Εξαναγκασμός εταιρειών και ατόμων να συνεργάζονται στις παρακολουθήσεις

Προηγούμενες αναρτήσεις από το μάθημα Surveillance Law του Coursera:
Νομοθεσία των ΗΠΑ περί παρακολουθήσεων (εβδομάδα 1)
Τηλεφωνικές παρακολουθήσεις εντός ΗΠΑ (εβδομάδα 2)
Υποκλοπές e-mail (εβδομάδα 3α)
Πλοήγηση στον Ιστό, υποκλοπές από κινητά & κυβερνητικό χάκινγκ (εβδομάδα 3β)

Υπάρχουν τρεις τρόποι με τους οποίους οι αστυνομικές αρχές των ΗΠΑ εξαναγκάζουν τις εταιρείες ή και τους ίδιους τους πολίτες να συνεργαστούν στις παρακολουθήσεις των επικοινωνιών τους:

α. Βάσει μιας εντολής για παρακολούθηση, στο πλαίσιο κάποιας έρευνας. Μέρος του νόμου ECPA και του κανονισμού All Writs Act, επιτρέπουν στην κυβέρνηση να επιβάλει μια τέτοια συνεργασία από την πλευρά μιας εταιρείας. Ένα πολύ ηχηρό τέτοιο παράδειγμα ήταν η περίπτωση της εταιρείας Lavabit, που παρείχε υπηρεσίες e-mail στον Έντουαρντ Σνόουντεν και ο τρόπος που πιέστηκε για να συνεργαστεί στις έρευνες εναντίον του, μετά τις αποκαλύψεις για την NSA.

β. Βάσει της επιβολής μιας υποχρέωσης των εταιρειών να σχεδιάζουν τα συστήματά τους με τέτοιο τρόπο ώστε στο μέλλον να είναι εφικτές οι παρακολουθήσεις. Τις υποχρεώνουν δηλαδή να λειτουργούν όντας σε μόνιμη ετοιμότητα να παράσχουν στις αρχές τα δεδομένα των επικοινωνιών των πελατών τους. Η δυνατότητα της αμερικανικής κυβέρνησης να επιβάλεται με αυτόν τον τρόπο πηγάζει από διατάξεις του νόμου CALEA (Communication’s Assistance for Law Enforcement Act).

γ. Υποχρεώνοντας κάποιον να αποκρυπτογραφήσει ο ίδιος τα δεδομένα του. Κάποιοι πολίτες έχουν αναζητήσει προστασία από την υποχρεωτική αποκρυπτογράφηση στην Πέμπτη Τροποποίηση του συντάγματος (η οποία απαγορεύει τον εξαναγκασμό κάποιου σε μια κατάθεση που θα οδηγήσει στην αυτοενοχοποίησή του), και τα περισσότερα δικαστήρια δέχονται ότι αυτή ισχύει σε τέτοιες περιπτώσεις. Τίθενται, όμως, κάποιες προϋποθέσεις, καθώς είναι ένα πολύ φρέσκο πεδίο δοκιμής της νομοθεσίας.

Όπως εξηγεί ο Τζόναθαν Μάγιερ, οι ερμηνείες της νομοθεσίας και οι πρακτικές που εφαρμόζονται σε αυτό το παρακλάδι των παρακολουθήσεων, είναι πολύ οριακές για να πει κανείς ότι μας δίνουν μια εικόνα του τι ισχύει ή τι μπορεί να ισχύσει στο μέλλον, καθώς μέχρι στιγμής ελάχιστες σχετικές υποθέσεις έχουν φτάσει στα αμερικανικά δικαστήρια. Παρόλ’αυτά, οι διαφαινόμενες πιέσεις από διαφορετικά κέντρα συμφερόντων, συχνά αποτυπώνονται ξεκάθαρα και παρουσιάζουν ιδιαίτερο ενδιαφέρον.

