שְׁאֵלָה:
האם תוכניות קוד פתוח המשתמשות בהצפנה אינן חוקיות במסגרת טיוטה זו של "חוק ציות לצווי בית משפט משנת 2016"
PyRulez
2016-04-09 20:09:40 UTC
view on stackexchange narkive permalink

לקונגרס האמריקני יש טיוטה להצעת חוק שתחייב חברות להביא מידע ממכשיר כאשר בית המשפט מבקש זאת. תוצאה של זה היא שסוגים רבים של טכנולוגיות אבטחה הופכות בלתי חוקיות לכל חברה הכפופה לשיפוט בארה"ב.

השאלה שלי היא, האם זה יהפוך תוכנת קוד פתוח המשתמשת בהצפנה לבלתי חוקית?

  • בפרט, האם האם ניתן לתבוע מפתחי קוד פתוח?
  • האם ניתן לתבוע חברה שתורמת לתוכנת קוד פתוח?
  • אם חברה מפיצה תוכנת קוד פתוח, האם ניתן לתבוע אותה (כגון הבעלים של gnupg.org או github.com (שימו לב שההבדל בין השניים))?
  • אם יצרנית טלפונים מכניסה לתוכנת תוכנת הצפנה בקוד פתוח, האם ניתן לתבוע אותן?
  • אם משתמש מתקין תוכנת הצפנה בקוד פתוח בטלפון, האם ניתן לתבוע את יצרנית הטלפונים?
    • מה אם הורידו אותה ממרכז תוכנה שמספק יצרן הטלפונים?

אני מדבר במיוחד על סוגי ההצפנה שיכולים להוביל לתביעה של חברה.

הערה: אני חושב שאולי אני שימוש לא נכון במילה "תביעה". אל תהסס לערוך שאלה זו על מנת שיהיה יותר הגיוני מבחינה משפטית.

למרות שהשאלה מתקבלת כאן היטב, אם אינך מקבל כאן את סוגי הניתוחים המעמיקים שאתה מחפש, תוכל לסמן את השאלה ולבקש ממודעת להעביר אותה אל [קוד פתוח.SE] (http : //opensource.stackexchange.com/) שם קיימת קהילת מומחים ספציפית יותר בנושא ספציפי זה.
@WBT הטריק היה להפחיד את נקודה-פסיק החיה מ [/r/Programming] (https://redd.it/4e1nrd).
@PyRulez נקודה-פסיקית חיה יכולה להיות דבר מפחיד. האם הרבה מתכנתים נקלעים לקולונוטומיות חלקיות? ;-)
האם תוכל לטעון שברגע שתוכנת הופכת קוד פתוח היא הופכת להיות 'של העולם' ולא כפופה לשיפוט אמריקאי? ברור ש- IANAL, אבל דוגמה של עולם אמיתי היא להרשיע מכיוון שמישהו נדקר על ידי מישהו אחר באמצעות סכין שזרקת פעם.
ברצינות? לא. אם החוק אומר "לעשות X זה לא חוקי", פרסום או מסירתו כמעט ואינו משנה את העובדה שעשית את הדבר הבלתי חוקי.
אתה יכול להתווכח על זה. היית מפסיד.
לא טיעון 'של העולם' בהחלט אינו תקף. אף על פי שאותו הערה שיפוט חשוב אם אתה מפתח תוכנה אוסטרלי שכותב קוד באוסטרליה ומארח אותו בשרת אוסטרלי, אז החוק האמריקאי בהחלט חל .. במקרים קיצוניים מסוימים ממשלת ארצות הברית תשתמש בטקטיקות לא מוסריות במיוחד כדי להשיג את האיש שלהם. (ראה את החבר'ה ממפרץ הפיראטים. השופט המנהל את התיק אולי או לא שולם הרבה כסף על ידי עורכי דין אמריקאים כדי להעמיד פנים שהחוק האמריקני חל בשוודיה)
זה יהיה תלוי בנוסח הצעת החוק הסופי, אבל אני מתאר לעצמי שכן. העלאת אלבום תמונות הכולל פורנוגרפיה לילדים אינה הופכת לחוקית אם התמונות הבלתי חוקיות צולמו על ידי צד שלישי.
שְׁלוֹשָׁה תשובות:
WBT
2016-04-09 23:21:57 UTC
view on stackexchange narkive permalink

סעיף 4, הגדרה 4 ישות מקורה, הדגשה שנוספה:

המונח "ישות מקורה" פירושו יצרן מכשירים, יצרן תוכנה, שירות תקשורת אלקטרונית , שירות מחשוב מרחוק, ספק שירותי תקשורת חוטים או אלקטרוניים, ספק שירות מחשוב מרחוק, או כל אדם המספק מוצר או שיטה להקל על תקשורת או עיבוד או אחסון נתונים .

