Vorige maand beval een federale rechter in Denver een verdachte om de overheid de niet-versleutelde inhoud te verstrekken van een computer die ze met haar familie deelde. Het bevel werd uitgesteld terwijl advocaten de zaak voor een hof van beroep brachten, met het argument dat het bevel in strijd was met de bescherming van het Vijfde Amendement tegen zelfincriminatie. Nu lijkt het er echter op dat de beklaagde ofwel haar laptop zal moeten ontsleutelen, anders zal zij worden geminacht voor de aanklacht van de rechtbank. Het 10e Amerikaanse Circuit Court of Appeals heeft geweigerd betrokken te raken en zegt dat de strafzaak tot een conclusie moet komen voordat deze onder de jurisdictie van het hof van beroep valt. De verdachte heeft tot 27 februari de tijd om haar gegevens te overhandigen.
Op het eerste gezicht lijkt dit misschien een geval van beperkte omvang, maar wacht even: encryptie is niet alleen een optioneel hulpmiddel dat computernerds gebruiken om dingen op hun harde schijven te beschermen. Het beschermt alles, van onze wachtwoorden tot onze online banksessies tot alles wat we in de cloud opslaan, zoals e-mail, documenten, ontvangstbewijzen en zelfs digitale goederen. Hoe zijn we hier gekomen? Kan de overheid dat echt wel
volgorde mensen om hun gegevens te decoderen?Aanbevolen video's
De zaak
De zaak betreft Ramona Fricosu en haar ex-man Scott Whatcott, die in 2010 werden aangeklaagd wegens bankfraude in verband met een ingewikkelde hypotheekzwendel. Volgens de aanklagers bood het tweetal aan om de hypotheken af te betalen van huiseigenaren die wanhopig uit een situatie van ondersteboven wilden komen na het instorten van de huizenzeepbel. In plaats van de hypotheken af te betalen en bezit te nemen, deden ze echter frauduleus aangifte papierwerk bij de rechtbank om eigendomsrechten op de huizen te verkrijgen, en verhuisde vervolgens om ze te verkopen zonder het openstaande bedrag te betalen hypotheek.
In mei 2010 voerde de regering huiszoekingsbevelen uit in de woning die Fricosu deelde met haar moeder en twee kinderen. (Whatcott had daar eerder ook gewoond, maar op dat moment was het echtpaar gescheiden en zat hij in de gevangenis.) De door de overheid in beslag genomen items waren zes computers: drie desktops en drie notebooks, waaronder een Toshiba Satellite M305 notitieboekje. De overheid kreeg een afzonderlijk bevel om de Toshiba M305-computer te doorzoeken, maar ontdekte dat de inhoud was gecodeerd met behulp van PGP-bureaublad encryptie over de hele schijf. Het scherm van de Toshiba was beschadigd; onderzoekers moesten een externe monitor aansluiten.
De volgende dag belde Whatcott Fricosu vanuit het Four Mile Correctional Center in Colorado. Het gesprek is opgenomen. Daarin zegt Fricosu dat onderzoekers haar om wachtwoorden voor de computer hadden gevraagd, en dat ze niet antwoordde, omdat haar advocaat haar had verteld dat ze niet verplicht was wachtwoorden aan onderzoekers te geven. Ze noemt de notebook echter herhaaldelijk haar eigen computer en impliceert dat ze het wachtwoord kent om er toegang toe te krijgen.
Tot nu toe zijn de autoriteiten er niet in geslaagd de codering van de computer te doorbreken en toegang te krijgen tot de gegevens op de machine.
Reden voor decodering
Het dwingen van een beklaagde om een wachtwoord vrij te geven of een gedecodeerde versie van gegevens die op een computer zijn opgeslagen te verstrekken, lijkt in strijd te zijn met de bescherming tegen zelfincriminatie die door het Vijfde Amendement wordt geboden. Er zijn echter verschillende nuances en uitzonderingen op de bescherming van het Vijfde Amendement. Bij het uitvaardigen van zijn bevel dat Fricosu het notitieboekje moest ontsleutelen, gaf de Amerikaanse districtsrechter Robert Blackburn aan dat hij dat wel had gedaan meent dat de Fricosu-zaak buiten de lijntjes valt, hoewel hij wel opmerkt dat er niet veel jurisprudentie meer is op.