Επιβολή συνεργασίας σε τρέχουσες έρευνες

Ας πούμε ότι οι αρχές θέλουν να παρακολουθήσουν έναν ύποπτο και χρειάζονται τη συνεργασία της εταιρείας κινητής τηλεφωνίας του ή του e-mail του για να αποκρυπτογραφήσουν τις επικοινωνίες του ή για να ενεργοποιήσουν κάποια λειτουργία στη συσκευή του, μέσω της οποίας θα τον παρακολουθούν (π.χ. ένα κρυφό λογισμικό). Συνήθως επιβάλουν στην εταιρεία να συνεργαστεί, με δύο πιθανούς τρόπους:
– με μια εντολή υποβοήθησης των αρχών (assistance order) βάσει του νόμου ECPA (Electronic Communications Privacy Act, που καθορίζει τις διαδικασίες παρακολουθήσεων από τις αστυνομικές αρχές) ή
– εξασφαλίζοντας ένα ένταλμα ή μια κλήτευση.

Δύο από τα τρία μέρη του νόμου ECPA, ο Νόμος περί Υποκλοπών (Wiretap Act) και ο Νόμος περί Καταχώρησης Καταγραφών (Pen Register Act) , που καθορίζουν αντιστοίχως τις μελλοντικές παρακολουθήσεις και κάθε μελλοντική συλλογή μεταδεδομένων επικοινωνιών, προβλέπουν σαφώς την εξουσία των αρχών να επιβάλουν στις εταιρείες εξαναγκασμό σε συνεργασία.

Προϋπόθεση είναι να υπάρχει σχετική δικαστική εντολή και όχι απλώς ένα αίτημα του αρμόδιου αστυνομικού που διεξάγει την έρευνα. Από τη στιγμή όμως, που υπάρχει μια τέτοια εντολή, ο νόμος αφήνει πολύ ανοιχτό το περιθώριο ερμηνείας περί του ποιόν μπορεί να αφορά αυτός ο εξαναγκασμός σε συνεργασία: μπορεί να είναι πάροχοι υπηρεσιών επικοινωνίας, ιδιοκτήτες γης, θεματοφύλακες αλλά και «άλλα πρόσωπα».

Αυτό το «άλλα πρόσωπα» εξετάστηκε σε μια υπόθεση που εκδικάστηκε το 2003. Αφορούσε μια παρακολούθηση που είχαν κάνει οι αστυνομικοί αξιοποιώντας ως κοριό το ενσωματωμένο μικρόφωνο που είχε το αυτοκίνητο του παρακολουθούμενου. Ο δικαστήριο έκρινε ότι «άλλα πρόσωπα» μπορεί να είναι οποιοσδήποτε παρέχει κάποιου είδους υπηρεσία στον στόχο (τον παρακολουθούμενο) και ο οποίος κατέχει κομβική θέση ώστε να μπορεί να υποβοηθήσει τις αρχές στην υποκλοπή. Στην συγκεκριμένη υπόθεση, αυτός ήταν ο κατασκευαστής του αυτοκινήτου.

Υπόθεση Lavabit (κυνηγώντας τον Σνόουντεν)

Το τι είδους βοήθεια προς τις αρχές μπορεί να εξαναγκαστεί κανείς να παρέχει είναι επίσης πολύ ευρύ και περιλαμβάνει «κάθε πληροφορία, διευκόλυνση και τεχνική βοήθεια που μπορεί να χρειαστεί». Εδώ είναι που κρίθηκε και η υπόθεση ΗΠΑ εναντίον Lavabit, δηλαδή η δίωξη που άσκησε η αμερικανική κυβέρνηση εναντίον της εταιρείας e-mail που είχε πελάτη τον Έντουαρντ Σνόουντεν.

Η Lavabit ήταν μια εταιρεία που παρείχε υπηρεσίες ασφαλούς ηλεκτρονικής αλληλογραφίας. Και λέω «ήταν» γιατί η συγκεκριμένη περιπέτεια που είχε, την οδήγησε σε αναστολή της λειτουργίας της. Μέχρι τότε λειτουργούσε όπως οι γνωστοί πάροχοι, έχοντας το σύνηθες επίπεδο ασφάλειας της αλληλογραφίας που αποκαλείται “transport security” (βάσει των πρωτοκόλλων Transport Layer Security ή TLS και Secure Sockets Layer ή SSL), το οποίο διασφαλίζει ότι κανείς εκτός από τον χρήστη και την εταιρεία δεν μπορεί να δει το περιεχόμενο της αλληλογραφίας του. Σημειώνεται, βέβαια, ότι η Lavabit, παρόλο που μπορούσε, αρνιόταν να μπει και να δει το περιεχόμενο της αλληλογραφίας Σνόουντεν.