הגדרה זו נראית רחבה ביותר, וניתן למתוח אותה כדי לכסות תשובה ב- Stack Overflow שתשובתה סיפקה שיטה המקלה על עיבוד נתונים, אחסון או תקשורת (המכסה את מרבית שיטות התוכנה). אז בואו נסתכל מה ניתן לדרוש מישות מקורה:

סעיף 3 (א) (1), דרישה:

... ישות מקורה שמקבלת צו בית משפט מממשלה למידע או נתונים יספק מידע או נתונים כאלה לממשלה כזו במתכונת מובנת או ייתן סיוע טכני כנדרש להשגת מידע או נתונים כאלה במתכונת מובנת או להשגת מטרת צו בית המשפט.

סעיף קטן 2 מגביל את ההיקף כך שגורם מכוסה צריך לספק נתונים רק אם הנתונים "נעשו בלתי מובנים על ידי תכונה, מוצר או שירות בבעלות, בשליטה, ביצירה או על ידי הגורם המכוסה או על ידי צד שלישי מטעם הגורם המכוסה. "

עם זאת, בתי משפט אינם יכולים לדרוש באופן יעיל מאנשים לעשות את הבלתי אפשרי; אם מתכנת כתב שיטה בה נעשה שימוש בשירות תקשורת מוצפן שאינו אומר שמתכנת, חסר מפתח ההצפנה, ייאלץ לשבור את מה שלדעתם הוא הצפנה בלתי שבירה.

המפתח כאן הוא בסעיף 3 (ג), הדגשה נוספה:

ספק שירותי מחשוב מרוחק או שירות תקשורת אלקטרונית לציבור המפיץ רישיונות למוצרים, שירותים, יישומים או תוכנות של גוף מקיף או על ידי גורם מקורה, יבטיח כי כל המוצרים, השירותים הללו, יישומים, או תוכנות שהופצו על ידי אדם כזה יוכלו לעמוד בסעיף קטן (א).

אז אם הצעת החוק הזו תהפוך לחוק, זה יהיה ספק השירות אשר אחראי לוודא שהממשלה תוכל לקבל את המידע המובן. הממשלה יכולה לדרוש למשל המחבר של פונקציית ההצפנה, גם אם אותו אדם אינו חלק מספק השירות, כדי לסייע בשבירת ההצפנה, אך האחריות להבטחת נגישות הנתונים מוטלת על נותן השירות.

ההגדרה של ספק שירותים נראה ש נעדר לפחות ממה שאני יכול לראות בהצעת חוק זו, אך נראה כי חברה שמוכרת שירות תקשורת ללקוחות עשויה מאוד להעפיל, ואדם / חברה שפרסמו תשובה ב- SO שנאספה ואז שולבה במשהו שמישהו אחר הפיץ כחלק משירות, סביר מאוד שלא.

