Strokovni članki

Besedilo

Kriptografija digitalnih podatkov in sodobne dileme v kazenskem pravu

Celotno besedilo

1. Uvod

Živimo v digitalni družbi, v kateri so informacije ključnega pomena. Skupaj z digitalnimi podatki je prišla tudi potreba po njihovi zaupnosti. Tako je nastalo digitalno šifriranje (enkripcija) oziroma kriptografija,(1) ustvarjena zato, da se posamezniku zagotovi zaščita digitalnih podatkov. Z uporabo kriptografije (»umetnost tajnega pisanja«) so podatki postali nedostopni in nedosegljivi nepooblaščenim osebam. S tega vidika je šifriranje podatkov v sodobni družbi potrebno in dobrodošlo. Obstaja pa tudi njegova temna stran, ki organom pregona preprečuje dostop do podatkov v kazenskem postopku kljub sodni odredbi, ki jim to dovoljuje. To je problematično zlasti pri ukvarjanju s terorizmom, organiziranim kriminalom, vohunstvom in otroško pornografijo, pri čemer storilci pogosto kodirajo ključne digitalne sledi in dokaze s programsko opremo za šifriranje. To se je nazorno pokazalo leta 1995 pri terorističnem kultu skupine Aum Supreme Truth. Njeni predstavniki so nastavili vreče živčnega plina (sarin) na tokijski podzemni železnici ter ubili 12 in ranili 6.000 ljudi.(2) Kult je hranil zapise svoje dejavnosti na računalniškem sistemu, zakodiranem s standardom šifriranja RSA. Preiskovalcem je uspelo dešifrirati datoteke, ki so bile shranjene na sistemu in so vsebovale dokaze (vključno z načrti in namerami za namestitev orožja za množično uničevanje na Japonskem in v ZDA), ki so bili ključnega pomena za obsodbo številnih članov teroristične skupine.(3) Z veliko gotovostjo pa lahko trdimo, da če bi Aum Supreme Truth uporabljal današnje kriptografske programe (npr. program TrueCrypt), bi se izidi preiskave drastično razlikovali.

Cilj tega prispevka je zato predstaviti nekatere probleme kazenskega prava glede digitalnega šifriranja podatkov, pa tudi rešitve in morebitne predloge za prihodnost.

2. Kriptografija digitalnih podatkov

Človeštvo pozna kriptografijo že vse od časa razvoja komunikacije, ko je nastala potreba po njeni zaščiti. Ena prvih kriptografskih tehnik naj bi bila Cezarjeva koda – po Juliju Cezarju, ki je svoja sporočila šifriral tako, da je vsako črko v njih nadomestil s tretjo črko za to črko v abecedi (A je postal D, B je postal E ...). Z leti se je kriptografija razvijala in napredovala. Danes, v dobi informacijske tehnologije, je njena najnaprednejša tehnika digitalno šifriranje podatkov.

Termin »šifriranje« je opredeljen kot pretvorba podatkov v kodo, da se prepreči nepooblaščen dostop.(4) Kriptografija pa je pretvorba podatkov v šifrirano obliko z uporabo šifrirnega ključa. S šifriranjem zaščitimo sporočilo ali podatek, da postane nedostopen nepooblaščeni osebi, ki ne pozna šifrirnega ključa.

Šifriranje digitalnih podatkov (Data Encryption Standard – DES) je razvilo podjetje IBM leta 1974, leta 1977 pa je bil standard DES (preimenovan v FIPS – Federal Information Processing Standard) v ZDA prevzet kot državni standard za šifriranje digitalnih podatkov. IBM je svoj standard razvil na zahtevo bančnega sektorja, ki je potreboval zaščito za preprečevanje nepooblaščenih transakcij na bankomatih.(5)

Standard šifriranja DES temelji na šifrirnem ključu (najpogosteje 128-bitni in 256-bitni) in algoritmu, ki popolnoma preoblikuje strukturo digitalnih podatkov, tako da postanejo neberljivi vsakomur, ki ne pozna šifrirnega ključa ali gesla.

