Mýty a pověry: Právo a elektronické soukromí

Už mne v těchto souvislostech napadlo několikrát - není antivirová kontrola, nebo i prosté filtrování příloh, vlastně prohlížením pošty? Co na to právníci?

Právnící na to v zásadě to, že když to probíhá strojově, tak je to ok.

no, tím prohlížením se spíš myslí to, že se jiná osoba seznámí s obsahem té zprávy a ne že to nějaký antivir profiltruje

Ono tam bude podstatné znění: "Nikdo nesmí porušit listovní tajemství ...". Ze slova "Nikdo" je vidět, že zákon myslí na to, že se s obsahem nesmí seznámit nějaká osoba, nikoliv nástroj.

Co když si zakóduju komp, přijdou policajti a já prostě heslo zapomenu?:D Občas se mi to stává, tak to mi nemůžou mít za zlý ne

Dyť je na to jasně odpovězeno. Nemusíš vypovídat, takže nemusíš ani vydat hesla. Poslední bod.

Pozor je to podstatný rozdíl ! Zapomenutí hesla se týká jen jednoho bodu výpovědi; při odepřením výpovědi nemůžete výpovdat v ostatních bodech ve svůj prospěch.

Při vyšetřování SW pirátství výpověď ve svůj prospěch neexistuje DDD Protože obžaloba může být založená pouze na dvou důkazech:
1) Existence dat na HDD
2) Přímé doznání nebo výpověď, která doznání obsahuje obviněného
Jestliže máš data šifrovaná a výpověď odmítneš, tak žaloba nemá žádné důkazy a neexistuje způsob jak dokázat, že někdo má (zvlášť doma) máš nelegální data... U nás ani ve světě není JEDINY případ SW pirátství, které by skončilo odsouzením, pokud u obviněného nebyly nalezeny ty nelegální data!!
Proto v UK přijali zákon o povinosti sdělit šifrovací klíč, v dalších zemích je šifrování nelegální - v ČR nic takového neplatí...
To přiznával i člověk ze SW kriminálky při rozhovoru na Lupa.cz - řekl, že pokud dotyčný heslo neřekne nebo ho k tomu na služebně nepřiměje ani "snaha heslo získat" (pod ním si představuju pořádnej klepec ), tak případ končí a nic proti němu nemají a je neviný

>v dalších zemích je šifrování nelegáln
Tak to sis ted vycucal z prstu. Neco takoveho nemaji ani v Cine a KLDR.

v Anglii a Francii to myslím platí, v rámci boje proti terorismu nebo tak...

http://www.root.cz/clanky/silne-sifrovani-be... ...

jde o to, že ve Francii a Anglii máš za určitých okolností povinnost HDD apod. "odšifrovat". pokud neuposlechneš, tak to může být bráno jako trestný čin nebo tak podobně... fakt se mi to nechce hledat

Povinnost odsifrovat je ale neco naprosto neco jineho nez nelegalnost sifrovani.
Nelegalnost sifrovani je stejny nesmysl jako zakaz zamykani bytu.
Proste jsi placnul kravinu a ted uz to neokecas

nicmene ma pravdu, pokus prosadit zakaz sifrovani dat na jejich nosicich od nas na zapad se probiral a ted nevim jestli se jim to podarilo zaclenit do legislativy nebo ne. Analogii sis vymyslel sice peknou ale to ze zakazat zamykat byt ti nikdo nemuze, neznamena ze se sifrovani dat neda postavit mimo zakon ;) uz jen proto ze mimo zakon se da postavit i to pravo na zamykani si sveho bytu. mimo zakon se da postavit cokoliv.

Myslím, že ve Spojených státech amerických je šifrování také zakázáno. "Výrobci šifrovacích algoritmů" musí umožnit přístup k zašifrovaným diskům v případě, že se bude chtít k nim dostat FBI, CIA.... Jinak řečeno, šifrování musí mít zadní vrátka, do kterých se dá dostat. Případ PGP

PGP má zadní vrátka?
Cituji z jednoho na google nalezeného zdroje (http://www.ics.muni.cz/bulletin/articles/28.html):...
"Pokud bude soukromí mimo zákon, pak pouze ti, kteří stojí mimo zákon, budou mít soukromí... PGP pomáhá lidem vzít soukromí do vlastních rukou. Společenská potřeba zajištění soukromí vzrůstá - a proto jsem PGP napsal."
Takže?
Je někde nějaký solidněkjší článek kde se přímo píše o tom, že něktré šifry mají back door?

