Forrige måned beordret en føderal dommer i Denver en mistenkt å gi regjeringen det ukrypterte innholdet på en datamaskin hun delte med familien. Ordren ble utsatt mens advokater tok saken til en ankedomstol, og hevdet at ordren krenker beskyttelsen mot selvinkriminering i det femte endringsforslaget. Nå ser det imidlertid ut som om tiltalte enten må dekryptere den bærbare datamaskinen sin eller møte forakt for rettslige anklager. Den 10. U.S. Circuit Court of Appeals har nektet å bli involvert, og sier at straffesaken må nå en konklusjon før den kommer inn under ankedomstolens jurisdiksjon. Tiltalte har frist til 27. februar med å utlevere sine data.
Ved første øyekast kan dette virke som et tilfelle av begrenset omfang, men vent litt: Kryptering er ikke bare et valgfritt verktøy datanerder bruker for å beskytte ting på harddiskene deres. Den beskytter alt fra passordene våre til nettbankøktene våre til alt vi lagrer i skyen – som e-post, dokumenter, kvitteringer og til og med digitale varer. Hvordan kom vi hit? Kan regjeringen virkelig rekkefølge folk til å dekryptere dataene deres?
Anbefalte videoer
Saken
Saken involverer Ramona Fricosu og hennes eksmann Scott Whatcott, som ble tiltalt i 2010 for banksvindelanklager knyttet til en komplisert boliglånsvindel. Ifølge påtalemyndigheten tilbød paret seg å betale ned boliglånene til huseiere som desperat ville komme seg ut av under opp-ned situasjoner i kjølvannet av boligboblens kollaps. Men i stedet for å betale ned på boliglånene og ta besittelse, søkte de i stedet uredelig papirarbeid med domstoler for å skaffe titler til hjemmene, flyttet deretter for å selge dem uten å betale utestående boliglån.
I mai 2010 utførte regjeringen ransakingsordre ved boligen Fricosu delte med moren og to barna. (Whatcott hadde også tidligere bodd der, men på det tidspunktet ble paret skilt og han ble fengslet.) Blant de gjenstander beslaglagt av myndighetene var seks datamaskiner - tre stasjonære og tre bærbare datamaskiner, inkludert en Toshiba Satellite M305 notisbok. Regjeringen innhentet en egen arrestordre for å ransake Toshiba M305-datamaskinen, men oppdaget at innholdet var kryptert med PGP skrivebord kryptering av hele disken. Skjermen på Toshiba ble skadet; etterforskerne måtte koble til en ekstern skjerm.
Dagen etter ringte Whatcott til Fricosu fra Colorados Four Mile Correctional Center. Samtalen ble tatt opp. I den sier Fricosu at etterforskere hadde bedt henne om passord til datamaskinen, og at hun ikke svarte, og sa at advokaten hennes hadde informert henne om at hun ikke var forpliktet til å gi passord til etterforskere. Hun omtaler imidlertid gjentatte ganger til den bærbare datamaskinen som sin egen datamaskin og antyder at hun kjenner passordet for å få tilgang til den.
Så langt har ikke myndighetene vært i stand til å bryte datamaskinens kryptering og få tilgang til data på maskinen.
Begrunnelse for dekryptering
Å tvinge en saksøkt til å avsløre et passord eller gi en dekryptert versjon av data som er lagret på en datamaskin, ser ut til å fly i møte med selvinkrimineringsbeskyttelsen som tilbys av den femte endringen. Det er imidlertid flere nyanser og unntak fra beskyttelsen fra den femte endringen. Da den amerikanske distriktsdommeren Robert Blackburn ga sin ordre om at Fricosu skulle dekryptere notatboken, indikerte han at han mente Fricosu-saken faller utenfor linjene, selv om han bemerker at det ikke er mye rettspraksis å gå på.
