¿Es ilegal negarse a descifrar datos para la policía en Inglaterra y Gales?

Recientemente descargué PuTTY de la página oficial y noté un mensaje que decía:

ADVERTENCIA LEGAL: El uso de PuTTY, PSCP, PSFTP y Plink es ilegal en países donde el cifrado está prohibido. Creo que es legal usar PuTTY, PSCP, PSFTP y Plink en Inglaterra y Gales y en muchos otros países, pero no soy abogado, por lo que si tiene dudas, debe buscar asesoramiento legal antes de descargarlo.

El mismo sitio web luego apunta a un sitio web llamado cryptolaw.org que explica un poco más, en particular, la Ley de Regulación de Poderes de Investigación de 2000 .

La explicación tiene sentido, sin embargo, algunas personas van más allá al hacer afirmaciones como las siguientes: en el Reino Unido, irá a la cárcel no solo por el cifrado, sino también por el ruido astronómico . El autor de esta afirmación, Rick Falkvinge (fundador del Partido Pirata Sueco), explica además que "lo enviarán a la cárcel por no poder desbloquear algo que la policía cree que está encriptado":

(...) Así que imagina tu reacción cuando la policía confisque toda tu colección de fotos de vacaciones, afirme que tus fotos de vacaciones contienen mensajes encriptados ocultos (lo cual no es así) y te mande a la cárcel por cinco años por no poder proporcionar la clave de descifrado?

Supongo que mi pregunta completa sería "¿Puede la policía encarcelarlo simplemente diciendo que cree que sus datos contienen datos encriptados y usted se niega a revelarlos?"

¿Por qué se rechazó esta pregunta? Cumple con todos los requisitos para ser incluida en esta web
No puedo estar seguro, pero sospecho que fue una reacción al título original que no coincidía con ninguna afirmación.
Nit-pick: En el Reino Unido, la policía no puede encarcelar a nadie, solo los tribunales pueden hacerlo. A lo sumo, la policía puede ponerte en una celda policial.

Respuestas (4)

Su pregunta enlaza con un artículo que cita la ley pertinente . La ley deja bastante claro que, para responder a la pregunta del título: sí, puede ir a la cárcel por negarse a proporcionar una clave de descifrado para datos cifrados .

Esta es una inversión significativa de la presunción de culpabilidad. Citar:

A los efectos de esta sección, se considerará que una persona ha demostrado que no estaba en posesión de una clave de información protegida en un momento determinado si: (a) se aduce suficiente evidencia de ese hecho para plantear una cuestión con respecto a ella ; y (b) no se prueba lo contrario más allá de una duda razonable.

En otras palabras, no es una defensa decir simplemente "No tengo la llave". Se presume que tiene la llave a menos que pueda proporcionar alguna evidencia (no necesariamente prueba) de que no la tiene. (Con disculpas a @Konrad Rudolph, quien originalmente sostuvo este punto de vista y yo no estaba de acuerdo con él)

Con esa única excepción, nada más en la ley parece anular el principio legal básico de que debe demostrarse su culpabilidad en un tribunal de justicia. La policía tiene que demostrar que hay datos encriptados para demostrar que no proporcionó una clave. Si tiene datos astronómicos (no encriptados) en su computadora portátil, entonces la carga de la prueba aún estaría en la policía para demostrar que se trata de datos encriptados. Y de todos modos, el caso aún sería juzgado en un tribunal de justicia. La policía no puede enviarte a la cárcel porque cree que tienes datos encriptados más que porque cree que cometiste un asesinato. Un tribunal puede enviarlo a la cárcel si se puede probarque tiene datos cifrados, se niega a revelar la clave y no puede demostrar que no tiene la clave.

Para responder a la pregunta al final: No, no puede ser encarcelado solo porque la policía cree que tiene datos encriptados.