Het Vijfde Amendement bepaalt specifiek dat niemand kan worden gedwongen tegen zichzelf te getuigen. Latere uitspraken van het Hooggerechtshof hebben deze bescherming echter beperkt tot uitsluitend gedwongen getuigeniscommunicatie – doorgaans schriftelijke of mondelinge communicatie voor een rechtbank. Er is ook jurisprudentie die erkent dat zelfs als een document niet wordt beschermd door het privilege van het Vijfde Amendement, de handeling van produceren het document zou kunnen zijn: Als aanklagers alleen kennis krijgen van een document op basis van de eis dat een verdachte het moet overleggen, zou dat neerkomen op zelfbeschuldiging.
Volgens het precedent van het Hooggerechtshof kan een verdachte niet worden gedwongen de inhoud van zijn of haar geest bekend te maken: er bestaat immers een zwijgrecht. Fricosu kan daarom niet worden gedwongen het wachtwoord te produceren.
Rechter Blackburn is echter van oordeel dat de regering redelijkerwijs heeft vastgesteld dat het Toshiba-notebook eigendom is van Fricosu of hoofdzakelijk door haar werd gebruikt, en dat de de overheid “weet van het bestaan en de locatie van de computerbestanden.” Zijn bevinding berust sterk op het opgenomen telefoongesprek tussen Whatcott en Fricosu. Daarom concludeert Blackburn dat het dwingen van Fricosu om gedecodeerde versies van de inhoud van de computer aan te bieden (niet het wachtwoord zelf) niet wordt beschermd door de productieuitzondering. De rechter oordeelt ook dat het huiszoekingsbevel dat de inhoud van de computer zou bedekken, geldig is.
Rechter Zwartbrand heeft verleende Fricosu beperkte immuniteit tegen de overheid die de gedecodeerde gegevens tegen haar gebruikte. Met andere woorden: als de gedecodeerde informatie iets onverwachts of zelfs niet-gerelateerds bevat, zou de overheid geen vervolging kunnen instellen op basis van het feit dat Fricosu de informatie heeft kunnen ontsleutelen.
Hoe zit het met het Vijfde Amendement?
Valt de zaak van Fricosu werkelijk buiten de bescherming van het Vijfde Amendement? De advocaat van Fricosu denkt van niet, en groepen als de Electronic Frontier Foundation ook niet, die eerder dit jaar een amicusbrief (vriend van de rechtbank) indiende (Pdf) namens Fricosu.
Het basisargument dat Fricosu’s rechten op het Vijfde Amendement haar beschermen tegen de noodzaak om een Het niet-versleutelen van de inhoud komt neer op wat de overheid daar wel en niet van weet inhoud. Rechter BlackBurn oordeelt dat de regering heeft vastgesteld dat de inhoud van de computer relevant is voor de zaak, en overheidsadvocaten voerden aan dat vereist om toegang te verlenen is niet anders dan het eisen van verdachten om een machtiging te ondertekenen zodat onderzoekers buitenlandse bankrekeningen en kluisjes kunnen onderzoeken dozen.
In gevallen waarin de overheid gedaagden echter kan dwingen documenten openbaar te maken of rekeningen is de overheid al via een derde op de hoogte van het bestaan van deze posten feest. In het geval van Fricosu zou kunnen worden aangevoerd dat de overheid geen idee heeft welke inhoud zij op de gecodeerde computer zal aantreffen, of waar die informatie zich op de computer zou kunnen bevinden. (De EFF voerde zelfs aan dat de overheid niet echt kan bewijzen dat het notitieboekje hetzelfde is dat tijdens de huiszoeking in beslag is genomen.)
Hoewel rechter Blackburn Fricosu beperkte immuniteit heeft verleend om te voorkomen dat de regering de handeling van het verstrekken van gedecodeerde gegevens tegen haar, strekt de immuniteit zich niet uit tot de gegevens zelf. Er kan worden aangevoerd dat deze beperkte immuniteit mogelijk in strijd is met een verbod van het Hooggerechtshof op afgeleid gebruik van gedwongen getuigenissen. Als de overheid bewijsmateriaal uit de niet-versleutelde laptop tegen Fricosu zou gebruiken, zou de overheid dat misschien wel moeten doen bewijzen dat zij al dat bewijsmateriaal uit onafhankelijke bronnen heeft verkregen (of had kunnen verkrijgen) en niet uitsluitend uit Fricosu haarzelf. Tot nu toe heeft de overheid geen geluk gehad met het opgraven van de informatie die volgens haar op het notitieboekje staat uit andere bronnen, noch hebben onderzoekers enige vooruitgang geboekt bij het ontsleutelen van het notitieboekje. Niettemin oordeelde rechter Blackburn dat “het feit dat [de regering] de specifieke inhoud van specifieke documenten niet kent, geen belemmering vormt voor de productie.”
