I sidste måned beordrede en føderal dommer i Denver en mistænkt til at give regeringen det ukrypterede indhold på en computer, hun delte med sin familie. Ordren blev udskudt, mens advokater førte sagen til en appeldomstol, idet de hævdede, at ordren krænker beskyttelsen i det femte ændringsforslag mod selvinkriminering. Nu ser det dog ud til, at den tiltalte enten bliver nødt til at dekryptere sin bærbare computer eller står over for foragt for retten. Den 10. US Circuit Court of Appeals har nægtet at blive involveret og siger, at straffesagen skal nå til en konklusion, før den falder ind under appelrettens jurisdiktion. Den tiltalte har indtil den 27. februar til at udlevere sine data.
Ved første øjekast kan dette synes at være et tilfælde af begrænset omfang, men vent et øjeblik: Kryptering er ikke kun et valgfrit værktøj, som computernørder bruger til at beskytte ting på deres harddiske. Det beskytter alt fra vores adgangskoder til vores netbanksessioner til alt, hvad vi gemmer i skyen - som e-mail, dokumenter, kvitteringer og endda digitale varer. Hvordan kom vi hertil? Kan regeringen virkelig
bestille folk til at dekryptere deres data?Anbefalede videoer
Sagen
Sagen involverer Ramona Fricosu og hendes eksmand Scott Whatcott, som blev tiltalt i 2010 for banksvindel anklager i forbindelse med et kompliceret realkreditsvindel. Ifølge anklagere tilbød parret at betale af på boligejeres realkreditlån, der var desperate efter at komme ud af situationer på hovedet i kølvandet på boligboblens kollaps. Men i stedet for at betale af på realkreditlånene og tage besiddelse, indgav de i stedet svig papirarbejde med domstole for at få titler til boligerne, flyttede derefter for at sælge dem uden at betale det udestående pant.
I maj 2010 udførte regeringen ransagningsordrer på den bolig Fricosu delte med sin mor og to børn. (Whatcott havde også tidligere boet der, men på det tidspunkt blev parret skilt, og han blev fængslet.) Blandt de genstande beslaglagt af regeringen var seks computere - tre desktops og tre notebooks, inklusive en Toshiba Satellite M305 notesbog. Regeringen opnåede en særskilt kendelse om at ransage Toshiba M305-computeren, men opdagede, at indholdet var krypteret vha. PGP Desktop kryptering af hele disken. Skærmen på Toshiba var beskadiget; efterforskere var nødt til at tilslutte en ekstern skærm.
Den næste dag ringede Whatcott til Fricosu fra Colorados Four Mile Correctional Center. Samtalen blev optaget. I den siger Fricosu, at efterforskere havde bedt hende om adgangskoder til computeren, og at hun ikke svarede, idet hun sagde, at hendes advokat havde informeret hende om, at hun ikke var forpligtet til at give adgangskoder til efterforskere. Hun omtaler dog gentagne gange notesbogen som sin egen computer og antyder, at hun kender adgangskoden for at få adgang til den.
Indtil videre har myndighederne ikke været i stand til at bryde computerens kryptering og få adgang til nogen data på maskinen.
Begrundelse for dekryptering
At tvinge en sagsøgt til at afsløre en adgangskode eller give en dekrypteret version af data, der er gemt på en computer, ser ud til at flyve over for beskyttelsen af selvinkriminering, der tilbydes af det femte ændringsforslag. Der er dog flere nuancer og undtagelser til beskyttelsen fra femte ændring. Da den amerikanske distriktsdommer Robert Blackburn udstedte sin ordre om, at Fricosu dekrypterede notesbogen, indikerede han, at han mente, at Fricosu-sagen falder uden for linjerne, selvom han bemærker, at der ikke er meget retspraksis at gå på.