En otras palabras, la afirmación de Falkvinge es falsa, o más bien una exageración de la verdad.
No voy a escribir la explicación completa como respuesta, porque solo tengo unos minutos, pero el TL; DR; de esto es: si pueden probar que tienes la llave, entonces es probable que te acusen de obstrucción o desacato al tribunal, pero si, por ejemplo, la memorizaste y la 'olvidaste', aunque seguirá un poco , no hay mucho que puedan hacer.
Ah, y otra nota: la pena máxima es de 2 años por no revelar las claves, que bien puede ser menor que el delito que revelaría el descifrado. En términos de ponderación, bien podría valer la pena
@MMM El reclamo es ciertamente paranoico, pero no es tan claro como se muestra en la respuesta. La conjunción utilizada es "y", no "o": debe demostrar que no tiene la llave y la policía no debe poder proporcionar pruebas en contrario. Esto es mucho más vago y susceptible de abuso (¡¿cómo se demuestra que no se está en posesión de la llave?!) que la presunción habitual de inocencia, que ciertamente ha sido subvertida aquí. La respuesta parece ser incorrecta al afirmar lo contrario.
@KonradRudolph No, tienes el sentido invertido. No es culpable si puede mostrar alguna evidencia que indique que no tiene la llave y la policía no puede probar que la tiene. Usted es culpable solo si la policía puede probarlo O si no tiene ninguna prueba de que no lo tiene.
@DJClayworth Pero ese es el valor predeterminado: aquí, tengo que mostrar evidencia antes de ser declarado no culpable. Hasta ese momento se me asume culpable.
@KonradRudolph Pensándolo bien, creo que tiene razón sobre la carga de la prueba. Si no se presenta evidencia de ninguna manera, entonces la policía tiene derecho a suponer que la llave está en su poder. Sin embargo, por lo que puedo decir, eso es lo único que se les permite suponer. No pueden asumir que hay datos encriptados en una computadora portátil sin evidencia.
SSH proporciona una seguridad directa perfecta. Dado que en realidad no tener la clave es una defensa válida, el uso de SSH no es ilegal según este estatuto.
@DJClayworth, como solemos decir en este sitio, es imposible probar algo negativo. Eso indica claramente que es imposible probar de manera concluyente (en el sentido legal) que no tiene los medios para descifrar los datos, al igual que no tiene los medios para probar de manera concluyente que los datos que parecen estar encriptados no lo están. Recuerde que incluso una frase aparentemente aleatoria puede ser un mensaje encriptado, teniendo sentido solo para las personas que saben a qué mensaje real se refiere esa frase en alguna lista o libro de códigos. Este mecanismo fue utilizado ampliamente por los propios británicos para enviar mensajes codificados por radio en la Segunda Guerra Mundial.
Ahora me pregunto si la policía necesita una orden judicial para exigir la clave de cifrado. Parecería ser análogo a dejar que registren su casa.

¿Es ilegal negarse a descifrar datos para la policía en Inglaterra y Gales?

Sí.

Según la Ley de Regulación de Poderes de Investigación de 2000 (RIPA), Parte III , la policía puede obligar a las personas a entregar las claves de los datos cifrados. Esta ley se ha aplicado al menos tres veces, dos veces hasta 2009 según Claire Ward, subsecretaria parlamentaria del Ministerio de Justicia , y una vez más en 2010 según The Register .

¿Puede la policía encarcelarlo simplemente diciendo que cree que sus datos contienen datos encriptados y usted se niega a revelarlos?

Sí. Contrariamente a lo que dice la respuesta de DJClayworth, el pasaje relevante dice (énfasis mío):

Se considerará que una persona ha demostrado que no estaba en posesión de una clave de información protegida en un momento determinado si:

(a) se aduce prueba suficiente de ese hecho para plantear una cuestión con respecto a él; y

(b) no se prueba lo contrario más allá de una duda razonable.

Es decir, a menos que pueda proporcionar suficiente evidencia de lo contrario, que es vaga y está sujeta a interpretación, y no existe evidencia de lo contrario "más allá de una duda razonable", se puede suponer que posee la clave. Ignore la condición (b) (que aparentemente ayuda al acusado), porque la condición (a) también debe cumplirse:

Incluso si la policía no puede probar "más allá de toda duda razonable" que usted tiene una llave, aún debe proporcionar "pruebas suficientes de ese hecho" (= "no está en posesión de una llave"). Esta es una inversión directa de la carga de la prueba y el principio de inocencia hasta que se pruebe su culpabilidad . Es revelador que todo el párrafo esté escrito a partir de la suposición predeterminada de culpabilidad.