Medtem ko se je standard DES razvil na državni in podjetniški ravni, so akademske institucije razvijale svoje šifrirne algoritme. V letu 1978 so Ron Rivest, Adi Shamir in Leonard Adleman s tehnološke univerze v Massachusetts postavili kriptografski standard RSA.(6) Ta temelji na sistemu javnega in zasebnega ključa. Oba ključa sta povezana v posebnem matematičnem razmerju, ki omogoča varen prenos digitalnih podatkov. Kriptografski program vsebuje javni ključ, zasebnega pa ustvari posameznik. Standard se je zelo hitro priljubil v zasebnem sektorju.

Velik preboj v digitalni kriptografiji je bil dosežen leta 1991, ko je Phil Zimmerman razvil program z imenom Pretty Good Privacy (znan kot PGP), ki je bil združen s šifrirnim algoritmom RSA in zmožen popolnoma preprečiti prisluškovanje elektronskim komunikacijam posameznikov. Elektronski nadzor zaščitenih komunikacij je tako postal skoraj nemogoč. Zimmerman je menil, da se demokracija in pravica do zasebnosti prepletata, zato je program brezplačno ponudil svetovni javnosti.(7)

A razvoj tehnologije se tu še ni ustavil. Novi standard šifriranja, imenovan Advanced Encryption Standard (AES), sta leta 1998 zasnovala Joan Daemen in Vincent Rijmen 1998. Temelji na novem algoritmu in 256-bitnem šifrirnem ključu ter je najsodobnejša oblika digitalnega šifriranja podatkov. Standard AES je tako napreden, da ga je ameriška Nacionalna varnostna agencija (NSA) junija 2003 podrobno preučila in zapisala, da zadošča za varovanje najbolj tajnih podatkov.(8) Standard AES je hitro postal izredno razširjen in je danes pravzaprav v vseh naprednih kriptografskih programih za digitalno šifriranje podatkov (npr. TrueCrypt, IronKey, Guardian Edge ...). Večina teh programov je brezplačnih, izredno enostavnih za uporabo, zagotavljajo pa nezlomljivo zaščito, ki jo je nemogoče obiti.

Z digitalnim šifriranjem podatkov samim po sebi ni nič narobe, nasprotno, organizacijam in posameznikom omogoča, da zaščitijo svoje zbirke podatkov in zaupne informacije. Kriptografija digitalnih podatkov je pomemben del posameznikove pravice do zasebnosti.(9) Šifrirani podatki so zaščiteni pred nepooblaščenimi osebami in tudi pred vdori države v zasebnost. Kriptografija ščiti posameznika pred računalniškim kriminalom in goljufijami ter podjetja pred industrijskim vohunjenjem.

Mnogih digitalnih storitev sodobne dobe (npr. bančne transakcije, domače bančništvo, uporaba kreditne kartice za spletno nakupovanje, spletne zbirke osebnih podatkov ...) si ni mogoče zamisliti brez uporabe kriptografije. Digitalno šifriranje je tako potrebna in koristna pridobitev današnje informacijske dobe.

Po drugi strani pa se lahko šifriranje digitalnih podatkov izkaže za zelo problematično pri preiskovanju resnih kaznivih dejanj, pri katerih storilec prekrije svoje sledi (npr. elektronsko komunikacijo) ali zavaruje digitalne dokaze z digitalno metodo šifriranja. Tako zaščiteni podatki postanejo nedostopni državnemu tožilcu, računalniškim forenzikom in kriminalistom. Država, katere učinkovitost izhaja iz njenega monopola nad sredstvi fizične prisile, s katerimi prisili posameznike k določenemu ravnanju,(10)se znajde v neugodnem položaju, ko kljub zakonskim pogojem in utemeljeno sodno odredbo ne more prisluškovati elektronski komunikaciji ali dostopati do digitalnih podatkov, zaščitenih v računalniškem sistemu osumljenca kaznivega dejanja.

