Potrei mai essere legalmente obbligato a decifrare le informazioni degli utenti? [chiuso]

Naviga le tue risposte
1

Supponiamo di ospitare qualche app Web che memorizza informazioni sui suoi utenti. Nell'interesse della riservatezza, tali informazioni sono archiviate in un formato crittografato. In quali circostanze potrebbe richiedere l'autorizzazione da parte di un'autorità legale per decrittografarlo e darle l'accesso?

Inoltre, supponiamo che l'app Web non esegua effettivamente la crittografia, sia crittografata sul lato client utilizzando le chiavi fornite dagli utenti prima di essere inviata lato server per l'archiviazione. Ora non è nemmeno possibile per me decodificarlo, perché non ho le chiavi. Cosa potrebbe richiedere un'autorità legale che voleva i dati? Sono principalmente interessato alla legge statunitense.

    
posta Jack 22.07.2015 - 00:41
fonte

2 risposte

4

Alla luce del fatto che non hai hai le chiavi private (dato il modo in cui hai posto la domanda), sarebbe impossibile per qualsiasi autorità obbligarti a decrittografare le informazioni che è stato crittografato utilizzando le chiavi pubbliche di accompagnamento. Non puoi prendere il sangue da una pietra. Tuttavia, è risaputo che le autorità negli Stati Uniti hanno costretto gli operatori del sito a consegnare chiavi SSL private, forse in particolare nel caso di Lavabit ( link ).

Modifica: pensandoci meglio - Sembra che questa domanda faccia sorgere un'altra domanda. Comprendo che tutta la crittografia viene eseguita sul lato client dall'applicazione e che le chiavi private utilizzate per la crittografia sono archiviate anche sul lato client (a la Posta Protonica ). Ma, se la tua applicazione dovesse servire un codice malevolo sul lato client, sarebbe possibile che il tuo server accedesse alle chiavi private del client? Se è così, allora non sembra che sarebbe molto più eclatante per un'autorità forzare un sito che opera in questo modo per farlo, piuttosto che per un'autorità forzare un sito a consegnare le sue chiavi SSL private . Credo che questo sia uno dei motivi per cui il negozio di installazione di Proton Mail in Svizzera.

    
risposta data 22.07.2015 - 01:17
fonte
2

Non sono un avvocato e questo non è un consiglio legale. Se lo farai, dovresti chiedere ad un avvocato. Il FEP potrebbe essere in grado di aiutare a chiarire le cose senza spese.

La risposta sarà probabilmente che varia da luogo a luogo e dipende da quale autorità legale intendi. Diverse parti dei governi hanno diversi tipi di autorità (il rapporto sulla trasparenza di twilio ha avuto esempi).

Ciò di cui parli suona un po 'come il caso Lavabit negli Stati Uniti, che è descritto bene e sinteticamente qui . L'FBI e un giudice federale volevano chiavi SSL e addebitavano a Lavabit $ 5k / giorno per non aver rispettato fino a quando non lo facevano. Se ricordo bene, Lavabit non aveva risorse legali adeguate e quindi il loro caso ha lasciato il precedente legale in uno stato alquanto ambiguo. Vi sono ulteriori informazioni sulla risoluzione qui .

In base alle dichiarazioni rilasciate da Apple in merito alla crittografia iMessage, non possono essere legalmente obbligati a eseguire un'intercettazione telefonica.

Anche in qualche modo collegato è il RIP del Regno Unito, che è stato utilizzato per perseguire le persone per non aver rinunciato alle chiavi di crittografia nel 2009. In America, immagino che una legge del genere sarebbe probabilmente incostituzionale sotto il quinto .

Ancora una volta, penso che sia importante cercare di capire da soli queste leggi e discuterle sulle birre, ma se hai mai bisogno di fare qualcosa che potrebbe tradursi in un vero disaccordo legale in tribunale, impara da Lavabit e ottieni consulenza legale e forse anche un avvocato su retainer prima distribuisci il tuo sistema.

    
risposta data 22.07.2015 - 19:34
fonte

Leggi altre domande sui tag

Rilevato tentativo di hacking elaborato - ora cosa? Come impedire a qualcuno di indovinare il token in un link di reimpostazione della password