Corríjame si me equivoco, pero este pasaje dice que: "(...) se tendrá por demostrado que una persona no estaba en posesión de una llave (...) si (...) lo contrario no se prueba más allá de una duda razonable" , es decir, que la policía tendría que probar más allá de una duda razonable que usted ha tenido la llave, ergo, ¿lo contrario?
@MMM “si no se prueba lo contrario” y el imputado ha aportado “prueba suficiente de tal hecho”. Hay muchas negaciones en la formulación, lo que dificulta el análisis. Pero en lógica formal la afirmación es algo así como (evidencia de ¬clave) ∧ ¬¬(evidencia de ¬clave) ⇒ ¬clave, donde "clave" significa "está en posesión de la clave"... en otras palabras, hay evidencia de " no tiene clave”, y no hay evidencia de lo contrario (= no hay evidencia de no “no tiene clave” = no hay evidencia de una clave).
@KonradRudolph ¿Tiene una referencia que establezca que el testimonio jurado personal de que uno no tiene la llave no es "prueba suficiente de ese hecho"? Si es evidencia suficiente, esa es una barra muy baja para pasar, y no estaría invirtiendo la carga de la prueba como usted afirma.
@KonradRudolph Además, el párrafo A solo requiere evidencia suficiente para "plantear un problema con respecto a él". No requiere nada parecido a la prueba.
@Articuno Eso todavía es vago (¿qué es suficiente? ¡Abierto a interpretación!) Y ese es todo mi punto. En cuanto a si una declaración jurada constituye prueba para este propósito, tendríamos que conseguir un abogado para proporcionar la referencia pertinente. De cualquier manera, la otra respuesta es incorrecta porque combinó "y" con "o".
@DJClayworth (1) Tampoco dice nada sobre la necesidad de hacerlo. Esto es, al menos , abierto al abuso y, en el peor de los casos, una invitación abierta para hacerlo. (2) Simplemente está equivocado, y lo he dicho repetidamente. Esto también se relaciona con (3): Tienes la lógica equivocada, y mi interpretación también es apoyada por otros. La “prueba suficiente” es para demostrar que no posee la llave, no, como alega, para demostrar que posee la llave.
@Konrad La evidencia suficiente es para indicar que hay un problema con la declaración de que tiene la clave. Por lo tanto, no es necesario que demuestre que no tiene una llave, pero debe presentar pruebas de que hay razones para dudar de que tiene la llave antes de poder exigir que la policía realmente demuestre que la tiene. Tenga en cuenta también que, como indico en mi respuesta, la parte citada entra en juego después de que la policía haya dado su demanda, y existen requisitos antes de que se pueda hacer tal demanda.
@KonradRudolph Reflexionando, tienes razón sobre la lógica de las cláusulas. En ausencia de evidencia, la policía PUEDE asumir que usted tiene la clave de un archivo encriptado. Sin embargo, creo que eso es lo único que se les permite asumir. No pueden asumir que hay datos encriptados presentes, o que un archivo dado está encriptado, sin evidencia.

Sí, y ya han encarcelado a personas por negarse a hacerlo.

Mientras que otras respuestas se centran en la interpretación legal, hay una serie de casos del mundo real en los que esto ha ocurrido.

Activista rechazó demandas policiales de contraseña, se enfrenta a la cárcel

"La policía del aeropuerto exigió las contraseñas de un activista. Él se negó. Ahora se enfrenta a prisión en el Reino Unido"

"Los oficiales le pidieron a Rabbani que les entregara sus contraseñas para poder acceder a los dispositivos, y dijeron que si no las proporcionaba, lo arrestarían".

"Tenemos el poder de tomar sus dispositivos y obligarlos a dar sus contraseñas".