To se je pokazalo pri brazilskem bankirju Danielu Dantasu, osumljenem bančnih goljufij. Ameriška agencija FBI, ki je sodelovala z brazilsko policijo, namreč ni bila sposobna predreti zaščite programa TrueCrypt na nosilcih podatkov, ki so jih Dantasu zasegli pri hišni preiskavi – neuspešno se je trudila celih dvanajst mesecev, nakar so preiskovalci obupali.(11) Informacijski sistemi, zaščiteni z naprednimi kriptografskimi, bodo torej organom pregona nedostopni kljub sodni odredbi, ki jim ta pregled dovoljuje. Táko je tudi prevladujoče mnenje forenzične in pravne stroke.(12) Države so to težavo hitro zaznale in začele sprejemati različne (predvsem pravne) rešitve, kako obiti tehnično nezlomljive kriptografske metode.

3. Kazenskopravni pristop

Kazenskopravna teorija in praksa se s prihodom informacijske tehnologije srečujeta s to težavo: organi pregona utemeljeno sumijo, da so na informacijskem sistemu obdolženca shranjeni morebitni dokazi kaznivega dejanja. Na podlagi tega suma dobijo odredbo sodišča, ki jim dovoljujejo podrobno in popolno preiskavo informacijske naprave. Vendar pa se pokaže, da je obdolženec zaščitil podatke na napravi s kriptografskim programom, ki organom pregona kljub pomoči računalniških forenzikov onemogoča dostop do podatkov kot mogočega dokaza za kaznivo dejanje. Tako nastane temeljna »kriptografska dilema«, kako pridobiti te podatke. Ali lahko zahtevamo od obdolženca, da jih predloži ali da organom pregona sporoči geslo, s katerim jih je zakodiral? V tem poglavju bomo predstavili nekatere pravne rešitve, ki so jih nekatere države uvedle v svojo zakonodajo.

a) Kriptoanaliza

Gaines opredeli kriptoanalizo kot študijo šifer in njihovih rešitev.(13) Kriptoanaliza je umetnost dešifriranja kodiranih sporočil in kriptografskih sistemov.(14) To pravzaprav ni pravna, temveč povsem tehnična rešitev. Cilj kriptoanalize je z različnimi računalniško-matematičnimi metodami odkriti kodirno geslo in tako odkleniti kriptografsko zaščitene podatke. Kriptoanaliza pri digitalno zaščitenih podatkih z enkripcijskim algoritmom AES je danes v praksi neuspešna. Organi pregona in forenziki so uspešni le takrat, ko naletijo na nepazljivost osumljenca.(15)

Z izvedbo temeljite preiskave lahko preiskovalci najdejo geslo ali pa jim ga sporoči katera izmed oseb, ki ga pozna (na sodelovanje osumljenca se pogosto ni mogoče zanašati). Čeprav obstajajo nekatere metode,(16) kako pridobiti geslo, se stroka praviloma strinja, da je kriptoanaliza pri zakodiranih digitalnih podatkih načelno neuspešna.(17)

b) Prepoved kriptografije

Država prepoveduje ravnanje in dejavnosti, ki ogrožajo njeno varnost in varnost prebivalcev ter onemogočajo kazenski pregon. Ker je učinkovit kazenski pregon kaznivih dejanj prav tako temeljni element pravne države (brez sankcij, ki jih pregon zagotavlja, namreč ni spoštovanja prava), so njene prepovedi upravičene in legitimne.