Det femte ændringsforslag bestemmer specifikt, at ingen person kan tvinges til at aflægge vidne mod sig selv. Imidlertid har efterfølgende højesteretsafgørelser begrænset denne beskyttelse til kun at gælde for tvungen vidneudsagn - typisk skriftlig eller mundtlig kommunikation for en domstol. Der er også retspraksis, der anerkender, at selv hvis et dokument ikke er beskyttet af privilegium i det femte ændringsforslag, producerer dokumentet kan være: Hvis anklagerne først får kendskab til et dokument på baggrund af at kræve, at en tiltalt skal fremlægge det, vil det svare til selvinkriminering.
Ifølge højesteretspræcedens kan en tiltalt ikke tvinges til at afsløre indholdet af sit sind: Der er trods alt en ret til at tie. Derfor kan Fricosu ikke tvinges til at fremstille adgangskoden.
Dommer Blackburn finder dog, at regeringen med rimelighed har fastslået, at Toshiba-notebooken tilhører Fricosu eller primært blev brugt af hende, og at regeringen "ved til eksistensen og placeringen af computerens filer." Hans konstatering hviler stærkt på den optagede telefonsamtale mellem Whatcott og Fricosu. Derfor konkluderer Blackburn at tvinge Fricosu til at levere dekrypterede versioner af computerens indhold - ikke selve adgangskoden - er ikke beskyttet af produktionsundtagelsen. Dommeren finder også, at ransagningskendelsen, der dækker indholdet af computeren, er gyldig.
Dommer Blackburn har tildelt Fricosu begrænset immunitet fra regeringen ved at fremstille de dekrypterede data mod hende. Med andre ord, hvis den dekrypterede information indeholder noget uventet eller endda ikke-relateret, ville regeringen ikke være i stand til at forfølge retsforfølgning baseret på det faktum, at Fricosu var i stand til at dekryptere dem.
Hvad med den femte ændring?
Falder Fricosus sag virkelig uden for beskyttelsen af det femte ændringsforslag? Det mener Fricosus advokat ikke, og det mener heller ikke grupper som Electronic Frontier Foundation, der tidligere på året indgav en amicus (ven-af-retten) brief (PDF) på Fricosus vegne.
Det grundlæggende argument om, at Fricosus rettigheder til femte ændring beskytter hende mod at skulle producere en ukrypteret af dets indhold koger ned til, hvad regeringen gør og ikke allerede ved om dem indhold. Dommer BlackBurn finder, at regeringen har fastslået, at indholdet af computeren er relevant for sagen, og regeringens advokater hævdede, at påkrævet for at give adgang er ikke anderledes end at kræve, at mistænkte skal underskrive autorisation for at gøre det muligt for efterforskere at undersøge oversøiske bankkonti og sikkerhedsdepositum kasser.
Men i tilfælde, hvor regeringen er i stand til at tvinge sagsøgte til at afsløre dokumenter eller regnskaber, er regeringen allerede blevet opmærksom på eksistensen af disse poster gennem en tredje parti. I Fricosus tilfælde kunne man argumentere for, at regeringen ikke har nogen idé om, hvilket indhold den vil finde på den krypterede computer, eller hvor den information kan være placeret på computeren. (EFF hævdede endda, at regeringen ikke rigtig kan bevise, at notesbogen er den samme, som blev beslaglagt under ransagningen.)
Selvom dommer Blackburn har givet Fricosu begrænset immunitet for at forhindre regeringen i at bruge handling af at levere dekrypterede data mod hende, strækker immuniteten sig ikke til data sig selv. Der kan argumenteres for, at denne begrænsede immunitet potentielt overtræder et højesterets forbud mod afledt brug af tvunget vidneudsagn. Hvis regeringen skulle bruge beviser indhentet fra den ukrypterede bærbare computer mod Fricosu, bliver regeringen måske nødt til det bevise, at den har opnået (eller kunne have opnået) alt det bevis fra uafhængige kilder i stedet for udelukkende fra Fricosu hende selv. Indtil videre har regeringen ikke haft held med at grave de oplysninger frem, som den mener er på notesbogen fra andre kilder, og efterforskerne har heller ikke gjort fremskridt med at dekryptere notesbogen. Ikke desto mindre fandt dommer Blackburn, at "det faktum, at [regeringen] ikke kender det specifikke indhold af specifikke dokumenter, ikke er en hindring for produktion."
