ander strafbaar feit bewezen kan worden.
Verder neem ik aan dat deze vraag n.a.v. het TV programma "Undercover in Nederland" is ? Daar had de politie wel een aardig standpunt, het wachten tot de encryptie wel gekraakt kan worden en dan alsnog tot vervolging overgaan. In de IT kan dat snel gaan b.v. 1 of 2 jaar.

Er zijn natuurlijk methodes die niet helpen als je de ge-encrypte bestanden eerst splitst in 1 tot x deelbestanden, die ieder versleutelt worden en dan gehost op div HDD's bij evenzoveel hosts (kunnen ook particulieren zijn).
Wuala is zo'n systeem, jammer genoeg alleen voor de M$ piepeltjes, Tux komt nog wel.

Daarnaast zal het vinden van de fysieke opslag steeds lastiger worden, ik zag een micro sd kaartje van wat is het, 6 x 15 mm ? Met een opslag capaciteit van 4GB ! Binnenkort 8, 16 etc.

Natuurlijk moet het zo blijven dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling, al was het maar om martelen te verkomen.
01-04-2009, 17:11 door Anoniem
Goed artikel. Het roept bij mij meteen twee nieuwe vragen op:

1) Niet alleen de politie maar ook de douane wil soms weten wat er op je computer staat. Mogen die je laptop in beslag nemen als je je password niet geeft?

2) als de politie op zoek is naar kinderporno, maar dat niet vindt, maar bij de huiszoeking wel stuit op een aantal cd's gekraakte software - kun je daar dan op veroordeeld worden?
01-04-2009, 17:52 door Anoniem
In Engeland is het trouwens 'anders' in de zin dat het niet geven van je wachtwoord een strafverzwarende omstandigheid kan zijn. Je kunt je voorstellen dat het Nederlandse OM met argusogen naar een dergelijke ontwikkeling kijkt. En dan is er nog een recente uitspraak in de US of A: (http://www.theregister.co.uk/2009/03/03/encryption_password_ruling/)

In a ruling issued last month, US District Judge William Sessions in Vermont ruled criminal defendant Sebastien Boucher does not have a constitutional right to keep the files encrypted. The ruling reversed an earlier decision by a federal magistrate that said forcing Boucher to enter his password into his laptop would violate his Fifth-Amendment rights against self incrimination. Boucher's attorney is appealing Sessions's ruling, according to CNET News, which reported the story earlier.

The tiiiimes they are a'changiiiing!
01-04-2009, 18:36 door Paultje
Dit omdat niemand kan worden gedwongen mee te werken aan zijn eigen veroordeling.

Dat is correct.
01-04-2009, 19:04 door Anoniem
Door AnoniemNee dat hoef je de politie niet encryption code tegeven alleen als je bedreigd wordt met pistool en de politie zegt als niet geeft schiet ik je dood , dan zou zelfse James Bond van CIA zijn geheim encryptiesleutel wel afstaan. Ik vind niet dat je onder druk iets moet afgeven of bijvoobeeld misbruik maken dat bedreigt was door politie dan kan rechter aantekening maken van dreiging! De rechter bepaald om je gegevens afstaan en het is hier geen Guantanamo Bay, ik zou altijd aanraden bij goed vriend je backup bewaard, en thuis geheim Encryption's codes of eerst letter data verminken met ultraeditor zodat Encyrtion niet meer werkt, jij weet alleen dat eerst A, laate Z is bijvoobeeld, of een eerst 1 bijvoorbeeld een 9 is, .Justitie vernitigt zou gevens als niet over encryption code beschikken, meestal kunnen via toetsenboard keylogger inbouw zodat genoem bewijs matriaal hebben om jou gegevens ontsleutelen.
lol?
01-04-2009, 19:50 door Arnoud Engelfriet
Door Eerde
...het argument dat je daarmee je goede wil toont en dat de rechter dat mee zal laten wegen in de strafmaat.
Dat kan alleen in het specifieke geval dat er toch een of ander strafbaar feit bewezen kan worden.
Ja, en dat is dus het punt. Als er geen bewijs is behalve datgene wat na ontsleuteling zichtbaar wordt, dan kun je je afvragen of je als verdachte wel die sleutel af moet geven. Hoewel de politie natuurlijk best kan bluffen over wat ze nog meer hebben. Daarom: overleg met je advocaat en zeg niets tot je dat gedaan hebt.

Verder neem ik aan dat deze vraag n.a.v. het TV programma "Undercover in Nederland" is ? Daar had de politie wel een aardig standpunt, het wachten tot de encryptie wel gekraakt kan worden en dan alsnog tot vervolging overgaan. In de IT kan dat snel gaan b.v. 1 of 2 jaar.
Als iemand een goed systeem gebruikt (zoals Truecrypt), dan verwacht ik niet dat dat binnen 2 jaar gekraakt wordt. En als dat al gebeurt, dan wordt dat feit niet wereldkundig gemaakt doordat ze een Nederlander met een HD vol kinderporno willen vervolgen. AES kraken zou zo waardevol zijn voor inlichtingendiensten dat ze dat zeker 20 jaar geheim gaan houden.