Celé znění:
PGP vznikl ve Spojených státech, kde již delší dobu probíhá urputný zápas mezi zastánci práva na soukromí (zakotveného mimo jiné přímo v americké ústavě) a vládními institucemi snažícími se prosadit zákony, které by přinutily výrobce komunikačních zařízení a systémů povinně zabudovávat do svých zabezpečovacích systémů "zadní vrátka", na jejichž základě by vláda (FBI) mohla číst jakékoliv kódované zprávy. Autor PGP k těmto snahám říká: "Pokud bude soukromí mimo zákon, pak pouze ti, kteří stojí mimo zákon, budou mít soukromí... PGP pomáhá lidem vzít soukromí do vlastních rukou. Společenská potřeba zajištění soukromí vzrůstá - a proto jsem PGP napsal."
Jak to nakonec dopadlo nevím, myslím si ale, že je ale celkem jasné, jakým směrem šel zákon (USA PATRIOT Act) po 11 září.

Odkaz nenajdu, ale nějakému souzenému na disku našli JEN přítomnost programu TrueCrypt a aniž by se dostali do obsahu šifrovaného souboru, tak to brali jako přitěžující okolnost. Kde to bylo a jak to tam mají právně ošetřeno to nevím. Jelikož to je z mé strany taková zpráva typu jedna paní povídala a více informací nemám či nemohu/nechci dohledat, tak není třeba reagovat.

To chce opravdu znát celé. Samozřejmě se nebere v úvahu jenom "seznam nalezeného softu", jsou tu například i výpovědi svědků (nepodceňujte naštvané zaměstnance) a podobné důkazní nástroje (analýza odeslaných dokumentů třeba).

Nejlepší je udělat to tak, aby se disk/kus disku tvářil, že na něm nejsou data žádná.
http://www.truecrypt.org/docs/...
Lze se sice domnívat, že na nepoužité části disku je, protože šifrovaná data mají vlastnosti bílého šumu... ale není to nijak prokazatelné.
Vlastnictví nástroje jako TrueCrypt použít jako přitěžující okolnost je dosti zvláštní. Každý zodpovědný člověk pracující s počítačem, který chce chránit data svoje nebo zamestnavatele má šifrovací nástroj. A skoro polovina populace nosí nonstop nástroj použitelný za účelem znásilnění. A co jako. Podle mě by se dalo spíš nevlastnění příslušného nástroje použít k důkazu neviny, u opaku to nedává žádny smysl.

TrueCrypt také používám, ale do jaké míry je ne/prolomitelný těžko říct. Myslím že Amálka by jej snadno rozlouskla

Nevím co je Amálka, ale on to vždycky bude jen boj důvěry co dnešní superPC zvládnou a jaké BD již mají FBI a pod. v šuplíku. U TC je alespoň jistota ta, že známe kód takže tam nemůže být jasně skrytý BT.
Nechce se mi číst docs TC. Chápu, že část disku se tváří jako prázdná, ale co když se pokusím na ten disk zapsat? Předce někde musí být napsáno, že tam psát nesmí... A i kdyby to bylo místo bez oddílu, tak to je zase téměř nepřímý důkaz o tom, že tam něco je. A pokud si pod sebe napíšu: prázdný oddíl, používaný TC na disku, tak ač bez důkazu to je téměř jasné odkud vítr fouká...

Amálka je nejvýkonnější superpočítač v ČR, myslím že již páté generace. Zvládne zpracovat čtyři biliony početních operací za vteřinu.

Jejím výkonem nikdo plýtvat nebude...

No to asi ne, prozatím... Amálku používá Ústav fyziky atmosféry Akademie věd ČR pro náročné výpočty. Bylo by škoda mrhat výpočetní výkon na něco takového, jako je louskání šifer s nelegálním obsahem. Dovedu si ale představit, že s narůstající kriminalitou v oblasti IT jednoho dne požádá i PČR o jednu takovouto "Amálku".

Amálka je český superpočítač. Pokud není v šifrovacím algoritmu někjaka díra (dá se ale použít několik + jejich kombinace), tak se svým směšným výkonem 4 TFlops na útok hrubou sílou určitě nestačí.
Luštění RC5 s 64bit klíčem trvalo na distributed.net 1757 dnů (tisíce participujících počítačů), RC5 s 72bit klíčem už luští od roku 2002 a prohledali 0,6% klíčů. Při současném tempu prohledají 50% klíču za nějakých 130 000 dnů.
AES má klíč dlouhý 256bitů...
>A i kdyby to bylo místo bez oddílu, tak to je zase téměř nepřímý důkaz o tom, že tam něco je.
Opravdu? Tak to musím upozornit kamaráda co děla ve velkoobchodu s VT, že mají plný sklad šifrovaných disků a že je zavřou až zčernají
Proč by měl někdo automaticky využít celý disk? Já to třeba zásadně nedělám. Když někde dochází místo tak příslušný LV zvětším a natáhnu souborový systém.