Andre sager
I sine resultater bemærker dommer Blackburn, at der ikke er mange andre sager, der svarer til omstændighederne i Fricosu-sagen. Den mest direkte præcedens synes at involvere en grænseovergang i Vermont i 2006. Under en ransagning åbnede en betjent en computer og (uden at indtaste en adgangskode) så dens filer, inklusive børnepornografi. Den tiltalte blev arresteret og notesbogen beslaglagt; Men da betjentene senere forsøgte at få adgang til computeren, blev den fundet at være adgangskodebeskyttet. I den sag blev den tiltalte ikke pålagt at fremvise adgangskoden, men at fremstille en ukrypteret version af "Z"-drevet, hvor betjentene tidligere havde set materialet. En central del af den sag er dog, at myndighederne faktisk havde set det ulovlige indhold på computeren. De vidste, hvor det var, før tiltalte blev pålagt at give adgang til oplysningerne. I Fricosus tilfælde ved anklagerne bare, at de har en krypteret computer. De har ingen uafhængige beviser eller vidnesbyrd om indholdet.
I Washington State tilbage i 2004 var den tidligere King County-sheriffdetektiv Dan Ring arresteret for uretmæssig brug af retshåndhævelsesdatabaser samt andre strafferetlige anklager. Selvom data fundet på Rings computer detaljerede nogle af hans interaktioner med veninder, prostitutionsringe og eskortetjenester i flere lande, var en del af hans harddisk krypteret. Ring hævdede konsekvent, at han ikke kunne huske adgangskoden til de krypterede data, og til dels som følge heraf blev sagen mod ham henlagt tre dage før den skulle for retten. Ring gik på pension - med pension - og de krypterede data er aldrig blevet knækket.
Skaber præcedens
I en erklæring i går bemærkede Fricosus advokat Phillip DuBois "Det er muligt, at fru Fricosu ikke har nogen evne til at dekryptere computeren, fordi hun har sandsynligvis ikke konfigureret krypteringen på den computer og kender eller husker muligvis ikke adgangskoden eller adgangssætningen," sagde DuBois i en erklæring Tirsdag.
DuBois forsvarede også PGP-skaberen Philip Zimmerman, da han var genstand for en strafferetlig efterforskning fra det amerikanske toldvæsen, som forsøgte at klassificere PGP-algoritmen som ammunition underlagt eksportkontrol. Sagen blev henlagt uden anklage i 1996.
Hvis Fricosu kan tvinges til at levere en ukrypteret version af de data, der er gemt på computeren, kan det skabe en ildevarslende præcedens for moderne teknologibrugere. Folk, der bruger tjenester som DropBox, Apples iCloud, Amazon S3 og et utal af andre tjenester alle stole på, at deres data opbevares sikkert i krypteret form. Tilsvarende bliver harddiske og SSD'er med hardwarebaseret kryptering mere og mere mainstream - især med udbredelsen af let mistede eller stjålne mobile enheder. Kryptering af høj kvalitet er ikke længere kun et værktøj for teknofiler af højeste kvalitet: Det er i hverdagsprodukter, og millioner af mennesker er afhængige af det hver dag. Hvis regeringen kan tvinge brugere til at producere ukrypterede kopier af deres data - uden at vide, hvad disse data kan være - kan det i høj grad kvæle ytringsfriheden og informationsfriheden.
Og det er uanset om Fricosu husker sin adgangskode.
Billedkredit: Shutterstock/Maxx-Studio/J. Helgason/JMiks