Met 2 jaar brute forcen daarentegen zou je best een eind kunnen komen. Je weet dat de entropie beperkt is: letters, cijfers en die tien rare tekens op het toetsenbord. Heel lang zal de zin niet zijn.
01-04-2009, 21:10 door Martijn Brinkers
Hoe zit het als iemand anders dan de verdachte het wachtwoord weet. Is deze dan wel verplicht het wachtwoord te geven? en wat als hij/zij dat niet wil doen?
02-04-2009, 06:46 door sjonniev
Bij bedrijfsmatig versleutelde bestanden of harde schijven kan de politie bjvoorbeeld de security officer van het bedrijf om toegang vragen, zolang die zelf geen verdachte is. En wanneer de directeur van de AIVD er schriftelijk om vraagt, heb je de sleutels gewoon op te hoesten, verdachte of niet.
02-04-2009, 07:44 door [Account Verwijderd]
[Verwijderd]
02-04-2009, 09:45 door Arnoud Engelfriet
@sjonniev: eerste stuk klopt, maar waar baseer je dat stukje van de AIVD op? Zo'n plicht is er niet, hoewel de gleufhoeden natuurlijk erg overtuigend kunnen zijn als het nodig is, en ook sneller observatieapparatuur, keyloggers en dergelijke kunnen plaatsen om gewoon gezellig mee te kijken.
02-04-2009, 11:01 door Anoniem
Gewoon de FDU 2000 encrypting filesguard gebruiken en geen vingerafdrukken achterlaten.
02-04-2009, 11:40 door Anoniem
Arnoud, de bewering van Sjonniev staat op de AIVD site, dit heb ik een tijd terug zelf ook gelezen.
Hier staat zelfs dat als men een vermoeden heeft dat bijvoorbeeld je beste vriend je wachtwoord weet, dat men deze voor 6 maanden kan opsluiten als deze niet je wachtwoord ophoest.

Kun jij hier meer duidelijkeheid over geven? Bij voorbaat dank.

Symb
02-04-2009, 12:20 door Anoniem
AES encryptie is momenteel alleen te omzeilen met brute force technieken. Daarom zit de zwakte in de keuze van wachtwoord. Hoe langer, hoe beter maar gaat weer ten koste van de gebruiksvriendelijkheid, daarom is de zwakke schakel de gebruiker. Binnen 2 jaar een sleutel "raden" is mogelijk, maar dan betreft het waarschijnlijk een sleutel van onder de 10 tekens of iets dergelijks. En de hardware is niet een simpel thuis computertje. Kortom, de kosten om zoiets te doen, 2 jaar lang is financieel gezien niet de moeite voor zo'n zaak als in "under cover". AES is door de NSA goedgekeurd voor het hoogste veiligheidsniveau "top secret", dus het lijkt mij dat deze techniek vooralsnog niet te kraken is, als in, de techniek omzeilen en zo een achterdeurtje te creëren waardoor de data binnen seconden ontcijferd kan worden.

Zou het toch kunnen, gaat de NSA heus niet hun kennis delen voor een of andere viezerik, die schunnige plaatjes en filmpjes op zijn rukbox heeft staan. Maar nogmaals, ze kunnen het niet, nooit niet en daarom gebruiken ze het zelf ook. 8 tekens (a-z, A-Z, 0-9) geeft al ca. 218 biljoen (1.000.000.000.000) combinaties. Zou je 10 miljoen sleutels per seconde kunnen testen, ben je 250 dagen bezig ze allemaal te testen. De kans bestaat echter dat de sleutel eerder wordt gevonden dan het einde bereikt zal worden. Soms is het eerder, soms later maar gemiddeld kun je dus stellen dat men op de helft de sleutel gevonden heeft. Dus na ca. 4 maanden is de sleutel waarschijnlijk wel gevonden. Zou je ook {}!@#$%^&*() etc. gebruiken wordt dat gemiddeld 7.500 jaar!!!

Je moet in het laatste geval dus minimaal 50 miljard sleutels per sec. kunnen testen om binnen een aantal jaar de data te ontcijferen. En dat is momenteel, technisch en financieel een onmogelijke opgave, zelfs voor het met miljarden dollars gesponsorde NSA.
02-04-2009, 13:33 door Arnoud Engelfriet
Ik heb net zitten kijken op de site van de AIVD maar ik kan dat nergens terugvinden. Ik ken ook geen bepaling in de wet (zoals de Wet op de inlichtingen- en veiligheidsdiensten 2002) die dit mogelijk zou maken bij de verdachte. Als een derde het wachtwoord weet, dan kan zowel de politie als de AIVD een bevel tot afgifte geven, dat is juist. En niet opvolgen van dat bevel kan leiden tot strafrechtelijke vervolging.
02-04-2009, 21:14 door Anoniem
Ik geef de politie helemaal niets.. punt.
02-04-2009, 21:51 door Anoniem
@Arnoud: wanneer de AIVD onderzoek doet dan is er geen sprake van een verdachte in de strafrechtelijke zin. Deze uitzondering op de verdachte is bij de AIVD niet van toepassing. De AIVD kan volgens mij dus wel de eigenaar van de bestanden sommeren. Zie de WIV art 24 lid 3. Artikel is in 2002 in werking getreden.

