Juridische vraag: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in ging.
Antwoord: Er zijn geen specifieke regels over hoe om te gaan met versleutelde digitale bestanden in het strafrecht. We moeten dus terugvallen op de algemene regels: er moet wettig en overtuigend bewijs zijn van de schuld van de verdachte.
Wettig wil zeggen dat het op de juiste, wettelijk vastgelegde wijze is verkregen en dus bekeken mag worden als bewijs. Overtuigend betekent dat er geen redelijke twijfel meer is aan wat het bewijs inhoudelijk laat zien.
Heel formeel zijn er maar vijf categorieën van bewijs in het strafrecht (art. 339) en digitale bestanden staan daar niet bij. Wel de verklaring van de verdachte of van getuigen, de eigen waarneming van de rechter, schriftelijke stukken en verklaringen van deskundigen. Digitale bewijsstukken worden eigenlijk altijd via die laatste categorie ingevoerd: een deskundige legt dan uit wat er uit de digitale informatie te halen is (en hoe dat is gebeurd), en die verklaring is dan formeel het bewijsstuk.
Een deskundige zal dus in zo'n geval uitleggen wat encryptie is en hoe je van plaintext naar ciphertext en weer terug gaat, en hoe dat dan werkt met een sleutel. Hij zal vervolgens laten zien wat er gebeurt als je de (bijvoorbeeld gevonden of door de verdachte gegeven) sleutel loslaat op de aangetroffen ciphertext. De uitkomst (de ontsleutelde tekst) is dan deel van zijn verklaring en daarmee wettig bewijs.
Of het overtuigend is, is lastiger. De eerste vraag is of iemand daar een punt van maakt. Als de verdachte bijvoorbeeld bekent en de sleutel vrijwillig afgeeft, dan is de deskundige snel klaar en is er geen reden om te twijfelen aan het feit dat die plaintext de echte is.
Is de sleutel ergens aangetroffen, dan zal een belangrijke factor worden hoe en door wie. Is er een geel briefje naast de monitor gevonden, of heeft een politieagent drie weken lang handmatig bruteforceaanvallen ondernomen met voor de hand liggende wachtwoorden? Twijfel hierbij kan bijdragen aan de overtuiging van het bewijs (we geloven niet dat dit echt de juiste plaintext is) of zelfs aan de wettige status (de verdachte is onder druk gezet om zijn wachtwoord te geven bijvoorbeeld, wat in strijd is met de wet).
In theorie is het inderdaad denkbaar dat de gevonden ciphertext ooit met sleutel A versleuteld is, maar dat je met sleutel B die ciphertext in een andere plaintext terugdraait. Daarmee zou dus nepbewijs worden vervaardigd: de tekst vertelt iets dat niet echt in het versleutelde bestand stond.
Het zal dan neerkomen op wie het meest wordt geloofd: de deskundige die uitlegt dat dit de echte decryptie is van de aangetroffen ciphertext, of de deskundige die daar twijfel kan zaaien. Je krijgt dan een afweging van alle omstandigheden: hoe werd de sleutel in kwestie gevonden, waaruit blijkt dat die aan de verdachte te koppelen is, wie heeft er baat bij het vervalsen van de decryptie, welke mogelijkheden waren daarvoor, is er in de beweerdelijk valse plaintext iets te vinden dat duidt op een vervalsing en ga zo maar door.
Mijn onderbuikgevoel is dat dit geen sterk verhaal zou zijn zonder zeer specifieke aanwijzingen. In theorie kan het, maar de wet eist geen 100% zekerheid van schuld - er mag geen redelijke twijfel zijn. 99% zekerheid kan best voldoen aan dat criterium.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
https://en.m.wikipedia.org/wiki/Vigenère_cipher
https://en.m.wikipedia.org/wiki/Vigenère_cipher
Mooie link, maar niet waar.
Als het bericht redelijk wat langer is dan de sleutel, wordt de kans dat je met een andere sleutel een plaintext met betekenis krijgt heel erg klein .
Als de sleutel die de aanklager als bewijs presenteert een plaintext met betekenis oplevert, en je advocaat met een andere sleutel een nogal random aandoende set letters als plaintext presenteert met de melding dat je hobby het versleuteld versturen van random text is, heb je een lastige zaak.
Je bedoelt mogelijk het One Time Pad - hier is de sleutel random en even lang als het bericht - en zal een andere sleutel dus een totaal andere plaintext opleveren - die evenzeer betekenisvol kan zijn.
het moet niet alleen leesbare en correcte tekst opleveren, maar ook niet iets wat zinnig is binnen de context van de strafzaak,
Als dat zo blijkt te zijn is de kans dat het een verkeerde sleutel geeft die EN leesbare en contextueel zinnige inhoud oplevert werkelijk astronomisch klein.