Den femte endringen gir spesifikt at ingen kan tvinges til å vitne mot seg selv. Imidlertid har påfølgende høyesterettsavgjørelser begrenset denne beskyttelsen til kun å gjelde tvungen vitnemålskommunikasjon - typisk skriftlig eller muntlig kommunikasjon for en domstol. Det er også rettspraksis som anerkjenner at selv om et dokument ikke er beskyttet av privilegium fra femte endring, produserer dokumentet kan være: Hvis påtalemyndigheten bare blir kjent med et dokument på grunnlag av å kreve at en tiltalt skal fremlegge det, vil det utgjøre selvinkriminering.
Under Høyesteretts presedens kan en tiltalt ikke tvinges til å avsløre innholdet i hans eller hennes sinn: Det er tross alt en rett til å tie. Derfor kan Fricosu ikke tvinges til å produsere passordet.
Dommer Blackburn finner imidlertid at myndighetene med rimelighet har fastslått at Toshiba-notatboken tilhører Fricosu eller primært ble brukt av henne, og at regjeringen "vet om eksistensen og plasseringen av datamaskinens filer." Funnet hans hviler sterkt på den innspilte telefonsamtalen mellom Whatcott og Fricosu. Derfor konkluderer Blackburn med å tvinge Fricosu til å gi dekrypterte versjoner av datamaskinens innhold – ikke selve passordet – er ikke beskyttet av produksjonsunntaket. Dommeren finner også at ransakingsordren som skal dekke innholdet på datamaskinen er gyldig.
Dommer Blackburn har gitt Fricosu begrenset immunitet fra regjeringen ved å produsere de dekrypterte dataene mot henne. Med andre ord, hvis den dekrypterte informasjonen inneholder noe uventet eller til og med ikke-relatert, ville ikke regjeringen være i stand til å forfølge rettsforfølgelse basert på det faktum at Fricosu var i stand til å dekryptere den.
Hva med den femte endringen?
Faller virkelig Fricosus sak utenfor beskyttelsen av det femte endringsforslaget? Fricosus advokat mener ikke det, og heller ikke grupper som Electronic Frontier Foundation, som tidligere i år sendte inn en amicus (rettens venn)PDF) på Fricosus vegne.
Det grunnleggende argumentet om at Fricosus rettigheter til femte endring beskytter henne mot å måtte produsere en ukryptert av innholdet koker ned til hva regjeringen gjør og ikke allerede vet om dem innhold. Dommer BlackBurn finner at regjeringen har slått fast at innholdet på datamaskinen er relevant for saken, og regjeringsadvokater hevdet at nødvendig for å gi tilgang er ikke annerledes enn å kreve at mistenkte signerer autorisasjon for å gjøre det mulig for etterforskere å undersøke utenlandske bankkontoer og sikkerhetsdepositum esker.
Men i tilfeller hvor regjeringen er i stand til å tvinge tiltalte til å avsløre dokumenter eller regnskap, har regjeringen allerede blitt klar over eksistensen av disse varene gjennom en tredjedel parti. I Fricosus tilfelle kan det argumenteres for at myndighetene ikke har noen anelse om hvilket innhold den vil finne på den krypterte datamaskinen, eller hvor denne informasjonen kan være plassert på datamaskinen. (EFF hevdet til og med at regjeringen ikke virkelig kan bevise at notatboken er den samme som ble beslaglagt under søket.)
Selv om dommer Blackburn har gitt Fricosu begrenset immunitet for å hindre regjeringen i å bruke handling av å gi dekrypterte data mot henne, gjelder ikke immuniteten data seg selv. Det kan argumenteres for at denne begrensede immuniteten potensielt bryter med et Høyesteretts forbud mot avledet bruk av tvunget vitnesbyrd. Hvis myndighetene skulle bruke bevis innhentet fra den ukrypterte bærbare datamaskinen mot Fricosu, må myndighetene kanskje bevise at den skaffet (eller kunne ha skaffet) alle bevisene fra uavhengige kilder i stedet for utelukkende fra Fricosu seg selv. Så langt har regjeringen ikke hatt hell med å grave opp informasjonen den mener er på notatboken fra andre kilder, og heller ikke har etterforskere gjort noen fremskritt med å dekryptere den. Likevel fant dommer Blackburn at "det faktum at [regjeringen] ikke kjenner til det spesifikke innholdet i noen spesifikke dokumenter ikke er en hindring for produksjon."