Στο “transport security” περιλαμβάνεται επίσης ένα κλειδί κρυπτογράφησης, το αποκαλούμενο “public key cryptography”, που το κρατάει η εκάστοτε εταιρεία και που η χρήση του πιστοποιεί την ταυτότητά της απέναντι στον πελάτη. Το ίδιο “private key” χρησιμοποιείται για όλους τους χρήστες, συνεπώς αν πέσει στα χέρια κάποιου, αυτός μπορεί να υποκριθεί ότι είναι η Lavabit και να έχει πρόσβαση στις επικοινωνίες όλων των πελατών, χωρίς εκείνοι να καταλάβουν ότι εκτίθενται σε κάποιον τρίτο. Η Lavabit διέθετε κι ένα επιπλέον επίπεδο ασφάλειας: κρυπτογραφούσε κάποια δεδομένα των μηνυμάτων με τέτοιο τρόπο ώστε για την αποκρυπτογράφησή τους να απαιτείται ένα password που το γνώριζε μόνο ο χρήστης [ωτσόσο, αυτή το στοιχείο δεν αποτέλεσε μέρος της δικαστικής διαμάχης].

Την επομένη των αποκαλύψεων του Έντουαρντ Σνόουντεν, τον Ιούνιο του 2013, το υπ. Δικαοσύνης των ΗΠΑ εξέδωσε ένα μίνι-ένταλμα D-order (για να έχει πρόσβαση στα μεταδεδομένα του «μη-περιεχομένου» των επικοινωνιών του Σνόουντεν) σε βάρος της Lavabit. Μετά από δυο εβδομάδες εξέδωσε και εντολή καταγραφής/παγίδευσης («pen/trap», για τη συλλογή μεταδεδομένων μελλοντικών επικοινωνιών του). Η αμερικανική κυβέρνηση έψαχνε από πού συνδεόταν ο Σνόουντεν και με ποιούς επικοινωνούσε. Η εντολή αυτή θα της εξασφάλιζε υποκλοπές σε πραγματικό χρόνο, όλων των επικοινωνιών του.

Κανονικά μια εντολή pen/trap δεν εξαναγκάζει τον πάροχο να παραδώσει στις αρχές το “private key” που τον ταυτοποιεί απέναντι στους πελάτες του. Απλώς λαμβάνει την εντολή, αντιγράφει τα δεδομένα που ζητούνται και τα προωθεί στις αρχές. Στην περίπτωση της Lavabit τα πράγματα περιπλέχθηκαν. Όπως εξηγεί ο Μάγιερ, αυτό κατά μία εκδοχή συνέβη γιατί ο ιδρυτής και διαχειριστής της εταιρείας, Λάνταρ Λέβισον, καθυστερούσε και δεν συνεργάστηκε με μεγάλο ζήλο με το FBI. Kατά μία άλλη εκδοχή, κωλυσιεργούσε και εμφανιζόταν ιδεολογικά αντίθετος στην παρακολούθηση του Σνόουντεν. Έτσι το υπουργείο Δικαιοσύνης ζήτησε το “private key” της Lavabit, πράγμα που θα της επέτρεπε να εγκαταστήσει έναν “man-in-the middle” και να την μετατρέψει ουσιαστικά σε μυστική υπηρεσία e-mail του FBI. Το σύνολο των επικοινωνιών όλων των πελατών της θα γινόταν απόλυτα ορατό στην ομοσπονδιακή αστυνομία των ΗΠΑ, αλλά οι ίδιοι οι πελάτες δεν θα είχαν ιδέα γι΄αυτό.

