Dein Kopf, Deine Daten und Deine Passwörter gehören uns!
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Die Times und die LinuxWorld berichteten in den Artikeln Knowledge of key distinct from encrypted data und UK appeals court rejects encryption key disclosure defense am 15. Oktober 2008 über eine "praktische" Anwendung des Regulation of Investigatory Powers Acts (RIPA) Gesetzes durch die Richter am britischen Appellationsgericht für Strafrecht.
Die Vorgeschichte: Gegen H wurde eine "control order" aufgrund des Terrorismuspräventionsgesetzes von 2005 ausgesprochen, die ihn unter Hausarrest stellte. S und A wurden beschuldigt, mit H und anderen Personen konspiriert zu haben, um H die heimliche Flucht und Abtauchen in eine Unterkunft in Sheffield zu ermöglichen. Die Polizeibehörden stürmten danach die Unterkunft und überraschten S an einem Laptop, an dem er gerade dabei war, ein Passwort für eine verschlüsselte Datei (oder Festplatte) einzugeben. S und A wurden verhaftet, die Wohnung von S in London durchsucht und die Computer von S und A beschlagnahmt und untersucht. Auf den Festplatten von S fanden sich verschlüsselte und wohl nur unzulänglisch gelöschte Dateien. Der Inhalt der unverschlüsselten Daten gaben die Basis ab, ihn aufgrund des Antiterrorgesetzes von 2000 zu beschuldigen, weil sie nach Ansicht der Behörden entweder "Bombenbauanleitungen" oder "Propaganda-"/"Rekrutierungsmaterialien" enthielten. Auf den Festplatten von A fanden sich ebenfalls verschlüsselte Dateien.
Weil die Behörden die Dateien nicht entschlüsseln konnten, wurde gegen S und A nach dem RIPA Gesetz die Anordnung ausgesprochen, die Passwörter bzw. privaten Schlüssel auszuhändigen. S und A legten dagegen Einspruch ein, mit Verweis auf das Recht, Informationen und Aussagen zu verweigern, die sie selbst belasten würden und Artikel 6 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten, der die Prinzipien der Unschuldsvermutung und Beweislast der Anklage ("Bis zum gesetzlichen Nachweis seiner Schuld wird vermutet, dass der wegen einer strafbaren Handlung Angeklagte unschuldig ist") beinhaltet. Da der Richter den Einspruch ablehnete, riefen sie das Appellationsgericht an.
Interessant und erschreckend zugleich ist nun, was die Richter am Appellationsgericht entschieden und begründeten:
Die Kenntnis des Mittels (Passwort/privater Schlüssel) für den Zugriff auf Daten und die Weitergabe der Kenntnisse greift zwar in das Recht, sich nicht selbst beschuldigen zu müssen, ein, aber nur, wenn die verschlüsselten Daten selbst beschuldigendes Material enthalten. Die Daten selbst, wie die privaten Schlüssel erklärten die Richter als für unabhängig vom Willen der Beschuldigten existierend – für "neutral", weil Polizeibehörden (oder Geheimdienste) beides auch ohne Mitwirkung der Beschuldigten oder über andere Wege hätten erhalten können und deshalb auch als Gegenstände, die nicht vom Recht, sich nicht selbst beschuldigen zu müssen, berührt werden.
Was in diese Konstruktion eigentlich nicht hineinpasst, ist die Kenntnis des Passworts, das sich jeder, der Verschlüsselung anwendet, selbst ausdenkt und im Gedächtnis behält, sofern es sich nicht um ein Verschlüsselungsprodukt oder eine Sicherheitsfunktion mit einem Standardpasswort oder -schlüssel (z. B. des Herstellers) handelt, der stattdessen benutzt wird.