Andre saker
I sine funn bemerker dommer Blackburn at det ikke er mange andre saker som er parallelle med omstendighetene i Fricosu-saken. Den mest direkte presedensen ser ut til å involvere en grenseovergang i Vermont i 2006. Under et søk åpnet en offiser en datamaskin og (uten å skrive inn et passord) så på filene, inkludert barnepornografi. Tiltalte ble arrestert og notatboken beslaglagt; Men da offiserer senere prøvde å få tilgang til datamaskinen, ble den funnet å være passordbeskyttet. I det tilfellet ble tiltalte ikke beordret til å produsere passordet, men å produsere en ukryptert versjon av "Z"-stasjonen der offiserer tidligere hadde sett materialet. En sentral del av den saken er imidlertid at myndighetene faktisk hadde sett det ulovlige innholdet på datamaskinen. De visste hvor den var før tiltalte ble pålagt å gi tilgang til opplysningene. I Fricosus tilfelle vet påtalemyndigheten bare at de har en kryptert datamaskin. De har ingen uavhengige bevis eller vitnesbyrd om innholdet.
I Washington State tilbake i 2004, var tidligere King County sheriff-detektiv Dan Ring arrestert for feil bruk av rettshåndhevelsesdatabaser samt andre kriminelle anklager. Selv om data funnet på Rings datamaskin detaljerte noen av hans interaksjoner med kjærester, prostitusjonsringer og eskortetjenester i flere land, var en del av harddisken hans kryptert. Ring hevdet konsekvent at han ikke kunne huske passordet til de krypterte dataene, og delvis som et resultat av dette ble saken mot ham henlagt tre dager før den skulle til rettssak. Ring pensjonert — med pensjon — og de krypterte dataene har aldri blitt knekket.
Skaper presedens
I en uttalelse i går bemerket Fricosus advokat Phillip DuBois "Det er mulig at Fricosu ikke har noen evne til å dekryptere datamaskinen, fordi hun har sannsynligvis ikke satt opp krypteringen på den datamaskinen og kanskje ikke vet eller husker passordet eller passordfrasen, sa DuBois i en uttalelse Tirsdag.
Spesielt forsvarte DuBois også PGP-skaperen Philip Zimmerman da han ble gjenstand for kriminell etterforskning fra det amerikanske tollvesenet, som forsøkte å klassifisere PGP-algoritmen som ammunisjon underlagt eksportkontroll. Saken ble henlagt uten tiltale i 1996.
Hvis Fricosu kan bli tvunget til å gi en ukryptert versjon av dataene som er lagret på datamaskinen, kan det skape en illevarslende presedens for brukere av moderne teknologi. Folk som bruker tjenester som DropBox, Apples iCloud, Amazon S3 og en myriade av andre tjenester alle stole på at dataene deres lagres trygt i kryptert form. På samme måte blir harddisker og SSD-er med maskinvarebasert kryptering mer og mer mainstream - spesielt med spredningen av lett tapte eller stjålne mobile enheter. Kryptering av høy kvalitet er ikke lenger bare et verktøy for teknofiler av høy kvalitet: Det er i hverdagsprodukter, og millioner av mennesker stoler på det hver dag. Hvis myndighetene kan tvinge brukere til å produsere ukrypterte kopier av dataene deres – uten å vite hva disse dataene kan være – kan det i betydelig grad kvele ytringsfriheten og informasjonsfriheten.
Og det er uavhengig av om Fricosu husker passordet hennes.
Bildekreditt: Shutterstock/Maxx-studio/J. Helgason/JMiks