Το αίτημα για παροχή του “private key” ήταν κάτι ασυνήθιστο, επισημαίνει ο Μάγιερ. Στις περισσότερες παρακολουθήσεις είναι κάτι που αποφεύγεται. Υποτίθεται ότι όταν η κυβέρνηση εγκαθιστά κοριούς και παρακολουθεί τις επικοινωνίες υπόπτων σε πραγματικό χρόνο, περιορίζεται μόνο σε αυτούς και στους λογαρισμούς τους. Όταν ένα “private key” περνάει στα χέρια του FBI ακυρώνεται κάθε διάκριση μεταξύ υπόπτων και μη υπόπτων και η παρακολούθηση γίνεται καθολική και σαρωτική.

Η Lavabit έχασε κατά την εκδίκαση της δίωξής της σε πρώτο βαθμό. Το δικαστήριο θεώρησε ότι η κυβέρνηση μπορεί να απαιτεί το “private key” αν προηγουμένως δεν έχουν αποδώσει οι άλλες εντολές παρακολούθησης. Ο ιδρυτής της Lavabit και η εταιρεία κατηγορήθηκαν για τη μη συμμόρφωσή τους με την αρχική εντολή pen/trap, και δεν δικαιώθηκαν ούτε όταν προσέφυγαν στο εφετείο. ‘Ετσι, η ερμηνεία που έδωσαν τα δυο δικαστήρια στην υπόθεση Lavabit, δεν έφερε κανένα πλήγμα στην εξουσία της κυβέρνησης να εγκαθιστά “man-in-the middle” στα συστήματα επικοινωνιών των στόχων της. Κι αφού ο πήχης για τις απόπειρες απονομιμοποίησης των πρακτικών παρακολούθησης ανέβηκε τόσο ψηλά, η υπόθεση Lavabit δεν αναμένεται να διευκολύνει μελλοντικές προσφυγές εταιρειών που ενδεχομένως να επιχειρήσουν να αποφύγουν έναν εξαναγκασμό σε παροχή βοήθειας προς το FBI.

Ασαφές παραμένει, επίσης, το αν ένα ένταλμα ή μια κλήτευση (δηλαδή κάτι πιο ισχυρό από την εντολή υποβοήθησης) λύνει τα χέρια των αρχών που θέλουν να πάρουν το “private key” μιας εταιρείας. Ο Μάγιερ αναρωτιέται αν, με την υπάρχουσα νομοθεσία, το “private key” μπορεί να θεωρηθεί ότι είναι η «πληροφορία» που νομιμοποιούνται να ζητούν οι αρχές. Απάντηση δεν υπάρχει.

Εξαναγκασμός σε συνεργασία, μαζί με ένταλμα

Ένας παμπάλαιος (από το 1789) νόμος, ο All Writs Act χρησιμοποιείται ευρέως από τα αμερικανικά δικαστήρια για να εκδίδουν εντολές εξαναγκασμού υποβοήθησης των αρχών σε υποθέσεις παρακολούθησης. Βάσει του All Writs Act, τα ομοσπονδιακά δικαστήρια εκδίδουν σχετικές εντολές, οι οποίες τους λύνουν τα χέρια, όταν δεν έχουν άλλο τρόπο να επιβληθούν. Μία από τις χρήσεις του είναι σε συνδυασμό με κάποιο ένταλμα που έχουν στα χέρια τους οι αρχές. Παλαιότερα, όταν δεν υπήρχε ακόμα ο ECPA, ο ίδιος νόμος χρησιμοποιούνταν για να υποχρεωθούν οι τηλεπικοινωνιακοί πάροχοι να δώσουν στοιχεία και δεδομένα των πελατών τους, ή καταγραφές από κάμερες κλειστών κυκλωμάτων.

Τα δικαστήρια επικαλούνται τον All Writs Act όπου δεν υπάρχει άλλη σαφής νομοθετική διάταξη που να ρυθμίζει κάποιο ζήτημα και με την προϋπόθεση ότι ο τρίτος που εξαναγκάζεται να συνεργαστεί με τις αρχές (η εταιρεία) σχετίζεται με την υπόθεση. Τίθεται και ένας περιορισμός, ότι ο εξαναγκασμός αυτός δεν προκαλεί «παράλογη επιβάρυνση» σε αυτόν τον τρίτο. Όλα αυτά, όμως, είναι και πάλι υπό την κρίση του εκάστοτε δικαστή.

