[Løst]Kan politiet straffe meg viss jeg ikke oppgir passord på en kryptert disk?

[RobinTX]

Så hva er på disken?

 

For det meste 1' og 0' tall, som er stablet i en random rekkefølge, med mellomrom noen steder.

 

En viss kombinasjon av disse blir regnet som noe ulovlig, derav politiets interesse.

 

Vedder på at det er disken hvor han laster ned alle torrentene.

[Ueland]

Hehe, nede på økokrim og kripos har de egne avdelinger for slikt, det er ikke noe du kommer deg unna.

Nytter ikke det når det som regel tar år å bruteforce seg gjennom kryptert data desverre.

Ikke minst har jo programmer som Truecrypt bla støtte for å vise en falsk disk om man oppgir et passord nr2, og da er det jo hvertfall vanskelig å kunne bevise noe.

 

Kjekt for de som faktisk får maskinen sin stjålet og blir utpresset for å få tilbake innholdet, ikke like kjekt når det brukes i kriminelle øyemed.

[The Avatar]

Basert på det som krikkert har lista opp så er svaret på TS sitt spørsmål; nei.

 

Er vel ikkje mange situasjoner der du blir tvunget til å oppgi passord utan at du utsetter deg for straffansvar.

[Trollfjes]

Hehe, nede på økokrim og kripos har de egne avdelinger for slikt, det er ikke noe du kommer deg unna.

Nytter ikke det når det som regel tar år å bruteforce seg gjennom kryptert data desverre.

Ikke minst har jo programmer som Truecrypt bla støtte for å vise en falsk disk om man oppgir et passord nr2, og da er det jo hvertfall vanskelig å kunne bevise noe.

 

Kjekt for de som faktisk får maskinen sin stjålet og blir utpresset for å få tilbake innholdet, ikke like kjekt når det brukes i kriminelle øyemed.

 

Det er nok ikke bruteforce de guttene der driver med. Det er heller et "ignorerings" program av evt. passord og et bruketoppsett som gir deg muligheten til å kjøre hovedhardisken til mistenkte som en sekundærharddisk og derav ha admin rettigheter på harddisken og samtidig da ha rettigheter nok til å se hva slags kryptering som ligger på disken.

 

Lang prosses kort.

[nomore]

Doh. At eg ikke tenkte på det.

[krikkert]

Hehe, nede på økokrim og kripos har de egne avdelinger for slikt, det er ikke noe du kommer deg unna.

Nytter ikke det når det som regel tar år å bruteforce seg gjennom kryptert data desverre.

Ikke minst har jo programmer som Truecrypt bla støtte for å vise en falsk disk om man oppgir et passord nr2, og da er det jo hvertfall vanskelig å kunne bevise noe.

 

Kjekt for de som faktisk får maskinen sin stjålet og blir utpresset for å få tilbake innholdet, ikke like kjekt når det brukes i kriminelle øyemed.

 

Det er nok ikke bruteforce de guttene der driver med. Det er heller et "ignorerings" program av evt. passord og et bruketoppsett som gir deg muligheten til å kjøre hovedhardisken til mistenkte som en sekundærharddisk og derav ha admin rettigheter på harddisken og samtidig da ha rettigheter nok til å se hva slags kryptering som ligger på disken.

 

Lang prosses kort.

 

 

... Du vet ikke så veldig mye om hvordan diskkryptering fungerer, altså?

[JohndoeMAKT]

Teh WolF: Det er ikke snakk om sikkerhet eller kryptering i Windows-passord-klassen her. Og selv om du greier å estimere deg frem til hvilken kryptering som er brukt på det ytterste laget hjelper det deg lite å lese ut dataene. Bruker du f.eks Truecrypt støttes cascade-kryptering med AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES eller Twofish-Serpent. En slik med Whirlpool hash tror jeg skal være ganske sikker uansett hvilke fiender du har.