In ieder geval zou het vragen op kunnen roepen van de rechter waar de verdediging een zinnig antwoord op zou moeten formuleren.
Het doet een beetje denken aan de oude 'ik ben gehacked' verweren. Dat werd ook minder viabel naarmate rechters er meer ervaring mee kregen.
Het is extreem onwaarschijnlijk (voor sleutels die veel korter zijn dan de informatie die ze verbergen) , en Hidden Volumes zijn niet echt een voorbeeld waarbij een gecodeerde bestand met een verschillende sleutel een verschillend resultaat geeft.
De analogie van een Hidden Volume is dat je _twee_ verstopte kluizen hebt, en als je onder druk gezet wordt "waar is DE kluis" alleen de ene opgeeft .
Bij een hidden volume is dan alleen ook niet te bewijzen dat het uberhaupt aanwezig is .
https://en.m.wikipedia.org/wiki/Vigenère_cipher
Mooie link, maar niet waar.
Als het bericht redelijk wat langer is dan de sleutel, wordt de kans dat je met een andere sleutel een plaintext met betekenis krijgt heel erg klein.
In mijn voorbeeld bedoel ik niet een sleutel met een vaste lengte, maar met een variabele lengte. Dit hoeft echter nogsteeds niet per se gelijk te zijn aan de lengte van de plain text, zoals bij het One Time Pad.
Overigens, de term "erg klein" is zeer relatief, zeker met computersnelheden die exponentioneel stijgen volgens de wet van Moore. Bovendien, dat maar een deel van de plaintext betekenisvol is hoeft niet te betekenen, dat de key fout is, er kan ook gebruik worden gemaakt van opzettelijke verwarring d.m.v. het toevoegen van willekeurige tekens. https://nl.wikipedia.org/wiki/Wet_van_Moore
In elk geval is het altijd goed om kritisch naar elkaars argumenten en beweringen te kijken. Noch mijn reacties, noch jouw reacties, zijn niet per defenitie de waarheid :)
Vixen
Overigens, de term "erg klein" is zeer relatief, zeker met computersnelheden die exponentioneel stijgen volgens de wet van Moore. Bovendien, dat maar een deel van de plaintext betekenisvol is hoeft niet te betekenen, dat de key fout is, er kan ook gebruik worden gemaakt van opzettelijke verwarring d.m.v. het toevoegen van willekeurige tekens.
Het heeft niks te maken met computersnelheden, het heeft te maken met entropie. Het is niet mogelijk dat een tekst
van bijvoorbeeld 100KB die gecrypt is met een key van bijvoorbeeld 128 bits kan worden omgezet in een andere zinvolle
tekst van 100KB door een andere key te nemen, omdat er veel meer bits in die 100KB zitten dan in die 128 bits. Dit
betekent dat er veel meer geldige teksten van 100KB zijn dan je in 128 bits kunt weergeven.
Dit is dezelfde materie als dat je geen supergrote compressiefactor kunt halen bij het lossless comprimeren van bestanden.
(zie bijvoorbeeld het Jan Sloot compressie algorithme en de bewijzen dat dat niet kan)
Ik denk dat je dit heel goed kunt vergelijken met DNA onderzoek. Daar gaat het ook over gecodeerde informatie die slechts door en beperkt aantal deskundigen ontsleutelt kan worden. De resultaten zijn ook nooit 100% zeker, maar voor de rechters is die laatste duizendste procent kans dat het toch anders is, geen reden om aan dit bewijs te twijfelen.
Ook bij vingerafdrukken is het geen100% zekerheid maar zit de kans ook dicht genoeg bij 100% om dit als bewijs te accepteren.
Praktijk zal dus vrij simpel zijn:
Dit was versleuteld...
Zo en zo hebben we de sleutel gevonden...
Resultaat is <bewijs>
Of het is niet ingediend als bewijs want het lukte niet of er kwam niks nuttigs uit.
In dat geval dienen ze waarschijnlijk in dat ze de sleutel van verdachte willen.
Al dan niet leuke vraag maar zal in praktijk niet echt toegepast worden.
Ik denk dat je dit heel goed kunt vergelijken met DNA onderzoek. Daar gaat het ook over gecodeerde informatie die slechts door en beperkt aantal deskundigen ontsleutelt kan worden. De resultaten zijn ook nooit 100% zeker, maar voor de rechters is die laatste duizendste procent kans dat het toch anders is, geen reden om aan dit bewijs te twijfelen.
Ook bij vingerafdrukken is het geen100% zekerheid maar zit de kans ook dicht genoeg bij 100% om dit als bewijs te accepteren.