Andere gevallen
In zijn bevindingen merkt rechter Blackburn op dat er niet veel andere zaken zijn die parallel lopen met de omstandigheden in de Fricosu-zaak. Het meest directe precedent lijkt een grensovergang in Vermont in 2006 te betreffen. Tijdens een huiszoeking opende een agent een computer en bekeek (zonder wachtwoord in te voeren) de bestanden daarin, waaronder kinderporno. De beklaagde werd gearresteerd en het notitieboekje werd in beslag genomen; Toen agenten later echter probeerden toegang te krijgen tot de computer, bleek deze met een wachtwoord beveiligd te zijn. In dat geval kreeg de verdachte niet de opdracht om het wachtwoord te produceren, maar om een ongecodeerde versie van de “Z”-schijf te produceren waar agenten het materiaal eerder hadden gezien. Een belangrijk onderdeel van die zaak is echter dat de autoriteiten dat ook daadwerkelijk hadden gedaan gezien de illegale inhoud op de computer. Ze wisten waar het zich bevond voordat de verdachte werd bevolen toegang tot de informatie te verlenen. In het geval van Fricosu weten de aanklagers gewoon dat ze een gecodeerde computer hebben. Ze hebben geen onafhankelijk bewijs of getuigenis over de inhoud ervan.
In 2004 was voormalig rechercheur Dan Ring van de Sheriff van King County in de staat Washington gearresteerd wegens oneigenlijk gebruik van databases voor wetshandhaving evenals andere strafrechtelijke vervolgingen. Hoewel de gegevens op de computer van Ring een aantal van zijn interacties met vriendinnen, prostitutieringen en escortdiensten in meerdere landen gedetailleerd beschrijven, was een deel van zijn harde schijf gecodeerd. Ring beweerde consequent dat hij het wachtwoord voor de gecodeerde gegevens niet meer kon onthouden, en deels als gevolg daarvan werd de zaak tegen hem drie dagen vóór de rechtszaak geseponeerd. Ring ging met pensioen – met pensioen – en de gecodeerde gegevens zijn nooit gekraakt.
Een precedent scheppen
In een verklaring gisteren merkte Fricosu’s advocaat Phillip DuBois op: “Het is mogelijk dat mevrouw Fricosu niet in staat is de computer te decoderen, omdat Ze heeft waarschijnlijk de codering op die computer niet ingesteld en kent of onthoudt mogelijk het wachtwoord of de wachtwoordzin niet”, aldus DuBois in een verklaring. Dinsdag.
Opvallend is dat DuBois ook PGP-maker Philip Zimmerman verdedigde toen er een strafrechtelijk onderzoek naar hem werd ingesteld de Amerikaanse douane, die het PGP-algoritme probeerde te classificeren als munitie die onderworpen is aan exportcontroles. De zaak werd in 1996 zonder aanklacht geseponeerd.
Als Fricosu gedwongen kan worden om een niet-versleutelde versie van de gegevens die op de computer zijn opgeslagen te verstrekken, kan dit een onheilspellend precedent scheppen voor gebruikers van moderne technologie. Mensen die diensten gebruiken zoals DropBox, Apple's iCloud, Amazon S3 en een groot aantal andere diensten alle erop vertrouwen dat hun gegevens veilig en gecodeerd worden opgeslagen. Op dezelfde manier worden harde schijven en SSD's met op hardware gebaseerde encryptie steeds meer mainstream, vooral met de toename van gemakkelijk verloren of gestolen mobiele apparaten. Hoogwaardige encryptie is niet alleen meer een hulpmiddel voor hoogwaardige technofielen: het zit in alledaagse producten en miljoenen mensen vertrouwen er elke dag op. Als de overheid gebruikers kan dwingen ongecodeerde kopieën van hun gegevens te maken – zonder te weten wat die gegevens zouden kunnen zijn – zou dit de vrijheid van meningsuiting en de vrijheid van informatie aanzienlijk kunnen onderdrukken.
En dat ongeacht of Fricosu haar wachtwoord onthoudt.
Afbeelding tegoed: Shutterstock/Maxx-Studio/J. Helgason/JMiks
