[e-privacy] Regno Unito, rivelare la password è un obbligo

[vecna]

Simone_su_winstonsmith wrote:
> Interessante questo articolo su "PI" la domanda che mi pongo leggendo
> cio, è come ci si comporta e come ci si comportera in futuro ?

sta prendendo forma il fatto che la password serva per proteggere se
stessi dai problemi che si possono avere in modo privato (furto,
perdita) ma non in modo pubblico (cioe', se lo stato ti chiede la
password, tu devi dargliela)

ma, avevo letto un articolo
(http://www.phrack.org/issues.html?issue=65&id=6#article) che spiegava
proprio che questo fosse insensato:

"se si fanno assunzioni su una tecnologia aperta... non e' detto che
siano rispettate. essendo aperta, funziona come vuole il programmatore,
non come se lo aspetta la legge".

e' cosi' per le intercettazioni, e' cosi' per le password, imho, e' una
scelta sbagliata dal punto di vista dello stato per garantire la sicurezza.

> Roma - Ci hanno provato ma, vuoi per i clamorosi casi precedenti, vuoi per la 
> deriva della sorveglianza a tutto tondo, due cittadini britannici sono tenuti a rivelare 
> le proprie password alla polizia perché così ha deciso una Corte d'Appello.

vabe', il RIPA diceva proprio questo, no ? ah, forse si, era solo per
casi terroristici (ed era stato usato su due attivisti animalisti)

> 
> Secondo la Corte, segnala EDRI-Gram, la password di cifratura non è in sé una 
> informazione incriminante. Non solo, secondo i magistrati sia la chiave d'accesso 
> che le informazioni presenti sui computer esistono indipendentemente dalle due 
> persone coinvolte nel procedimento, proprio come le chiavi di un cassetto e i 
> contenuti di quest'ultimo. Da qui discende che i due non hanno diritto a trattenere 
> le password, che devono quindi essere comunicate alle autorità inquirenti.

ancora qui, convinzione che password = accesso ai dati.

non ditemi "eh ma, ok, che ci possono essere sistemi di cifratura non
convenzionali, ma finche' il software sta' sul disco, il perito potra'
sempre scoprire, alla fine, qual'e' il segreto che tu devi dirgli e lui
sapra' come usarlo. e' security by obscurity".

anche si, e chi dice che la security by obscurity sia inutilizzata ? si
sa solo che non sia la strada corretta formalmente, e allora ?


> La cosa che incomincio a vedere, è il fatto che si stia stringendo una
> morsa piuttosto forte, sulla crittografia.

la crittografia e' gia' stata vista come equivalnente di un'arma non da
esportare, come aggravante per la copertura di reati, non e' una morsa
che si stringe, e' gia' stretta :P

> Rivolgo la domando sopra, a tutti i legali che invito a dare una linea
> guida da poter seguire, quando un giorno (spero che sia solo una mia
> paura) ci si troverà di fronte all' obbligo di dare la password...

mah, si parlava di regno unito. in italia se "non ti ricordi" una
password e il PM di turno pensa che sia importante, puo' anche tenerti
in custodia cautelare fino a 6 mesi estendibile di altri 6. non oltre.
intanto fai 1 anno :P non si parla di legge che dice "bisogna dare le
password" si parla degli strumenti che ha la magistratura per fare
indagini, e sono gia' sufficenti a fartela dire :P

L'utente deve riflettere sul solito "modello di minaccia":

ti devi proteggere dal collega curioso ? e' sufficente rot13
ti devi proteggere dallo spionaggio ? e' sufficente truecrypt
ti devi proteggere dallo stato/esercito ? ti serve "altro".

"altro" cosa ? boh. qualcosa che non sia solo tecnico. non e' piu'
questione di algoritmo, e' questione di forma, di apparenza, di tutta
una serie di paranoie che uno non si dovrebbe star a fare.

se invece se le fa, o e' semplicemente paranoico (e se la paranoia non
e' costruttiva e' distruttiva) o e' criminale (e la protezione e' parte
del lavoro) o e' perseguitato (e ?) ma il comune cittadino puo' avere
problemi dal modello di minaccia 1 e 2, non 3, in uno stato di diritto.

alche', se pensi che il problema piu' importante non sia il collega, non
sia lo spionaggio ma sia lo stato, e quindi vuoi proteggerti da quel
modello di minaccia, ci sono due modi:

1) si ha fiducia nello stato di diritto e si fanno conferenze,
documenti, proposte di legge, si parla con avvocati e politici, ecc...
ecc...

2) si fanno software, e come dice lessig e julia "in internet l'unica
legge e' il codice".


si, dico il punto 2, perche' sebbene prima abbia scritto "il problma non
e' tecnico" non vuol dire che non si possa risolvere in modo tecnico...
solo che al momento non c'e' software che ti mette al riparo dalla
richiesta coercitiva di password.

la plausible deniability lo fa ? funziona davvero secondo voi ?

> Pero sempre avendo un pensiero parallelo, "Se io non ho nulla da
> nascondere, che problemi ho ?

non so che dire, secondo me quella frase va usata quando si decide per
una protezione proattiva = mi proteggo da tutto, perche' e' di si.

ma ti stai proteggendo da attacchi fatti "alla massa", per cui tutti
dovrebbero essere consci e tutti, sarebbe bello, si proteggerssero. e'
questo che si promuove con la crittografia e l'anonimato e freenet e tor
ecc...

ma se poi ti viene sequestrato il pc perche' finisci in mezzo a
un'indagine, li non sei parte di una massa, sei proprio tu l'indagato, e
allora da' sta password e fatti lasciare.

se invece "dare la password ti causerebbe l'incriminazione" allora cazzi
tuoi che sei incriminabile e ti sei protetto con una sola password,
colpa dei tizi indagati nell'articolo, secondo me. chi gliel'ha fatto
fare di tenersi roba che li incriminasse sul proprio hd ?



per me quindi il problema che lo stato possa arrivare a chiedere la
password non cambierebbe nulla dallo stato attuale, e la protezione che
va portata non e' nei confronti di chi fa indagini, ma di chi attacca la
massa.

e lo stato di diritto, infatti, non deve attaccare la massa.

questo va ricordato nelle conferenze, nelle leggi e nei politici. i
cittadini sono innocenti fino a prova contraria, e non si intercettano
preventivamente, non si registrano, ma questi sono attacchi fatta sulla
massa.

se poi sei in mezzo a un'indagine, e lo stato puo' vedere il tuo conto
in banca, i tuoi tabulati, parlare con chi conosci e metterti microspie
in casa ... beh ... la password e' solo un elemento di piu' di
un'indagine, fatta comunque da gente che *non rivelera' i tuoi dati*, e'
un compromesso che nello stato di diritto viene accettato. quello che
non deve essere accettato e' invece la violazione della privacy senza
un'indagine (e per di piu' fatta da privati, non da pubblici).

qualche avvocato ?

ciao ciao,
vecna

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 249 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20081028/6032ed30/attachment.pgp>