11.08.2016

От депонирования криптографических ключей к свидетельствованию против себя

Если с депонированием ключей и включением обязательных закладок средств доступа спецслужб к средствам шифрования мы разобрались, то есть еще одна тема, к которой мне хотелось бы обратиться и которая пока не нашла своего отражения в российском законодательстве - о собственноручной передаче ключей шифрования спецслужбам со стороны граждан.

Эта идея не такая уж и безнадежная, как кажется с начала. Она не вызывает отторжения у производителей - им не надо ничего плохого делать со своими продуктами. Она менее масштабируема, но несмотря на это некоторые государства вместо депонирования ключей пытались внедрить способ законного получения ключей шифрования от самих пользователей по запросу правоохранительных органов. В случае отказа им грозила уголовная ответственность за неоказание помощи в расследовании преступлений. В России такой нормы нет (будем надеяться, что статья 205.6 УК РФ за недоносительство не будет трактоваться с этой точки зрения).

Поскольку в России эта тема пока неактуальна (ключи у нас требуют не от граждан, а от операторов распространения информации), я решил просто привести примеры нескольких государств, которые ввели у себя соответствующие нормы:

  • Австралия требует предоставления такой информации с 2001-го года. Наказание за отказ - 2 года тюремного заключения.
  • Бельгия требует этого с 2000-го года. Штраф за отказ - 100 тысяч евро.
  • Великобритания наказывает (и уже наказывала) за отказ в передаче ключей по требованию суда сроком до 2-х лет.
  • Индия требует предоставления этой информации с 2008-го, а Финляндия с 2011-го года.
  • Канада внедрила данное требование в широкой трактовке в 1998 году.
  • Демократичные США не имеют соответствующего законодательства, так как оно нарушило бы Пятую поправку к Американской Конституции (право не свидетельствовать против себя). Однако регулярно суды выдают соответствующие решения и в каждом конкретном случае результат разный - кто-то предоставляет ключи, кто-то нет.
  • Франция с 2001 года требует предоставления паролей и ключей в случае расследования преступлений и наказывает 5-тилетним сроком и 75 тысячами евро штрафа за отказ в предоставлении этой информации.
  • Одно из самых жестких наказаний за непредоставление ключей - в ЮАР - до 10-ти лет лишения свободы и штраф в 2 миллиона южноафриканских рендов.

Мы видим, что многие страны, не имея возможности обязать депонировать ключи и не имея собственных разработчиков средств шифрования, которые могли бы встраивать системы восстановления ключей или иные лазейки, требуют от граждан и бизнеса предоставлять ключи шифрования по мотивированным запросам со стороны государства. Россия в этом плане наступает на пятки другим государствам, начав с требования выдавать ключи только от распространителей информации, зарегистрированных в специальном реестре ФСБ.

Для защиты прав пользователей от законных запросов со стороны судебных и правоохранительных органов существует даже специальное ПО (функция ПО), реализующее так называемое отрицаемое шифрование (deniable encryption), то есть возможность пользователю убедительно отрицать факт зашифрования информации или доказать отсутствие возможности расшифровать информацию. Из наиболее популярных программ, реализующих эту функцию, можно назвать TrueCrypt или OpenPuff.

3 коммент.:

SK комментирует...

Занятно. Не обращал раньше внимание на такую практику.

enott комментирует...

В US и без требований к депонированию ключей возникла интересная правовая коллизия, связанная уже с биометрическими методами идентификации.

Отсюда: http://alexmak.net/blog/2016/05/12/fingerprint/.
Цитата "Конфликт возникает в том месте, что отпечаток пальца — это нечто, что подтверждает то, кем мы являемся, в отличие от пароля — то, что мы знаем и помним. В итоге человек может принять сознательное решение не сообщать то, что он знает и помнит (пароль), а вот от получения правоохранительными органами биометрического материала человека — отпечатков пальцев, проб ДНК или записи голоса — человек больше не может защититься этой поправкой или статьей, так как суды в свое время приняли решение, что подобная информация “не раскрывает ваши знания”, то есть не является автоматически “свидетельствованием”

Алексей Лукацкий комментирует...

Интересный нюанс