http://wetten.overheid.nl/cgi-bin/deeplink/law1/title=Wet%20op%20de%20inlichtingen-%20en%20veiligheidsdiensten%202002/article=24

Weigeren is vervolgens strafbaar (WIV art 89) max 2 jaar gevangenisstraf. De weigeraar is dan ineens wel verdachte (strafrechtelijk gezien). Interessante paradox?

Maurice Wessling
03-04-2009, 00:55 door Anoniem
En niet opvolgen van dat bevel kan leiden tot strafrechtelijke vervolging.
Welke wet(ten)?

Sowieso is dit nog een reden om "geen" wachtwoorden van andere mensen te willen weten.
03-04-2009, 09:34 door Arnoud Engelfriet
Dank je, Maurice. Die had ik dan gemist. Inderdaad, dat gaat over "een ieder" en is dus ook van toepassing op iemand die daarmee bewijs in een strafzaak tegen zichzelf zou leveren. Ik vraag me af of de AIVD zo'n bevel ooit zo geven, want ze geven daarmee meteen aan dat ze die persoon onderzoeken en dat lijkt me niet iets dat de AIVD snel doet. Verder zou de advocaat kunnen betogen dat dat bevel in strijd is met artikel 6 EVRM, omdat "niet tegen jezelf hoeven te getuigen" een algemeen erkend rechtsprincipe is en de wet dus op dat punt ongeldig.

En, heel praktisch: als de AIVD je op de korrel heeft, zit er waarschijnlijk iets in die encrypted container waarvoor je langer de cel in gaat dan voor het weigeren je wachtwoord af te geven.
03-04-2009, 10:33 door Night
Je hebt ook nog de "plausible deniability". TrueCrypt noemt dat op de website als een feature.

Stel, ik heb een bestand op mijn PC met de naam FILE0000.CHK die bestaat uit een aaneenschakeling van ogenschijnlijk onbegrijpelijke bytes. Ik houd stug vol dat ik niet weet wat het is. Een beetje specialist zal zeggen dat dergelijke files kunnen onstaan als CHKDSK heeft geprobeert om een corrupt bestand te redden. Het is dus aannemelijk dat ik niet weet wat het is.

In dat geval kan ik, verdachte of niet, ontkennen dat het een encryptie container is.

Het wetboek zegt:
"Het eerste lid is van overeenkomstige toepassing indien in geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van wijze van versleuteling van deze gegevens."

In dit geval zou ik ontkennen dat er sprake is van versleutelde gegevens.
Zolang ik dat volhoud kan men toch niet redelijkerwijs vermoeden dat ik kennis heb van een versleuteling totdat men bewijs geleverd heeft dat er überhaupt sprake is van versleuteling. Of zit daar nog een addertje onder het gras?
03-04-2009, 13:51 door Anoniem
Door Arnoud EngelfrietDank je, Maurice. Die had ik dan gemist. Inderdaad, dat gaat over "een ieder" en is dus ook van toepassing op iemand die daarmee bewijs in een strafzaak tegen zichzelf zou leveren. Ik vraag me af of de AIVD zo'n bevel ooit zo geven, want ze geven daarmee meteen aan dat ze die persoon onderzoeken en dat lijkt me niet iets dat de AIVD snel doet. Verder zou de advocaat kunnen betogen dat dat bevel in strijd is met artikel 6 EVRM, omdat "niet tegen jezelf hoeven te getuigen" een algemeen erkend rechtsprincipe is en de wet dus op dat punt ongeldig.

En, heel praktisch: als de AIVD je op de korrel heeft, zit er waarschijnlijk iets in die encrypted container waarvoor je langer de cel in gaat dan voor het weigeren je wachtwoord af te geven.

Gelukkig hebben onze inlichtingendiensten geen opsporingsbevoegdheid. Je zou er toch niet aan moeten denken dat je in een strafrechtelijk onderzoek door de AIVD of MIVD wordt gedwongen je encryptiesleutel af te staan op straffe van maximaal 2 jaar gevangenis. Het zou best wel kunnen leiden tot een uitspraak als onrechtmatig verkregen bewijsmateriaal.
05-04-2009, 20:59 door [Account Verwijderd]
[Verwijderd]
06-10-2010, 19:14 door Anoniem
Jos je moet even deze wet lezen:

http://en.wikisource.org/wiki/European_Convention_for_the_Protection_of_Human_Rights_and_Fundamental_Freedoms#Article_3_.E2.80.93_Prohibition_of_torture.C2.B9

Article 3 – Prohibition of torture¹
No one shall be subjected to torture or to inhuman or degrading treatment or punishment.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.