¿Podría alguna vez estar legalmente obligado a descifrar la información del usuario? [cerrado]

Navega tus respuestas
1

Supongamos que tengo una aplicación web que almacena información sobre sus usuarios. En aras de la confidencialidad, esa información se almacena en un formato cifrado. ¿Bajo qué circunstancias podría una autoridad legal exigir que lo descifre y les dé acceso?

Además, supongamos que la aplicación web no realiza realmente el cifrado, sino que está cifrada en el lado del cliente utilizando las claves proporcionadas por los usuarios antes de enviarlas al servidor para su almacenamiento. Ahora ni siquiera es posible descifrarlo, ya que no tengo las claves. ¿Qué podría una autoridad legal que deseaba que los datos me obligaran a hacer? Me interesan principalmente las leyes de EE. UU.

    
pregunta Jack 22.07.2015 - 00:41
fuente

2 respuestas

4

A la luz del hecho de que no tiene las claves privadas (dada la forma en que ha planteado la pregunta), sería imposible que cualquier autoridad lo obligue a descifrar información. que fue encriptado utilizando las claves públicas que lo acompañan. No puedes obtener sangre de una piedra. Pero, no obstante, se sabe que las autoridades de los EE. UU. Obligan a los operadores de sitios a entregar claves SSL privadas, quizás más notablemente en el caso de Lavabit ( enlace ).

Edit: Pensando más en esto - Parece que esta pregunta plantea otra pregunta. Entiendo que todo el cifrado se realiza en el lado del cliente mediante su aplicación, y que las claves privadas utilizadas para el cifrado también se almacenan en el lado del cliente (a la Proton Mail ). Pero, si su aplicación sirviera algún código malicioso del lado del cliente, ¿sería posible entonces que su servidor acceda a las claves privadas del cliente? Si es así, entonces no parece que sea mucho más atroz para una autoridad forzar a un sitio que opera de esta manera a hacer esto, que una autoridad para forzar a un sitio a entregar sus claves SSL privadas. . Creo que esta es una de las razones por las que la tienda de configuración de Proton Mail en Suiza.

    
respondido por el mti2935 22.07.2015 - 01:17
fuente
2

No soy abogado y esto no es un consejo legal. Si realmente va a hacer esto, debe consultar a un abogado. El EFF podría ayudar a aclarar las cosas sin cargo.

La respuesta probablemente será que varía de un lugar a otro, y depende de a qué autoridad legal se refiere. Diferentes partes de los gobiernos tienen diferentes tipos de autoridad (el informe de transparencia de twilio tenía alguna ejemplos).

De lo que estás hablando suena un poco como el caso Lavabit en los EE. UU., que se describe bien y de manera sucinta aquí . El FBI y un juez federal querían claves SSL y le cobraron a Lavabit $ 5k / día por no cumplir hasta que lo hicieron. Si recuerdo correctamente, Lavabit no contaba con los recursos legales adecuados, por lo que su caso ha dejado el precedente legal en un estado un tanto ambiguo. Hay más información sobre la resolución aquí .

Según las declaraciones hechas por Apple acerca de su cifrado iMessage, no se les puede obligar legalmente a realizar una intervención telefónica.

También está algo relacionado con el RIP del Reino Unido, que se usó para procesar a las personas por no entregar las claves de cifrado en 2009. En Estados Unidos, imagino que tal ley probablemente sería inconstitucional bajo la quinta .

Nuevamente, creo que es importante tratar de entender estas leyes y discutirlas con cervezas, pero si alguna vez necesita hacer algo que pueda resultar en un verdadero desacuerdo legal en el tribunal, aprenda de Lavabit y obtenga asesoramiento legal y tal vez incluso un abogado en el retenedor antes implementa su sistema.

    
respondido por el Andrey Fedorov 22.07.2015 - 19:34
fuente

Lea otras preguntas en las etiquetas

El título de spam incluye palabras inusuales de mis correos electrónicos recientes ¿Debo invertir mi tiempo en hacer que mi sitio sea solo para HTTPS?