"עם זאת, בתי משפט אינם יכולים לדרוש מאנשים לעשות את הבלתי אפשרי" אך האם זה משנה אם התוכנית נדרשת לכתוב דלת אחורית לפני היד? (בעצם). ראה סעיף 3 (ג).
נותן השירות הוא זה שאחראי לוודא שהדלת האחורית נמצאת שם. דרישה חוקית זו אינה מעניקה, כשלעצמה, כי ספק השירות יציית.
איננו יכולים להוכיח שההודעה אינה מוצפנת. הודעה עשויה להכיל היצרות או להיות אטומה למפעילים. זה גם ידרוש מהם לזהות ולחסום נתונים סטנוגרפיים במידת האפשר. נניח שאני אמור לספק שירות המפיץ מספרים אקראיים (כמו שעושה random.org) ועומסי מטען סטנוגרפיים. בית המשפט עשוי להוציא תחילה צו לבדיקת התוכנה שלי כדי לזהות הודעות אטומות המועברות בשירות זה. ואז הם עשויים לחייב אותי על פי האפשרות לשרוט (לחסום) או לחשוף את ההיצרות.
@KarlthePagan הדיון על הממשלה שעליה למסור את נתוני המקרה "לא מובן" על פי הצעת חוק זו הוא [כאן] (http://law.stackexchange.com/questions/8425/would-the-government-have-to-prove-that -המידע-היה-לא-מובן-ל- t).
@KarlthePagan: תיקון בררני, אבל אני חושב שאתה מחפש [steganography] (https://en.wikipedia.org/wiki/Steganography), לא [stenography] (https://en.wikipedia.org/wiki/Shorthand) .
אם ספק השירות אחראי, מה קורה אם מדובר בשירות כללי באמת כמו AWS? זה * אפשרי * שמשתמשים בשירות זה ישימו קריפטו בשרתים שלהם, ללא דלתות אחוריות, נכון? אם משתמשים אלה אינם עצמם נותני שירותים (כלומר הם אנשים המריצים שרתים פרטיים, או משהו כזה), כיצד החוק חל?
@Kevin אני הולך לשאול את זה בהמשך.
@Kevin ו- PyRulez AWS יצטרכו לספק גישה באמצעות הצפנה המסופקת באמצעות AWS. עם * כל * שירותי תקשורת או מחשוב מרוחק, קיימת האפשרות * המשתמש * עשוי להוסיף שכבות נוספות של הצפנה או ערפול. כאשר הם מרובדים, יתכנו מספר ספקי שירות האחראים לוודא שיש דלתות אחוריות לגישה לנתונים דרך כל שכבה. זה נהיה מעניין יותר כשאין ספק שירותים המשויך לשכבה נתונה (אך מכיוון שההגדרה של נותן שירותים מעט מעורפלת כאן, להיכנס לזה רחוק יותר בתחום הספקולציות).
חכי שנייה! ב- * יספק מידע או נתונים כאלה לממשלה כזו במתכונת מובנת ** או ** ייתן סיוע טכני כנדרש להשגת מידע או נתונים כאלה במתכונת מובנת או להשגת מטרת צו בית המשפט. * על פי הצהרה זו איש אינו נאלץ לספק דבר על פי צו בית משפט. אתה תמיד יכול לספק את הסעיף על ידי הפרדה השנייה. אם ההצפנה שלך היא חסינת שוטים ב 100%, הסיוע היחיד שאתה יכול לתת הוא לספק תכנית אילוץ ברוט ...
@Bakuriu אולי אתה זוכר שב- FBI לעומת Apple, ה- FBI ביקש אפילו פחות מתוכנית אילוץ אכזרי: רק עקיפה סביב התכונה שמשמידה נתונים בתגובה למתקפה זוהה של כוח אכזרי (תכונה שבעצמה גורמת להכחשה- התקפות שערים מהשירות קלות יותר). החלק השני של אותו "או" נראה יותר מדאיג מכיוון שזה יותר בדיקה ריקה על מה שהפקודות יכולות לפקוד.
@WBT אבל אם אני לא טועה במקרה של אפל זה היה PIN שעליהם היה לאלף, ולא הסיסמה לפענוח. בכל מקרה, אם אתה מצפין, עליך לוודא שהסיסמה חזקה מספיק כדי להתנגד להתקפת כוח ברוטלי לא מקוון.
@Bakuriu ככל הנראה אפל בחרה לאזן בין מורכבות סיסמאות לבין שמישות בצד סיסמה קצרה וקלה יותר להזנה כדי להקל יחסית על מקרי שימוש רגילים, עם מאפיין של הרס עצמי נתונים כמנגנון הגנה ראשוני כנגד התקפות לא מקוונות. זה מקבל קצת נושא לתשובה זו (מ"בכל מקרה אם אתה מצפין ... "); ניתן למצוא / להתחיל שאלות / תשובות רלוונטיות ב [Information Security.SE] (http://security.stackexchange.com/).
gnasher729
2016-04-10 13:08:14 UTC
view on stackexchange narkive permalink

יש תקווה טובה שטיוטה זו לעולם לא תהפוך לחוק, אם תקרא כותרות כמו בהרשמה: "קרא את הטיוטה המטורפת של אמריקה - מובן - זה טיפשי מהצפוי"

יצירת ההצפנה היא חוקית לחלוטין. יתכן שתתבקש לעזור בשחזור נתונים מוצפנים. אין שום אזכור לעלות; אני בספק אם ניתן היה לבקש ממך לספק את שירותיך בחינם.

ככל הנראה אתה מומחה ליצירת הצפנה. ככל הנראה אתה בכלל לא מומחה לפיצוח הצפנה. סביר להניח שהייתי מצפה ממך לספק סיוע על ידי מתן קוד המקור המלא להצפנה שעליך לעשות בכל מקרה, מכיוון שה- GPL דורש ממך לעשות זאת. (למעט ה- GPL, עומדת בפניך הבחירה בין לספק את המקור או לבצע הפרת זכויות יוצרים, וכאן יש לך אפשרות לבחור בין לספק את המקור לבין להפר את החוק המוצע הזה).