[Bytex]

Hehe, var enkelt i gamledager. Harddiskene til en pirat-BBS i Sverige ble konfiskert av politiet etter et tips. Men de greide ikke finne hva som var på dem, fordi de var formatterte i Amiga OS. En PC greide da selvsagt ikke skjønne noe av dem. Så de fikk dem bare tilbake igjen uten noe videre pes. Dette var tidlig 90-tallet, før internett var standard i alle hus og hjem, og man ringte BBS'r med telefon.

Endret 19. august 2009 av Bytex

[Pizzaen]

Er TrueCrypt med AES og Wirlpool det er snakk om ja

 

Takker alle sammen

[Ueland]

Teh WolF: Det er ikke snakk om sikkerhet eller kryptering i Windows-passord-klassen her. Og selv om du greier å estimere deg frem til hvilken kryptering som er brukt på det ytterste laget hjelper det deg lite å lese ut dataene. Bruker du f.eks Truecrypt støttes cascade-kryptering med AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES eller Twofish-Serpent. En slik med Whirlpool hash tror jeg skal være ganske sikker uansett hvilke fiender du har.

Tja, er vel mulig å få tak i dataene etter et par hundre år om passordet har en del tegn og har en grei lengde..

[zotbar1234]

Ja. Hvis du ikke er den siktede.

 

Et relatert spørsmål -- har det vært noen presedenser, der påtalemyndighetene måtte argumentere for at innholdet var faktisk kryptert? Gitt en truecrypt-container (eller cryptsetup+dmcrypt), vil begge ha en header, som kjennetegner en kryptert container (som bl.a. inneholder master password og noen andre attributter), men det finnes, så langt jeg vet, intet bevis på at headeren ikke er frittstående (dvs. man kan ikke bevise at det faktisk finnes en container med krypterte data, heller enn kun headeren alene).

 

Hvordan vil saken utarte seg, dersom man trekker på skuldrene og hevder "her er det ingen data, bare tilfeldig støy. Krypteringsheaderen ligger igjen etter et oppsett som feilet"?

[Luftbor]

Så hva er på disken?

 

For det meste 1' og 0' tall, som er stablet i en random rekkefølge, med mellomrom noen steder.

 

Boolsk algebra er spennende, men hva blir denne tolkningen når det er Bill Gates (evnt andre sine) sine produkter som står for tolkningen?

 

OT;

Når det gjelder kryptografi skal man vel passe seg vel på at ting er umulig. Det har de fleste som bruker kryptografi brent seg på før i tiden, i den ytterste konsekvens. Reddningen er om saken er "filleting" og man ikke gidder å bruke ressurser. Derfor håper man vel å skremme personen til å oppgi passord. Men hadde du hatt navnet Arne Treholt og dette var 1985 så hadde det nok stilt seg annerledes.

Endret 20. august 2009 av Luftbor

[s0lberg]

Fins det noe program eller en side som kan teste ca hvor lang tid til vil ta å brutoforce et krypteringspassord?

 

Jeg bruker AES med RIPEMD-160, btw er det sikker kryptering? Er truecrypt jeg bruker.

[krikkert]

Ja. Hvis du ikke er den siktede.

 

Et relatert spørsmål -- har det vært noen presedenser, der påtalemyndighetene måtte argumentere for at innholdet var faktisk kryptert? Gitt en truecrypt-container (eller cryptsetup+dmcrypt), vil begge ha en header, som kjennetegner en kryptert container (som bl.a. inneholder master password og noen andre attributter), men det finnes, så langt jeg vet, intet bevis på at headeren ikke er frittstående (dvs. man kan ikke bevise at det faktisk finnes en container med krypterte data, heller enn kun headeren alene).

 

Hvordan vil saken utarte seg, dersom man trekker på skuldrene og hevder "her er det ingen data, bare tilfeldig støy. Krypteringsheaderen ligger igjen etter et oppsett som feilet"?

 

Spørsmålet er veldig interessant, og høyst relevant. Vi har ingen avsagte kjennelser der spørsmålet om tilgang til kryptert materiale, jf straffeprosessloven § 199a, har vært oppe.