> Opravdu? Tak to musím upozornit kamaráda co děla ve velkoobchodu s VT, že mají plný sklad šifrovaných disků a že je zavřou až zčernají.
Vyňal jste to z kontextu.
>Proč by měl někdo automaticky využít celý disk? Já to třeba zásadně nedělám. Když někde dochází místo tak příslušný LV zvětším a natáhnu souborový systém.
Myslíte, že jste v tomto průměrný uživatel? Když mi někde dochází místo tak použiju soft na přelití potřebného místa z Px na Py, ale místo využívám celé.

To prostě není důkaz. Podle mě ani nepřímý. Nevyužite místo se prostě může na disku vyskytnout při běžném provozu a tím to hasne.
Ale řešíme to zbytečně protože hidden volume je řešený ve skutečnosti mnohem fikaněji viz http://www.truecrypt.org/docs/...

Já jsem měl na mysli spíš domácnosti a malé podnikatele a živnostníky stylu "Small Office - Home Office". Tam výpověď svědků nezískáte a analýza dokumentů je krásná věc - ale to je velice nepřímý důkaz, není 100% průkazný a sám o sobě by nestačil ani na povolení k prohlídce - natož k odsouzení... K odsouzení jsou opravdu ty data na HDD potřeba! Pokud nejsou - tak nevina
--
Vyjímku tvoří samozřejmě situace, kde dá x zaměstnanců výpověď, že na nelagálním softu pracovali... Ale co se týče malých firmiček nebo firmiček a domáctností, kde je jeden PC a jeden uživatel... Tak tam není absolutně nic - ani výpověď, ani data ((

Ve svuj prospech nevypovidate nikdy, police nic nerozhoduje, ta pouze a jenom shromazduje dukazy.
Pokud odmitnete vypovidat, je na policii, aby si verohodne dukazy sebrali.
Pokud na vas chce policie neco usit, je vrchol idiocie se pokusit obhajit.
Je treba nic nerict a nedad jim moznost zjistit, kde jsem byl, oni pak reknou, ze jsem to spachal tehdy a na tomto miste, ja pak dokazu u SOUDU ze jsem byl nekde jinde, a policie ma tak leda pruser, proto vas radeji ani neobvini, to je ten duvod, proc bohati lide nekonci ve vezeni, pravnik vede boj az u soudu a oni arogantne ukoncuji vyslech.
Mimochodem, policie vas muze drzet po dobu 24hod, ale muze vas drzet i delsi dobu, pokud vas vyslycha a vy spolupracujete, pokud vyslech ukoncite, jsou nahrani, mimochodem, pokud by me nekdo vyslychal dele nez 10-2 hod, vyslech ukoncim preventivne sam.
Dale pred polici nic nerikat, nerozkecavat se, odpovidat strucne, nejlepe ano ne a presne na to, na co se ptaji, jinak si podepisete rozsudek, protoze oni nejsou blbi, daji vam otazky mimo poradi, vy si myslite, ze odpovidate na neco, ale oni je pak prehodi a daji vam je podepsat, pak to prectou u soudu a budete vinni, i kdyby jste vinni nebyli .... proto tolik neznalych zakona konci ve vezeni jako justicni omyli, policista si usmyslel, ze jste dalsi drban, ktery je vinen a podle vasich vypovedi na vas usije, jak se to jako ze stalo, vy jste mu dal svuj pohyb a on na to vymysli pohadku, mimochodem, kdyz vas unavi, jste v pr* a je jich na vas cely tym.

oprava 1-2 hod.

Nastoupí gumoléčba. Na sklerózu má skvělé výsledky.

Ne, ale zapomnětlivým můžou dát čas na vzpomínání ve vazební věznici.

hm, to určitě...

Na 24 hodin to vydržíte, poté vás musí stejně pustit, protože skleróza není trestným činem, a nic jiného než podezření proti vám nebudou mít.

A jak se dívá právo v případě, když jsem členem nějaké organizace (dobrovolní hasiči, skauti, mažoretky, ...) a ta organizace dělá fotky z akcí a zobvrazuje je ve svém fotoalbu na internetu? Samozřejmě nikdo nepodepsal, že s tím souhlasí... Je třeba takového souhlasu?