Το θέμα είναι ότι ο συγκεκριμένος νόμος μπορεί να φανεί χρήσιμος σε μια κυβερνητική αρχή που θα θελήσει να αναγκάσει μια εταιρεία π.χ. να σπάσει την κρυπτογράφηση στο κινητό ενός πελάτη της ή να επιτρέψει στο FBI να εγκαταστήσει ένα λογισμικό παρακολούθησης σε μια εφαρμογή της ώστε να παρακολουθούνται μυστικά όλοι οι χρήστες της.

Προληπτική συμμόρφωση των εταιρειών

Ο νεότερος νόμος CALEA (Communications Assistance to Law Enforcement Act) επιτρέπει τις ομοσπονδιακές αρχές να απαιτούν προληπτική συμμόρφωση με κανονισμούς που εξασφαλίζουν στο FBI πρόσβαση σε μελλοντικές επικοινωνίες. Ο CALEA εκχωρεί εξουσίες περί παρακολουθήσεων στην Ομοσπονδιακή Επιτροπή Παρακολουθήσεων (Federal Communications Commission ή FCC), μια πανίσχυρη ανεξάρτητη αρχή που θεωρητικά δεν ελέγχεται απευθείας από τον πρόεδρο των ΗΠΑ.

Μέχρι το 1994 δεν υπήρχε καμμία σχετική νομοθετική πρόβλεψη και το FBI εξαρτιόταν απόλυτα από τη εθελοντική διάθεση συνεργασίας κάθε εταιρείας. Αυτή η κατάσταση, σε συνδυασμό με τις αγκυλώσεις που προκάλεσε η μετάβαση από τα αναλογικά στα ψηφιακά συστήματα τηλεπικοινωνιών, καθώς και στην ποικιλία αυτών των συστημάτων, έκανε τις αρχές να πάψουν να επενδύουν οι ίδιες σε εξοπλισμό και να υιοθετήσουν τη σημερινή στρατηγική, που βασίζεται στο να υποχρεώνουν τις εταιρείες να δουλεύουν ουσιαστικά για λογαριασμό τους.

Η σχετική νομοθετική ρύθμιση, ο Νόμος περί Ψηφιακής Τηλεφωνίας (Digital Telephony Act), ήρθε στις αρχές της δεκαετίας του ’90, μετά από πολύ μεγάλη πίεση του FBI προς τη Γερουσία των ΗΠΑ. Μέχρι να ψηφιστεί μετονομάστηκε σε Communications Assistance to Law Enforcement Act (CALEA). Μεταξύ των ελάχιστων διασφαλίσεων υπέρ της ιδιωτικότητας που πέτυχαν κατά τις διαπραγματεύσεις οι λομπίστες των ατομικών ελευθεριών, ήταν η προϋπόθεση του «προτύπου RAS”*, δηλαδή μια εύλογη υποψία, προκειμένου να εκδίδεται D-order (μίνι-ένταλμα για την πρόσβαση στο «μη-περιεχόμενο» των e-mail –αναλυτικά στην εβδομάδα 3α).

Πώς λειτουργεί ο νόμος CALEA

Ο νόμος CALEA προβλέπει μια διαδικασία που ακολουθεί τρία στάδια. Στο πρώτο στάδιο, ο ιδιωτικός τομέας οφείλει να αναλάβει πρωτοβουλία και να προτείνει ένα τεχνολογικό πρότυπο που να διευκολύνει κάποια πτυχή των παρακολουθήσεων (σήμερα υπάρχουν 25 τέτοια πρότυπα). Στο δεύτερο στάδιο, αν δεν έχουν προκύψει ενστάσεις, η FCC εξετάζει το πρότυπο και επιβεβαιώνει αν ικανοποιεί το νόμο. Στο τρίτο στάδιο, ο νόμος εφαρμόζεται και οι εταιρείες είναι πλέον υποχρεωμένες να τον υιοθετήσουν.