"Si es declarado culpable, podría enfrentar tres meses de prisión y una multa. Planea argumentar que la policía actuó ilegalmente porque intentó acceder a información confidencial relacionada con su trabajo".

https://theintercept.com/2017/09/23/police-schedule-7-uk-rabbani-gchq-passwords/

Sospechoso en investigación de asesinato se niega a dar contraseña, encarcelado

"El juez Christopher Parker QC encarceló a Nicholson durante 14 meses".

"El juez Parker hoy no aceptó la excusa 'totalmente inadecuada' de Nicholson de que proporcionar su contraseña expondría información relacionada con el cannabis".

https://www.dailymail.co.uk/news/article-6118387/Murder-suspect-Stephen-Nicholson-jailed-refusing-Facebook-password.html

Su primer ejemplo no indica si el acusado fue realmente sentenciado, pero eso es muy relevante en una respuesta a la pregunta de si "negarse a descifrar datos para la policía" es "ilegal en Inglaterra".
@Schmuddi Aunque tiene razón, no ha sido sentenciado (hay detalles escasos y algunos casos involucran tribunales secretos), el hecho de que los oficiales sintieran que podían amenazarlo efectivamente con enjuiciarlo para exigir su contraseña (a menos que los oficiales estén mintiendo ) sugiere que saben que existe una legislación que les permite hacerlo. Pongo su ejemplo primero ya que es un activista que no está acusado abiertamente de un delito específico como justificación para el acceso, es simplemente una sospecha.

Esta es una ampliación de la respuesta dada por DJClayworth anteriormente, ya que cita una parte menos relevante de la ley.

El pasaje dado por DJClayworth describe una defensa afirmativa contra la solicitud bajo la sección 49 de la ley citada. La Sección 49 se encuentra en http://www.legislation.gov.uk/ukpga/2000/23/section/49 .

La sección 49 establece, entre otras cosas;

(2) Si cualquier persona con el permiso apropiado según el Anexo 2 cree, con motivos razonables:

(a) que una clave de la información protegida está en posesión de cualquier persona,

(b) que la imposición de un requisito de divulgación con respecto a la información protegida es—

(i) necesario por motivos comprendidos en la subsección (3), o

(ii) necesarios con el fin de garantizar el ejercicio efectivo o el desempeño adecuado por parte de cualquier autoridad pública de cualquier poder legal o deber legal,

(c) que la imposición de tal requisito es proporcional a lo que se busca lograr con su imposición, y

(d) que no es razonablemente practicable para la persona con el permiso apropiado obtener posesión de la información protegida en una forma inteligible sin dar un aviso bajo esta sección,

la persona con ese permiso puede, mediante notificación a la persona que cree que tiene la clave, imponer un requisito de divulgación con respecto a la información protegida.

El lenguaje a tener en cuenta es "por motivos razonables". IANAL, sin embargo, entiendo que esto significa que la policía debe tener razones para creer que el ruido en su disco duro es información cifrada relacionada con su "desempeño adecuado"; y que deben poder demostrar esa razón.

En resumen, es insuficiente que la policía diga "Dame la clave de esta información cifrada". No es suficiente que digan "Dame la clave de esta información cifrada porque creo que está relacionada con el caso en el que estoy trabajando". Necesitan poder decir "Dame la clave de esta información cifrada porque creo que está relacionada con el caso en el que estoy trabajando. Y lo creo por...". No sé qué normas rigen las cosas que van en los puntos.

Si son capaces de hacer lo anterior, entran en juego las secciones impugnadas por DJClayworth y Konrad Rudolph, lo que significa que si puedes demostrar que no tienes las llaves; por ejemplo, si puede demostrar que los "datos cifrados" son de hecho una grabación de ruido astronómico de fondo, que conserva como fuente de entrofia, no estaría obligado a entregar la clave porque no está en posesión de tal llave. - Para ello necesitas tener pruebas suficientes para poner en duda que tengas la llave, y que la policía no tenga pruebas de que tienes la llave.

¿Es ilegal negarse a descifrar datos para la policía en Inglaterra y Gales?
RespuestasAquíPolítica de privacidad1y, 0v