Om te verduidelijken wat anderen hierboven al aangaven over one time pads [1]: als de versleutelde data uit allemaal bytes met de waarde 0 bestaat en een overijverige agent gokt dat de sleutel een kinderpornoplaatje is, dan wordt de ontsleutelde informatie een kinderpornoplaatje [2]. Op dezelfde manier kun je, met de "juiste" OTP sleutel, van elke willekeurige foto een KP plaatje maken.
Wellicht wat minder theoretisch is dat FDE (Full Disk Encryption) meestal malleable is. Met name Bitlocker, sinds de verwijdering van de Elephant Diffuser, is daar gevoelig voor [3], maar ook AES-XTS is niet zonder risico's [4]. Daardoor kun je niet uitsluiten dat iemand met een versleutelde schijf onterecht verdachte kan worden, namelijk als een aanvaller, die de schijf (in PC of los) tijdelijk in handen heeft, zonder het wachtwoord te kennen, versleutelde informatie wijzigt zodanig dat deze, na decryptie, iets zinvols oplevert. Bijvoorbeeld door ervoor te zorgen dat ergens "nee" in "ja " verandert.
M.a.w., versleuteling wil niet automatisch zeggen dat de integriteit van de informatie is gewaarborgd. Daar zijn aanvullende maatregelen voor nodig die niet altijd worden geïmplementeerd, bijv. omdat er geen vrije bytes voor beschikbaar zijn (zoals op disk sectors) of omdat de softwaremaker integriteitproblemen niet als een risico ziet.
Nog platvloerser wordt het als een aanvaller of malware 1 of meer versleutelde, belastende (evt. moeilijk te vinden, denk aan alternate data streams) bestanden op een computer (met of zonder FDE) achterlaat, die met een relatief eenvoudig (door de politie/NFI) te raden wachtwoord zijn versleuteld. Het wachten is op ransomware die bijv. een deel van jouw bestanden niet versleutelt maar vervangt door versleutelde kinderpornoplaatjes, waarbij met aangfite wordt gedreigd als je niet betaalt. M.a.w. dat versleutelde informatie op een computer, na decryptie, belastend blijkt te zijn, wil niet altijd zeggen dat de eigenaar van de computer die informatie erop gezet heeft.
[1] https://www.security.nl/posting/468370/Encryptie+voor+leken+-+en+waarom+verzwakken+onverstandig,+en+verbieden+zinloos+is
[2] https://en.wikipedia.org/wiki/Exclusive_or#Truth_table
[3] https://cryptoservices.github.io/fde/2014/12/08/code-execution-in-spite-of-bitlocker.html
[4] https://sockpuppet.org/blog/2014/04/30/you-dont-want-xts/
Vixen
"Je zult het er mee moeten doen."
Ja er zijn nogal wat foute uitspraken gedaan op aangeven van deskundigen met argument dat alle gebeurtenissen zo toevallig zijn dan het niet anders kan dan dat het opzet is. Die zijn te laat weerlegt met het tegenargument dat de betreffende variabelen zo vaak voorkomen dat het onwaarschijnlijk is dat de bijzondere situatie zich niet zou voordoen.
Het echte leven is niet digitaal, het zit vol onzekerheden. Ook in de digitale wereld is het met https://en.wikipedia.org/wiki/Floating_point omgeven met een onzekerheid net zoals veel gauges feitelijk niet ja/nee zijn maar zoals het tankniveau bij je auto analoog zijn.
Signaaloverdracht heeft altijd ergens een analoog signaal dat later als digitaal geïnterpreteerd wordt. Omvallen van bits gebeurt nogal eens, het is het herstel daarvan dat je gelooft in het onfeilbare.
https://en.m.wikipedia.org/wiki/Vigenère_cipher
Mooie link, maar niet waar.
Als het bericht redelijk wat langer is dan de sleutel, wordt de kans dat je met een andere sleutel een plaintext met betekenis krijgt heel erg klein.
In mijn voorbeeld bedoel ik niet een sleutel met een vaste lengte, maar met een variabele lengte. Dit hoeft echter nogsteeds niet per se gelijk te zijn aan de lengte van de plain text, zoals bij het One Time Pad.
Overigens, de term "erg klein" is zeer relatief, zeker met computersnelheden die exponentioneel stijgen volgens de wet van Moore. Bovendien, dat maar een deel van de plaintext betekenisvol is hoeft niet te betekenen, dat de key fout is, er kan ook gebruik worden gemaakt van opzettelijke verwarring d.m.v. het toevoegen van willekeurige tekens. https://nl.wikipedia.org/wiki/Wet_van_Moore
In elk geval is het altijd goed om kritisch naar elkaars argumenten en beweringen te kijken. Noch mijn reacties, noch jouw reacties, zijn niet per defenitie de waarheid :)
Vixen
Anoniem 20:01 heeft 't ook al min of meer beantwoord.