Το πρώτο τεχνολογικό πρότυπο που συστάθηκε υπό τις διατάξεις του CALEA ήταν το πρότυπο για τις τηλεφωνικές παρακολουθήσεις (το J-STD-025 ή απλώς J Standard), το οποίο καθορίζει τα πρωτόκολλα σύνδεσης μιας εταιρείας τηλεπικοινωνιών με τις αστυνομικές αρχές. Σήμερα το εφαρμόζουν όλες οι εταιρείες στις ΗΠΑ.

Αν κατά το πρώτο στάδιο σύστασης ενός τεχνολογικού προτύπου προκύψουν ενστάσεις ή αν αποδεχτεί ότι στην πράξη το πρότυπο δεν λειτουργεί, τότε η FCC αναλαμβάνει να επιβάλει δικό της πρότυπο (κάτι που δεν έχει συμβεί ποτέ μέχρι σήμερα). Επίσης, αν κάποια ομάδα πολιτών αντιδρά σε κάποιο πρότυπο, επειδή αυτό υπερβαίνει τις προϋποθέσεις του CALEA ή επειδή δεν τις ικανοποιεί επαρκώς, τότε μπορεί να υποβάλει ένσταση και η υπόθεση κρίνεται σε δικαστήριο. Ωστόσο μια τέτοια προσφυγή δεν αφήνει την ερμηνεία στην κρίση του δικαστή, αλλά στην ερμηνεία που θα κληθεί να δώσει η FCC στο επίμαχο πρότυπο. Και από τη στιγμή που η FCC θα εκδώσει μια τέτοια ερμηνεία, αυτή θα είναι δεσμευτική όσο και ένας νόμος.

Έτσι, λογου χάριν, με ένα πολύ βολικό τρόπο, μπορεί ένα σκληροπυρηνικό λόμπι να φέρει ενστάσεις για κάποιο πρότυπο που θεωρεί ότι προστατεύει υπερβολικά την ιδιωτικότητα και να χαρίσει το μπαλάκι στην FCC που θα επιβάλει την ατζέντα της. Με βάση το συγκεκριμένο εύρος εξουσίας, η FCC έχει καθορίσει διάφορα ζητήματα που δεν διευκρινίζονταν από τον CALEA, παρέχοντας στο FBI όλες τις διευκολύνσεις που ήθελε μέχρι το 2000, επισημαίνει ο Μάγιερ.

Εφαρμόζοντας τα πρότυπα του CALEA, οι εταιρείες όχι μόνο απαλλάσσονται από κάθε ευθύνη για την παροχή πληροφοριών και δεδομένων των πελατών τους, αλλά λαμβάνουν και χρηματικές αποζημιώσεις ως αντίβαρο στην υποχρέωση συμμόρφωσής τους. Μόνο για την αρχική εφαρμογή του CALEA, οι εταιρείες έλαβαν μισό δισ. δολάρια.

Τι ισχύει με τις κρυπτογραφήσεις υπό τον CALEA

Ο CALEA απαλλάσσει από κάθε ευθύνη τους παρόχους τηλεπικοινωνιακών υπηρεσιών και για τις αποκρυπτογραφήσεις που καλούνται να κάνουν οι ίδιες σε βάρος των πελατών τους ή για αυτές που θα κάνουν οι αρχές χάρη στις διευκολύνσεις που θα τους παράσχουν οι ίδιες. Εκτός αν η κρυπτογράφηση έχει γίνει από τις εταιρείες και εφόσον οι ίδιες διατηρούν τις πληροφορίες αποκρυπτογράφησης.

Αυτό σημαίνει ότι με βάση τον CALEA, ένας πάροχος δεν μπορεί να υποχρεωθεί να εγκαταστήσει στο σύστημά του μια κερκόπορτα (backdoor) για παρακολουθήσεις. Αν αυτός ο πάροχος διαθέτει συστήματα ασφαλείας που δεν τους επιτρέπουν να κρυφακούει, τότε δεν μπορεί να του επιβληθεί η απενεργοποίηση αυτών των συστημάτων. Με τεχνικούς όρους, αν υπάρχει κρυπτογράφηση end-to-end και οι χρήστες διατηρούν ο καθένας το δικό του κλειδί, τότε η εταιρεία εξαιρείται από τις συγκεκριμένες διατάξεις του CALEA.