Podle mého názoru: pokud je tam zobrazuje jako "reportážní fotky z akcí", je vše v pořádku.

V současnosti se to většinou řeší tak, že se souhlas nevyžaduje (pokud to nemáte pro komerční účely) a pouze pokud osoba na fotce explicitně vyjádří nesouhlas, tak fotku musíte stáhnout.

Takže když někoho vyfotím, jak jde po městě, dám to třeba na DIGIarenu, tak je to v pořádku. Pokud se mi po roce a půl ozve daná osoba, že náhodou na fotku narazila a nepřeje si, aby byla vystavována, tak ji musím smazat?

Tak pořád lepší než někoho vyfotit a muset obíhat všechny vyfocené s listinou, aby souhlasili se zveřejněním...

Ano, tak to u fotografií lidí skutečně platí.

Je firma trestána, pokud se na pracovišti deliktního jednání (např. trestný čin porušení autorských práv a práv k databázy) dopustí zaměstnanci z vlastní vůle bez vědomí zaměstnavatele? Je firma trestána v obdobném případě, pokud se nejedná o pracovní poměr (např. ŽL, smlouvy o dílo, pracovní výuka učňů...)? Brání v těchto případech tzv. náhubkový zákon zveřejnění totožnosti firmy?

no, firma nemůže být "trestána" za soukromé aktivity zaměstnance, ať už je dělá na pracovišti nebo doma

trochu jiný je potom ještě případ, kdy zaměstnanec nainstaluje třeba cracklou verzi SW ve firmě na svůj komp...

V části "Co mě čeká, když se někomu nabourám do počítače?" je napsáno:
"Kdo získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch
a) takových informací neoprávněně užije,
b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo
c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení"
A o kousek dál:
"Zaprvé není nutné prokazovat úmysl v okamžiku, kdy k proniknutí do cizího systému (získání přístupu k nosiči informací) dojde."
To si protiřečí a nebo to špatně chápu - aby bylo to nabourání se do počítače trestné, musí mi prokázat nějaký úmysl v článku popsaný...

Není to protimluv. První citace se týká objektivních znaků charakterizující skutkovou podstatu příslušného trestného činu. Definice samotného pojmu "trestný čin", kromě objektivních stránky (naplnění skutkové podstaty) obsahuje i subjektivní momenty (zde úmysl).
První citace mluví jen o projevech "hackerství" ve "vnějším světě", naopak druhá citace jen ukazuje subjektivní část idee trestného činu na konkrétním případě. Citace mluví o dvou různých věcech a proto nemohou být rozporné.

smějí být pořízeny nebo použity jen s jejím svolením.
Jak je definovano "pouzity"? Je to zverejneni (na internetu, do novin a ja nevim co jeste) nebo treba i poslani kamaradovi? Rekneme ze nekoho vyfotim v nejakym nelichotivym stavu pri nejaky osklivy cinnosti, nasledne fotky poslu par kamaradum - je to pouziti? A je vlastnictvi takovejch fotek pouzivani? dik ;)

Pokud nesouhlasíte s mým názorem, popřemýšlejte sami nad sebou. Opravdu si myslíte, že já bych se mohl mýlit?

smějí být pořízeny nebo použity jen s jejím svolením.
Jak je definovano "pouzity"? Je to zverejneni (na internetu, do novin a ja nevim co jeste) nebo treba i poslani kamaradovi? Rekneme ze nekoho vyfotim v nejakym nelichotivym stavu pri nejaky osklivy cinnosti, nasledne fotky poslu par kamaradum - je to pouziti? A je vlastnictvi takovejch fotek pouzivani? dik ;)

Pokud nesouhlasíte s mým názorem, popřemýšlejte sami nad sebou. Opravdu si myslíte, že já bych se mohl mýlit?