 

Først: Kan politiet be om tilgang til enkeltfiler som er kryptert? Loven sier riktignok dog bare at det er 'datasystemet' politiet kan kreve tilgangsopplysninger til, altså selve maskinen, men dette kan ikke tas bokstavelig. Formålet med regelen er at man skal få tilgang til data på maskinen, og regelen må leses i lys av dette. Det er ellers alltid verdt å ta en titt på konvensjonen som var opphav til lovbestemmelsen:

 

 

« 1) Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to search or similarly access:

a) a computer system or part of it and computer data stored therein; and

b) a computer-data storage medium in which computer data may be stored in its territory.

2) Each Party shall adopt such legislative and other measures as may be necessary to ensure that where its authorities search or similarly access a specific computer system or part of it, pursuant to paragraph 1. a, and have grounds to believe that the data sought is stored in another computer system or part of it in its territory, and such data is lawfully accessible from or available to the initial system, the authorities shall be able to expeditiously extend the search or similar accessing to the other system.

3) Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to seize or similarly secure computer data accessed according to paragraphs 1 or 2. These measures shall include the power to:

a) seize or similarly secure a computer system or part of it or a computer-data storage medium;

b) make and retain a copy of those computer data;

c) maintain the integrity of the relevant stored computer data;

d) render inaccessible or remove those computer data in the accessed computer system.

4) Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order any person who has knowledge about the functioning of the computer system or measures applied to protect the computer data therein to provide, as is reasonable, the necessary information, to enable the undertaking of the measures referred to in paragraphs 1 and 2.

5) The powers and procedures referred to in this article shall be subject to Articles 14 and 15. »

 

 

Sammenstiller man artikkel nittens punkt 1 og 4 ser man at konvensjonen om bekjempelse av datakriminalitet klart legger opp til at man skal kunne beordre en systemadministrator til å gi nødvendig informasjon for å få tilgang til dataene -- ikke bare datasystemet. Utvalget som avga innstilling til lovendring nevner også dette i utredningen (NOU 2003:27 s. 46), "med tilgang til datasystemet menes tilgang til dataene i systemet".

 

Det er altså klart at politiet kan kreve tilgangsopplysninger både til systemet selv (BIOS-passord, Windows-passord, passord på harddisk under bootup) så vel som tilgangsopplysninger til individuelle krypterte filer, eller andre krypterte objekter.

 

Så, må politiet sannsynliggjøre at noe er kryptert? Her må man se på lovens ordlyd, den oppstiller ikke noe krav om at politiet må si noe om hva slags opplysninger de trenger; og hensikten med at man legger denne kompetansen til politiet, og ikke til påtalemyndigheten eller domstolen. Hensikten er at man ofte trenger raske avgjørelser for å beskytte bevisenes integritet. På denne bakgrunnen mener jeg at det ikke kan oppstilles noe krav om at politiet må sannsynliggjøre at noe faktisk er kryptert. Politiet har rett til å be om tilgangsopplysninger i den utstrekning det er forholdsmessig (straffeprosessloven § 170a).

 

Å gi falske tilgangsopplysninger til politiet, såvel som å lyve om det krypterte materialets natur i den hensikt å ikke måtte gi tilgangsopplysninger, vil være brudd på opplysningsplikten og derav straffbart (bøter).

 

Dersom det krypterte materialet inneholder noe som kan være inkriminerende for systemadministratoren er den "lovlige" måten å slippe å oppgi opplysninger rett og slett å nekte å forklare seg. Ingen har plikt til å hjelpe politiet med å straffe en selv.

 

Konklusjonen en kan trekke fra dette er, kamuflér alltid bevis for andres kriminelle handlinger sammen med bevisene for dine egne.

[zotbar1234]

Fins det noe program eller en side som kan teste ca hvor lang tid til vil ta å brutoforce et krypteringspassord?

 

Jeg bruker AES med RIPEMD-160, btw er det sikker kryptering? Er truecrypt jeg bruker.

 

Wikipedia har en del informasjon om dette.