Ποιές υπηρεσίες επικοινωνιών καλύπτονται από το νόμο CALEA

Ο CALEA κάνει διάκριση μεταξύ των τηλεπικοινωνιακών αγωγών (telecommunications carriers) όπως οι εταιρείες αναλογικής τηλεφωνίας, και των υπηρεσιών πληροφόρησης (information services) όπως οι υπηρεσίες ηλεκτρονικής αλληλογραφίας και οι ιστοσελίδες τους. Οι δεύτερες δεν καλύπτονται από το νόμο, και ουσιαστικά προστατεύονται από την πλήρη εκχώρησή τους στις αρχές παρακολούθησης.

Καθώς, όμως, προχωρά η αντικατάσταση της αναλογικής από την ψηφιακή τηλεφωνία, το θέμα είναι ποιές διαδικτυακές υπηρεσίες θα θεωρηθεί ότι αντικαθιστούν τους τηλεπικοινωνιακούς αγωγούς, και συνεπώς καλύπτονται από τον CALEA. Οι δυο βασικές υπηρεσίες που εξετάστηκαν υπό αυτό το πρίσμα ήταν αφενός οι υπηρεσίες voice over IP ή VoIP, δηλαδή οι φωνητικές κλήσεις μέσω ίντερνετ (Skype κλπ), αφετέρου οι υπηρεσίες ευρυζωνικού ίντερνετ (broadband).

Στη μάχη μεταξύ των δύο λόμπι, αυτού των παρακολουθήσεων και εκείνου της προστασίας της ιδιωτικότητας, τα συμφέροντα μοιράστηκαν. Το 2004 η FCC έκρινε ότι οι τεχνολογίες VoIP και broadband θα εξακολουθήσουν να θεωρούνται βασικά υπηρεσίες πληροφόρησης. Ωστόσο διευκρίνισε πως το τηλεπικοινωνικό σκέλος των δύο υπηρεσιών (δηλαδή οι ροές δεδομένων στα δίκτυά τους) καλύπτεται από το νόμο CALEA, αφού στην πράξη έχουν αντικαταστήσει το παραδοσιακό τηλέφωνο.

Εξαναγκασμός ατόμων σε αποκρυπτογράφηση

Όπως προειδοποιούσε πρόσφατα το περιοδικό Slate τους διαδηλωτές του Ferguson, το κλείδωμα ενός κινητού με δακτυλικό αποτύπωμα δεν αποτελεί διασφάλιση ότι οι αρχές δεν θα αποκτήσουν πρόσβαση στο περιεχόμενό του. Γιατί, όπως αποδεικνύεται, η αποκρυπτογράφηση της συσκευής που φυλάσσεται μέσω κάποιου «φυσικού κλειδιού» όπως το δακτυλικό αποτύπωμα, δεν αποτελεί μαρτυρική κατάθεση. Συνεπώς δεν προστατεύεται από το σύνταγμα των ΗΠΑ και μπορεί να απαιτηθεί ανά πάσα στιγμή από έναν αστυνομικό.

Οι χρήστες που θέλουν να προστατεύουν το περιεχόμενο των υπολογιστών, των κινητών, των ταμπλετών ή άλλων συσκευών τους από ενδεχόμενους εισβολείς, (θα έπρεπε να) χρησιμοποιούν κάποιο είδος κρυπτογράφησης. Σε περίπτωση που ένας τέτοιος χρήστης τεθεί στο στόχαστρο των αρχών και η συσκευή βρεθεί στα χέρια τους, εκείνος μπορεί να επικαλεστεί την προστατευτική ισχύ της Πέμπτης Τροποποίησης του συντάγματος (η οποία απαγορεύει τον εξαναγκασμό κάποιου σε μια κατάθεση που θα οδηγήσει στην αυτοενοχοποίησή του). Γι’αυτό οι αρχές δεν ζητούν απευθείας το password της συσκευής. Επιστρέφουν τη συσκευή στον κάτοχό της, αφού έχουν κρατήσει αντίγραφα των κρυπτογραφημένων αρχείων και ζητούν την έκδοση εντολής αποκρυπτογράφησης των συγκεκριμένων αρχείων. Αυτό επιτυγχάνεται συνήθως με κάποια κλήτευση ή με εντολή βάσει του All Writs Act σε συνδυασμό με ένταλμα. Ο κάτοχος της συσκευής αναγκάζεται έτσι να παραδώσει τα αρχεία αποκρυπτογραφημένα.