A to neni for.
Cirka pred mesicem jsem zlikvidoval naky data a nasledne se je pokusil obnovit ze (zasifrovane) zalohy.
Po cca pul hodine jsem vzdal rucni hadani hesel a pustil na to brutuse: "cas hledani nelze odhadnout".
Takze jsem to omezil na znaky ktery obvykle pouzivam + nejaky zakladni struktury: "cas hledani cca 256 let".
To me jako budou tech 256 let opakovane pokutovat?
Tak to abych zacal setrit, nebo tu zalohu radsi rovnou smaznul


BTW. stran web-mailu - nepouzivam ho, ale zi jsem v predstave, ze je pres sifrovanou komunikaci. Takze zamestnavatel si stejne nemuze cist mou postu (max zjistit, ze jsem e-mailoval ,ale ne co jsem e-mailoval).

jako zaměstnavatel bych řekl, že zaměstnanci by měli především makat, je to přeci obchod jako každý jiný, já dám peníze, oni zase svou práci, když si něco kupuju, taky si to zkontroluju

A kdo Vám v tom brání? Na to, abyste určil, jestli je email soukromý nebo pracovní, by Vám měla postačit adresa a topic. V případě, že máte podezření, tak můžete požadovat po zaměstnanci vysvětlení. Prostým faktem je, že většina zaměstnavatelů prostě soukromé emaily pomíjí, pokud se neodrážejí na pracovním výkonu. (kterej je měřitelnej)

Ono je to tak, že zaměstnavatel dost toleruje až do chvíle, kdy potřebuje někoho vyhodit a hledá záminku.

Ve Francii je opravdu pouzivani silneho sifrovaciho algoritmu trestne, pouzivat lze pouze slabe (prolomitelne) sifrovani. Klice o delce 64 nebo 128 bitu jiz dnes nejsou pro vysetrovatele prekazkou, to je zaroven duvod, proc mate moznost napr. v produktech Microsoft Office pouzivat klice prave o maximalni delce 128 bitu, nikdy vsak vic.
Co se tyce umyslneho oslabovani sifrovacich algoritmu, pak lze mluvit o bezne praxi. Umyslne oslabeni sifrovaciho algoritmu priznali dokonce i tvurci GSM siti. Pokud nekdo neduveruje uzavrenemu softwaru typu PGP, pak mu nic nebrani v pouzivani GPG, kde jsou zdrojove kody volne k dispozici a existence backdooru je takrka vyloucena, to same plati o TrueCrypt.

Tohle je nesmysl jak Brno! 64 bitů je na hranici luštitelnosti brute-force, jinými slovy musím mít k dispozici již zatraceně extrémní výkon, a i tak to bude trvat hodně dlouho, a 128 bitů je v dnešních podmínkách naprosto bez diskuze nerozluštitelná šifra. Bavíme-li se tedy o správně implementované symetrické šifře, např. jako je AES apod. 128 bitů u asymetrické šifry by bylo něco úplně jiného, "není bit jako bit", ale na druhou stranu neznám ani nikoho, kdo by kdy použil 128 bitů pro asymetrický klíč.
Náročnost vzrůstá exponenciálně, a proto, pokud nemá šifra nějakou chybu, případně není-li špatně implementovaná (např. klíč se bude někde povalovat v nezašifrované podobě na disku apod.), stačí si dvojku umocnit na 64, a hned vidíme počet možností. 2^64=18 trilionů. Jinými slovy v průměru trvá 9 trilionů základních testů, než trefím klíč pomocí čistého brute-force. Pokud jedno procesorové jádro stihne vyzkoušet za vteřinu dejme tomu miliardu testů (ve skutečnosti nestihne, protože jeden test zabere nejméně stovky instrukcí, ale budiž), dostávám nějakých 9 miliard jádrovteřin na rozluštění. Den má necelých 90 tisíc vteřin, potřebuji tedy zhruba 100.000 jádrodnů. Čili budu-li mít k dispozici cluster s výkonem 1000 jader běžících 24/7, bude mu to stejně trvat 100 dní, a to jsem ještě výpočetní sílu záměrně nadhodnocoval!
A jak je to u šifry se 128bitovým klíčem? Ech, 2^128=3e38, čili přes 300 sextalionů. Tady již můžeme být naprosto v klídku, protože i kdyby platil Moorův zákon do konce světa, našinec se výkonu potřebného k rozluštění jeho dat hrubou silou zaručeně nedožije. Natož samozřejmě pokud by se využívala jen stávající technologie - byť by se na louskání využily všechny počítače na světě, nestihly by se dopočítat do konce vesmíru...

Nesmysl jako Brno to samozrejme neni. Nemel jsem totiz na mysli hned AES, nybrz starsi typy symetrickych sifer typu RC4, proto jsem zminil aplikace z baliku MS Office, kde jsou tyto algoritmy vyuzivany a naivni predstava uzivatelu, ze 64 nebo 128 bitovy klic je u symetrickych sifer dostacujici, jim dava falesny pocit bezpeci.

listovni tajemstvi ... zajimave rozebira
www.jaknatoo.blogspot.com/search?q=listovn%C3%AD