 

Når det gjelder "sikker kryptering", finnes det intet "ja" eller "nei" svar på det. Det er altfor mange parametere i en krypteringsløsning. Noen block cipher modi kan angripes uten å kjenne nøkkelen (det går an å påvise eksistens av en fil, uten å faktisk ha dekrypteringsnøkkelen -- watermarking attack (hvis jeg husker rett var LRW-modus designet spesifikt for å bekjempe dette problemet)). Et enda enklere eksempel er ECB-modus, der krypteringen ikke hjelper noe som helst i visse tilfeller (wikipedia har en vakker illustrasjon). Og dette er bare de mest opplagte elementene i krypteringsalgoritmen selv; det finnes såklart et enormt rammeverk rundt denne krypteringsløsningen (jfr suspend-to-ram-angrepet som ble popularisert for en stund siden), og en komplett analyse av det er en meget komplisert betraktning, som ikke vil produsere "ja, sikker" eller "nei, usikker" som svar.

 

Med unntak av noen svært få mennesker i verden, blir den vanlige brukeren nødt til å stole på andres betrakninger og implementasjon av en krypteringsløsning. aes256 i seg selv har ingen kjente angrep mot seg, som gjør det vesentlig raskere enn brute force angrep. ripemd-160 i seg selv har heller ingen kjente angrep. Man får bare stole på at implementasjonen av disse to tilsammen i truecrypt er en sikker nok løsning. Denne tilliten baserer selvsagt på at truecrypt bruker kjente algoritmer, er åpen source, har modnet over tid, er veldokumentert, osv.

 

Det er et vesentlig poeng med "nok", forresten. Jeg kan tvinge deg til å oppgi passordet (svært få mennesker ville tåle å få alle bein i kroppen knust uten å oppgi det man spør om; at tortur er ulovlig, vil ikke hindre noen å anvende den framgangsmåten, forutsatt at belønningen er stor nok. Om informasjonen du har på disken er av såpass høy verdi at noen ville gå til drastiske steg for å få tak i den er det bare du som kan avgjøre); selv om den tekniske siden av krypteringsløsningen er god nok.

Påtalemyndighetene er underlagt et regelverk, og selv om det regelverket vil (naturligvis) brytes/kunne brytes, må det foreligge en tilstrekkelig motivasjon for påtalemyndighetene for å selv begå en ulovlig handling.

[Trollfjes]

Foregår en del ting vi ikke vet om hos kripos og andre enheter. Folk som er utdannet innad faget.

 

End of discussion så melder jeg meg ut av tråden :-)

[NgZ]

@ Teh WolF: lol. I beste fall svært naivt å tro at Kripos har såpass effektive "superhemmelige" teknologier som diverse forskningsinstitusjoner og andre som jobber med kryptering ikke aner noe om.

 

@Krikkert: Betyr det at jeg, dersom jeg ikke vil røpe passordet til en kryptert disk, må si at jeg nekter å forklare meg for å ikke inkriminere meg selv?

 

Beklager bumpen, men bedre enn å starte en ny tråd

[krikkert]

@Krikkert: Betyr det at jeg, dersom jeg ikke vil røpe passordet til en kryptert disk, må si at jeg nekter å forklare meg for å ikke inkriminere meg selv?

Jeg vil tro det.

[NgZ]

"Jeg vil ikke oppgi passordet til disken, fordi det vil inkriminere meg selv - slik jeg jo absolutt ikke gjør nå, når jeg forteller dere at jeg har inkrimenrende data..." ?

 

Jaja, greit å vite.

[Nedward]

"Jeg vil ikke oppgi passordet til disken, fordi det vil inkriminere meg selv - slik jeg jo absolutt ikke gjør nå, når jeg forteller dere at jeg har inkrimenrende data..." ?

 

Jaja, greit å vite.

Du trenger ikke å si noe som helst til politiet, bortsett fra fødselsdato, navn og bosted. Etter dette kan du bruke din rettighet til å ikke uttale deg noe mer.

Uansett så må politiet ha en siktelse mot deg for at de skal kunne ha rett til å snoke i dine data, og da har du rett til en advokat som kan snakke for deg.