Αρκετά δικαστήρια διαφωνούν αν η εξαναγκασμένη αποκρυπτογράφηση προστατεύεται από το σύνταγμα, αμφισβητώντας το αν ισοδυναμεί με μαρτυρική κατάθεση. Αποτελεί δεδικασμένο ότι όταν κάποιος καταθέτει μια φυσική απόδειξη η οποία περιλαμβάνει ένα προϊόν δικής του νοητικής διεργασίας, τότε αυτό αποτελεί μαρτυρική κατάθεση. Τα δικαστήρια, όμως, διαφωνούν ότι ισχύει το ίδιο για ένα φυσικό κλειδί που οδηγεί σε ένα προστατευόμενο μέρος (όπως ένας κλειδωμένος υπολογιστής). Έτσι αν κάποιος κληθεί να δώσει τον συνδυασμό ενός χρηματοκιβωτίου, που αποτελεί προϊόν του μυαλού του, ουσιαστικά του ζητείται να καταθέσει. Ενώ αν κληθεί να αφήσει το δακτυλικό του αποτύπωμα στην οθόνη αφής του κινητού του, δεν εξαναγκάζεται σε μαρτυρική κατάθεση, άρα δεν μπορεί να επικαλεστεί την προστασία του συντάγματος ώστε να αρνηθεί να το κάνει.

Υπάρχουν κι άλλες παγίδες γύρω από αυτές τις ερμηνείες, που δεν αφήνουν μεγάλα περιθώρια να αισθάνεται κανείς ασφαλής απάναντι στις αρχές, ακόμη κι αν χρησιμοποιεί τις πιο περίπλοκες κρυπτογραφήσεις. Για παράδειγμα, επισημαίνεται ότι υπάρχει μια προσέγγιση που λέει πως όταν οι αρχές γνωρίζουν ότι υπάρχουν συγκεκριμένα στοιχεία στα κρυπτογραφημένα αρχεία, ότι είναι γνήσια και τι περίπου αποδεικνύουν, τότε η παράδοσή τους από τον χρήστη επίσης δεν αποτελεί μαρτυρική κατάθεση, άρα δεν έχει νόημα να προστατεύονται. Διάφορα δικαστήρια έχουν αποδεχτεί αυτή την ερμηνεία. Σε κάποιες υποθέσεις έχει γίνει αποδεκτό ακόμη και μόνο το γεγονός ότι οι αρχές γνώριζαν ποιος ήταν ο κάτοχος του κινητού.

Κατά συνέπεια, η χρήση κάποιου βιολογικού δεδομένου (αφής, φωνής κ.ο.κ) για το άνοιγμα συσκευών επικοινωνίας και αρχείων που περιλαμβάνονται σε αυτά, δεν πρέπει να θεωρείται ασφαλής μέθοδος. Προτιμότερο είναι να χρησιμοποιεί κανείς πρωτότυπους κωδικούς που απομνημονεύονται. Αλλά και τότε, μπορεί να εξαναγκαστεί να αποκαλύψει τον κωδικό του, αν το δικαστήριο κρίνει ότι οι αρχές ήξεραν ήδη αρκετά για το κρπτογραφημένο περιεχόμενο των επικοινωνιών του.

Παράρτημα:
*Το “πρότυπο RAS” (Reasonable Articulable Suspicion standard) είναι κάτι περισσότερο από το να επικαλεστεί απλώς «σχετικότητα» (relevance) με την υπόθεση, αλλά είναι κάτι λιγότερο από το να τεκμηριώσει «πιθανή αιτία» (probable cause ή PC).

πηγή φωτογραφιών: www.google.com/about/datacenters/gallery

Στην επόμενη ανάρτηση: Παρακολουθήσεις εκτός συνόρων ή «για λόγους εθνικής ασφάλειας» (εβδομάδα 5)

εκτυπώστε ή κατεβάστε σε PDF, το άρθρο