Die Richter erklärten zu dieser Frage einfach, dass auch ein memoriertes Passwort "unabhängig" und "neutral" ist – Punkt. Als weitere Beispiele zur Stützung ihrer These führten die Richter an, die Neutralität und unabhängige Existenz des Passworts ergebe sich ja schon daraus, dass die Polzeibehörden das Passwort komplett in ihren Besitz hätten bringen können, wenn S es vollständig eingegeben hätte. "In diesem Sinne", so das Gericht, sei der "Schlüssel zur Computerausstattung (Richter!) nicht von dem Schlüssel zu einer verschlossenen Schublade zu unterscheiden – der Inhalt der Schublade existiere unabhängig vom Verdächtigen und so auch der Schlüssel dazu. Die Inhalte mögen beschuldigend sein oder nicht: Der Schlüssel ist neutral." Zusammengefasst bedeutet der Gerichtsbeschluss das, was Gegner der britischen Antiterrorgesetzgebung und des RIPA Gesetzes schon immer gesagt haben: Sie verdrehen und beugen die Grundrechte bis ins Absurde und die Anwender von Verschlüsselung gelten in Großbritannien für die Sicherheitsbehörden als "vogelfrei".
Wenn die Polizeibehörden und Geheimdienste private Schlüssel und Passwörter nicht durch die Verwanzung von Rechnern oder Abhören des Datenverkehrs in ihren Besitz bekommen können, ist es für sie ein Leichtes – nach dem Beschluss des Appellationsgerichts umso mehr – das RIPA Gesetz und die britischen Gerichte zu nutzen, um über die Androhung mehrjähriger Gefängnisstrafen bei Verweigerung, den absoluten Zwang zur Herausgabe privater Schlüssel und Passwörter bei völliger Missachtung des Unschulsvermutungsprinzips und des Rechts, sich nicht selbst beschuldigen zu müssen, Passwörter, private Schlüssel und die Inhalte verschlüsselter Daten abzugreifen. Das ist wahrlich eine Gerichtsbarkeit und Gesetzgebung, die einem Polizeistaat wie Großbritannien würdig ist.
Wenn das in Europa und in Deutschland wie zum Beispiel auch die Macht des Geheimdienstes GCHQ, dessen Spezialisten vom ehemaligen National Technical Assistance Centre (NTAC) zu Aufgabe haben, sich an Entschlüsselungen zu versuchen, Vorbild wird und Schule macht, kann man sich vorstellen, was uns noch blühen könnte.
Via: Fefe - NIE WIEDER nach England fahren, EVER
Die Vorgeschichte: Gegen H wurde eine "control order" aufgrund des Terrorismuspräventionsgesetzes von 2005 ausgesprochen, die ihn unter Hausarrest stellte. S und A wurden beschuldigt, mit H und anderen Personen konspiriert zu haben, um H die heimliche Flucht und Abtauchen in eine Unterkunft in Sheffield zu ermöglichen. Die Polizeibehörden stürmten danach die Unterkunft und überraschten S an einem Laptop, an dem er gerade dabei war, ein Passwort für eine verschlüsselte Datei (oder Festplatte) einzugeben. S und A wurden verhaftet, die Wohnung von S in London durchsucht und die Computer von S und A beschlagnahmt und untersucht. Auf den Festplatten von S fanden sich verschlüsselte und wohl nur unzulänglisch gelöschte Dateien. Der Inhalt der unverschlüsselten Daten gaben die Basis ab, ihn aufgrund des Antiterrorgesetzes von 2000 zu beschuldigen, weil sie nach Ansicht der Behörden entweder "Bombenbauanleitungen" oder "Propaganda-"/"Rekrutierungsmaterialien" enthielten. Auf den Festplatten von A fanden sich ebenfalls verschlüsselte Dateien.
Weil die Behörden die Dateien nicht entschlüsseln konnten, wurde gegen S und A nach dem RIPA Gesetz die Anordnung ausgesprochen, die Passwörter bzw. privaten Schlüssel auszuhändigen. S und A legten dagegen Einspruch ein, mit Verweis auf das Recht, Informationen und Aussagen zu verweigern, die sie selbst belasten würden und Artikel 6 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten, der die Prinzipien der Unschuldsvermutung und Beweislast der Anklage ("Bis zum gesetzlichen Nachweis seiner Schuld wird vermutet, dass der wegen einer strafbaren Handlung Angeklagte unschuldig ist") beinhaltet. Da der Richter den Einspruch ablehnete, riefen sie das Appellationsgericht an.