מקווה שאתה צודק! ובכל זאת, חוקים "מטורפים" עברו על ידי הקונגרס לפני ...
יש ** אזכור של העלות וההחזר הזה יינתן.
"ככל הנראה אתה מומחה ליצירת הצפנה. ככל הנראה אתה בכלל לא מומחה לפיצוח הצפנה." אתה לא יכול להיות מומחה ליצירת מערכות הצפנה מבלי לדעת כיצד ניתן לשבור אותן.
כמובן שאתה יכול. למעשה, אם אתה יוצר מערכת הצפנה ואתה יודע כיצד ניתן לשבור אותה, מערכת ההצפנה שלך היא זבל ולעולם לא צריך להשתחרר מהציבור.
Flavien
2016-04-10 04:17:05 UTC
view on stackexchange narkive permalink

ניתן לטעון (וכבר הועלה) כי פיתוח קוד פתוח הוא דיבור, ולכן מוגן על ידי התיקון הראשון.

שנית, מכיוון שניתן להשתמש בהצפנה להגנה אישית, השימוש הוא של תוכנת הצפנה ניתן להטמיע ב"נשק הזרועות ", ולכן מוגן על ידי התיקון השני. כל ניסיון להפוך את ההצפנה לבלתי חוקי כשלעצמו אינו חוקתי.

אז האם אתה גם טוען כי שום חוק אינו יכול להציב מגבלות כלשהן על בעלות נשק (אפילו על ידי טרוריסטים, רוצחים אלימים וכו ') או דיבור (אפילו מכפיש, מסית מהומות וכו')?
(1) אם אתה צועק בקודים הגרעיניים התיקון הראשון לא יגן עליך. אם הצעת חוק זו הופכת לחוק עשוי לחול משהו דומה (ומכאן הסיבה לשאלה זו). (2) הצפנה לא נחשבה לזרועות בעיני החוק זמן מה מכיוון שהדבר מוביל לתופעות לוואי רבות אחרות שלא מתכוונות (כלומר, תנועה בין מדינית או בינלאומית של אלגוריתמי הצפנה הופכת למכירת נשק)
@DavidGrinberg הצפנה חזקה ** אכן ** מסווגת באופן רשמי כחמושת ומכוסה בכמה כללי בקרת נשק, במיוחד לתנועות בינלאומיות.
@DavidGrinberg כמו כן, קודי השיגור הגרעיני היו ** 00000000 ** במשך שנים רבות במהלך המלחמה הקרה. אז שם, אמרתי את זה, אפילו מודגש, ואני לא מצפה שזה יהיה מטריד (בעיקר בגלל שהקוד אינו עדכני).
@WBT אני לא אומר שלא ניתן להציב מגבלות על השימוש באקדחים והצפנה, אני אומר שעבירה מוחלטת על כך תהיה בלתי חוקתית.
@DavidGrinberg קודים גרעיניים צורחים ייפלו בחריג לתיקון הראשון ל"נאום בבעלות אחרים ". קוד המקור אינו נכלל בחריג מבוסס כלשהו.
ההסתברות שבית המשפט העליון ייצור או יכיר בקטגוריה חדשה של דיבור לא מוגן היא מאוד מאוד נמוכה. בשנת 2009, בארצות הברית נ 'סטיבנס, בית המשפט העליון דחה במפורש (8 עד 1) את התיאוריה לפיה ניתן להוציא קטגוריות חדשות של דיבור מהגנת התיקון הראשון ללא היסטוריה ארוכה של הגבלת סוג נאום זה. המבחן אם קטגוריה של דיבור היא מחוץ להגנת 1A היא האם היא נחשבה מבחינה היסטורית כלא מוגנת. אין להגביל את הדיבור בכפוף להגנת התיקון הראשון בטענה שהעלויות החברתיות שלו עולות על ערכו.
הצפנת @WBT לא הייתה כפופה ל- ITAR מאז שנות ה -90. יש לה כמה מגבלות ייצוא על פי תקנות מינהל הייצוא של משרד המסחר (EAR), אך לא על פי תקנות התעבורה לנשק (ITAR) (המחמירות בהרבה) של משרד החוץ. ייצוא דברים של ITAR הוא כאב בצוואר (תרתי משמע, הצוואר שלך יתקשה רק מהישיבה שם וקורא את הניירות והניירת הנדרשת - ואז DDTC ממילא תשלול את הרישיון.) ייצוא דברים של EAR בדרך כלל לא כל כך רע.
@WBT ניתן לסווג קריפטוגרפיה מסוימת, אך בדרך כלל רק אם ה- IP בבעלות ממשית (כלומר נוצר על ידי הממשלה עצמה או במסגרת חוזה ממשלתי.) במקרה זה, זה לא רק בלתי חוקי לייצא אותה, אלא להפיץ אותה. זה לכל מי שאין לו אישור ביטחוני וגם צורך לדעת (בדיוק כמו בכל מידע מסווג אחר).


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...