Vendar pa kriptografija ni bila nikoli ustvarjena za potrebe kriminalcev in oteževanje dela organom pregona, temveč kot sredstvo za zaščito zasebnosti posameznikov. Njena prepoved v celoti le zato, ker je ena od njenih posledic oteževanje kazenskega pregona, se zdi sporna. S tega vidika je torej treba pretehtati, ali slabi učinki kriptografije v družbi prevladajo nad dobrimi. Kot zapiše Koops: »Prepoved je mogoča le, če so negativne posledice spornega vprašanja bistveno večje od pozitivnih.«(18)

Digitalna kriptografija danes omogoča varno spletno bančništvo, nakupovanje s kreditnimi karticami, varovanje zbirk osebnih podatkov, šifriranje poslovnih skrivnosti, načrtov, patentov in zasebnih informacij. Ugodni učinki kriptografije v današnji družbi bistveno prevladajo nad neugodnimi. Zakonska prepoved kriptografije v celoti se zdi zato nesprejemljiva.

Če kriptografijo prepovemo, bodo občutljive informacije posameznikov in podjetij izpostavljene zlorabam spletnih kriminalcev. Če jo dovolimo vladi in organizacijam, ne pa posameznikom, ustvarimo nepravičen digitalni svet, v katerem posameznik ostane brez zaščite svojih informacij. Toda namen pravne države ne sme biti ustvarjanje takih razlikovanj, temveč varovanje posameznika in njegovih osebnih pravic. Poudariti moramo, da je nemogoče učinkovito prepovedati kriptografijo v digitalnem svetu. Kriminalci bodo vedno našli način za pridobitev šifrirnih programom (npr. črni trg z nelegalnimi programi). Prepoved digitalne kriptografije bi bila učinkovita le, če bi bila izdana na svetovni ravni – torej v vseh državah po svetu, kar je malo verjetno. Zato te prepovedi ne vidim kot ustrezne rešitve.

c) Uporaba šibke kriptografije

S to metodo zakonsko prisilimo razvijalce kriptografskih programov, da v svojih programih omogočijo le kratka enostavna gesla (npr. do pet znakov) in uporabljajo šibke šifrirne algoritme. Prednost te metode je, da lahko organi pregona pridobijo digitalne dokaze, ki so zaščiteni s šifriranjem. Temeljna slabost pa, da tako šifriranje daje zelo slabo zaščito. Izkušeni heker jo bo zlahka obšel in prišel do zaščitenih podatkov. To nas pripelje do vprašanja, ali taka vrsta kriptografije daje uporabnikom učinkovito digitalno zaščito. Raziskovalci opozarjajo, da tudi šibka kriptografija preprečuje pridobitev podatkov ob nujnem ukrepanju, kot je npr. ugrabitev.(19) Sem lahko prištejemo še praktične težave, na katere smo opozorili v točki b. Uzakonitev obvezne šibke kriptografije se zato danes ne šteje kot dobra rešitev kriptografske dileme.

d) Kriptografija z zakonsko avtorizacijo gesel (angl. key escrow)

Osnovna zamisel te metode je, da posameznikom in organizacijam omogočimo kriptografsko programsko opremo, vendar pa mora ta vsebovati nekakšna stranska vrata, ki omogočijo preiskovalcem dostop do podatkov ob resnem kaznivem dejanju. Veliko prizadevanj za tako rešitev je bilo leta 1991 v ZDA, ko je senat že sprejel Senate Bill 266, ki je vseboval tudi nezavezujočo resolucijo o uvedbi stranskih vrat (angl. trap door) v kriptografsko opremo na ozemlju ZDA.(20) Vendar na tej podlagi ni bil sprejet nikakršen pravno obvezujoč akt, tako da so bila ta prizadevanja zaman.