Het is me niet helemaal duidelijk onder welke omstandigheid je wat claimt mbt tot Vigenere.
Je kunt een sleutel construeren die even lang is als de ciphertext, en een gegeven plaintext oplevert , dat is erg simpel.
Maar de kans dat je voor een gegeven ciphertext naast de 'echte' sleutel waar een betekenisvolle plaintext uitkomt een andere (kort ten opzichte van de ciphertext ) sleutel kunt construeren is extreem klein .
Zelfs als je 'ruis' accepteert in de "plaintext" van de dummy sleutel die je wilt construeren.
Neem als oefening eens een enkel zinnetje met een ROT-<n> "encryptie" , dwz letters <n> posities verschuiven .
(rot-1 : A->B B->C ... Z->A ) .
Doe een "brute force" aanval , en kijk of je voor die ciphertext met één van de andere sleutels een andere zin met enige betekenis ziet langskomen .
Hier is de "ciphertext" van enkele tientallen letters al lang ten opzichte van de sleutel van <5 bit .
(Vwbt de wet van Moore - dat is iets van 16 of 17 bits in de laatste 30 jaar. (verdubbeling per 18..24 maanden).
Bijvoorbeeld van 2^16 geheugen op een Commodore 64 in de jaren '80 naar 2^32 of 2^33 (4 of 8 GB) in 201x
Aan de ene kant geweldig, maar het maakt geen deukje als de relevante bitlengtes >>100 zijn om te beginnen. )
De rechercheur denkt echter dat sleutel B de juiste sleutel is. Als hij die gebruikt om het versleutelde bericht te openen, dan leest hij: "Ik heb de buurman vermoord."
Theoretisch zou dit mogelijk zijn, dat wil zeggen dat de kans erop niet helemaal nul is. Maar de kans is wel zo ontzettend klein, dat het in de praktijk niet zal gebeuren. Een rechter zou hier niet in mee moeten gaan.
De naïviteit en onkunde bij veel forensisch experts ten aanzien van de werkelijke context in de hacking wereld alsmede het enorm simpel zijn van een persoon hacken maken verzamelde gegevens VEEL kwetsbaarder voor modificatie dan deze "experts" toegeven. Maar ja... Je word betaald om een mening te geven die tot een veroordeling zal leiden... Dus de waarheid en de mate waarin, wat sommige zelfs ook weten, deze ook ook qua confidence level (betrouwbaarheid) aantoonbaar is heeft mijn het maar gemakshalve niet over... De veroordeling is wat telt... KPI's tellen... Niet waarheid...
De rechercheur denkt echter dat sleutel B de juiste sleutel is. Als hij die gebruikt om het versleutelde bericht te openen, dan leest hij: "Ik heb de buurman vermoord."
Theoretisch zou dit mogelijk zijn, dat wil zeggen dat de kans erop niet helemaal nul is. Maar de kans is wel zo ontzettend klein, dat het in de praktijk niet zal gebeuren. Een rechter zou hier niet in mee moeten gaan.
Een hacker die met een keylogger de tekst heeft aangepast alsmede de timestamp van de file, etc... Dan is de tekst misschien wel op een andere wijze aangepast..... En zo gaan we rustig uit van "bewijs" waarvan de AANTOONBARE integriteit zeer discutabel is...
De rechercheur denkt echter dat sleutel B de juiste sleutel is. Als hij die gebruikt om het versleutelde bericht te openen, dan leest hij: "Ik heb de buurman vermoord."
Theoretisch zou dit mogelijk zijn, dat wil zeggen dat de kans erop niet helemaal nul is. Maar de kans is wel zo ontzettend klein, dat het in de praktijk niet zal gebeuren. Een rechter zou hier niet in mee moeten gaan.
Is standaard een onversleutelde hash aan de onversleutelde data toevoegen dan misschien een goed idee?
Of maakt dit het te gemakkelijk om via de hash de plain data boven water te krijgen?
Een hacker die met een keylogger de tekst heeft aangepast alsmede de timestamp van de file, etc... Dan is de tekst misschien wel op een andere wijze aangepast..... En zo gaan we rustig uit van "bewijs" waarvan de AANTOONBARE integriteit zeer discutabel is...
Zoals al eerder geschreven: in de rechtspraak is "bewijs" iets anders dan in de wetenschap.
Het gaat er niet om de stelling van pythagoras of the afleiding van de ABC formule te "bewijzen" zoals je dat deed
bij wiskunde op de middelbare school. Dat is het soort bewijs waar geen speld tussen te krijgen is.
Wat een rechter verstaat onder bewijs is meer "aannemelijk maken". Je wordt ook niet gauw veroordeeld op een
enkel bewijs, er moeten altijd meerdere vormen van bewijs zijn die allemaal in dezelfde richting wijzen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!