Interessant und erschreckend zugleich ist nun, was die Richter am Appellationsgericht entschieden und begründeten:
Die Kenntnis des Mittels (Passwort/privater Schlüssel) für den Zugriff auf Daten und die Weitergabe der Kenntnisse greift zwar in das Recht, sich nicht selbst beschuldigen zu müssen, ein, aber nur, wenn die verschlüsselten Daten selbst beschuldigendes Material enthalten. Die Daten selbst, wie die privaten Schlüssel erklärten die Richter als für unabhängig vom Willen der Beschuldigten existierend – für "neutral", weil Polizeibehörden (oder Geheimdienste) beides auch ohne Mitwirkung der Beschuldigten oder über andere Wege hätten erhalten können und deshalb auch als Gegenstände, die nicht vom Recht, sich nicht selbst beschuldigen zu müssen, berührt werden.
Was in diese Konstruktion eigentlich nicht hineinpasst, ist die Kenntnis des Passworts, das sich jeder, der Verschlüsselung anwendet, selbst ausdenkt und im Gedächtnis behält, sofern es sich nicht um ein Verschlüsselungsprodukt oder eine Sicherheitsfunktion mit einem Standardpasswort oder -schlüssel (z. B. des Herstellers) handelt, der stattdessen benutzt wird.
Die Richter erklärten zu dieser Frage einfach, dass auch ein memoriertes Passwort "unabhängig" und "neutral" ist – Punkt. Als weitere Beispiele zur Stützung ihrer These führten die Richter an, die Neutralität und unabhängige Existenz des Passworts ergebe sich ja schon daraus, dass die Polzeibehörden das Passwort komplett in ihren Besitz hätten bringen können, wenn S es vollständig eingegeben hätte. "In diesem Sinne", so das Gericht, sei der "Schlüssel zur Computerausstattung (Richter!) nicht von dem Schlüssel zu einer verschlossenen Schublade zu unterscheiden – der Inhalt der Schublade existiere unabhängig vom Verdächtigen und so auch der Schlüssel dazu. Die Inhalte mögen beschuldigend sein oder nicht: Der Schlüssel ist neutral." Zusammengefasst bedeutet der Gerichtsbeschluss das, was Gegner der britischen Antiterrorgesetzgebung und des RIPA Gesetzes schon immer gesagt haben: Sie verdrehen und beugen die Grundrechte bis ins Absurde und die Anwender von Verschlüsselung gelten in Großbritannien für die Sicherheitsbehörden als "vogelfrei".
Wenn die Polizeibehörden und Geheimdienste private Schlüssel und Passwörter nicht durch die Verwanzung von Rechnern oder Abhören des Datenverkehrs in ihren Besitz bekommen können, ist es für sie ein Leichtes – nach dem Beschluss des Appellationsgerichts umso mehr – das RIPA Gesetz und die britischen Gerichte zu nutzen, um über die Androhung mehrjähriger Gefängnisstrafen bei Verweigerung, den absoluten Zwang zur Herausgabe privater Schlüssel und Passwörter bei völliger Missachtung des Unschulsvermutungsprinzips und des Rechts, sich nicht selbst beschuldigen zu müssen, Passwörter, private Schlüssel und die Inhalte verschlüsselter Daten abzugreifen. Das ist wahrlich eine Gerichtsbarkeit und Gesetzgebung, die einem Polizeistaat wie Großbritannien würdig ist.
Wenn das in Europa und in Deutschland wie zum Beispiel auch die Macht des Geheimdienstes GCHQ, dessen Spezialisten vom ehemaligen National Technical Assistance Centre (NTAC) zu Aufgabe haben, sich an Entschlüsselungen zu versuchen, Vorbild wird und Schule macht, kann man sich vorstellen, was uns noch blühen könnte.
Via: Fefe - NIE WIEDER nach England fahren, EVER
von ravenhorst - Owl,
gepostet am Freitag, 17. Oktober 2008 um 11:25