Leta 1993 so ZDA predstavile svoj predlog sistema hrambe ključev – key escrow. Ključni sistem bi temeljil na zaupanju tretje osebe (ključni fiduciar), ki bi hranila vsa šifrirna gesla, s katerimi bi posamezniki in podjetja šifrirali svoje digitalne podatke. Ob kaznivem dejanju bi preiskovalci (na podlagi sodne odredbe)(21) pridobili potrebni ključ od ključnega fiduciarja (angl. key escrow agent) in tako dostop do zakodiranih podatkov. Rešitev so odobravali predvsem tožilci in policisti, zagovorniki zasebnosti pa so jo razglasili za orwellovsko. Ključno vprašanje je bilo, kdo bo hranil gesla.(22) Specializirana vladna agencija, kakršna je NSA (National Security Agency)? To bi dalo državi velikanske možnosti za zlorabo. Ključe bi lahko hranili tudi razvijalci šifrirnih programov. Vendar pa se slednji za to niso zanimali. Taka miselnost prihaja od zagovornikov digitalne zasebnosti, ki vidijo kriptografijo kot sredstvo za doseganje resnične zasebnosti na internetu. Avtorji enega najbolj poznanih kriptografskih programov TrueCrypt so zapisali: »Nikoli nismo uvedli nikakršnih stranskih vrat v naš program (in jih tudi nikoli ne bomo), saj bi to nasprotovalo samemu namenu našega programa.«(23)

A kmalu se je izkazalo, da ima metoda zakonite avtorizacije gesel številne pomanjkljivosti. Stranska vrata bi bila omogočena šele v prihodnjih različicah kriptografskih programov, medtem ko programi, ki so že bili na trgu, te funkcije ne bi imeli – storilci kaznivih dejanj bi tako posegli po starejših različicah kriptografskih programov in se v celoti izognili sistemu key escrow.

Naslednja težava bi bila mednarodna razsežnost interneta in izmenjave podatkov. Če Združene države sprejmejo model z zakonito avtorizacijo gesel, Kitajska pa ne, si lahko storilec preprosto prenese programe s kitajskih spletnih strani. Združene države bi morale tako z medmrežja blokirati vse šifrirne programe, ki niso v skladu z ameriškimi standardi. Blokiranje programov, ki potujejo po zasebnih kanalih (npr. e-pošta, p2p-programi), pa je nemogoče, tako da bi ključni sistem nazadnje spet prizadel le poštene državljane. Naslednji problem je bil strah pred tem, da bi kriminalci napadli ključnega fiduciarja in uničili ali zlorabili ključe, ki bi jih imel shranjene.

In končno, tudi ključni sistem je mogoče obiti. Storilec lahko uporablja posebne vrste šifriranja v šifrirnem programu. Organi pregona bi tako dobili le geslo do primarnega zakodiranega sporočila, to sporočilo pa bi bilo ponovno zakodirano s storilcu lastno metodo ali drugim kriptografskim programom. In organi pregona spet ne bi mogli do podatkov.(24)

To pomeni, da bi bila kriptografija z zakonsko avtorizacijo gesel pretežno uporabna in učinkovita le zoper poštene državljane, ki spoštujejo zakone in kriptografijo uporabljajo le kot zaščito zoper neupravičene posege v svojo zasebnost. Za storilce kaznivih dejanj, za katere je bil sistem key escrow prvotno predviden, pa bila rešitev neučinkovita.

e) Uvedba kriptografskih standardov in prepoved uporabe neodobrenih šifrirnih programov

Država lahko poskuša s pravom vsiliti nekatere kriptografske standarde računalniškemu svetu. Če šifrirni program ne izpolnjuje zahtevanih standardov, se ne more licencirati, prodajati in ponujati na spletu uporabnikom. Seveda bodo odobritev države prejeli le tisti programi, ki bodo tej omogočali, da obide šifrirna gesla in pridobi dostop do zaščitenih podatkov.(25) V praksi pa bodo, s strani države omejene, programe uporabljali le navadni državljani, medtem ko bodo spletni kriminalci našli poti, kako obiti omejenost šifrirnih programov.

Vendar pa gre država lahko še dlje od prepovedi licenciranja in razmnoževanja neodobrenih šifrirnih programov, namreč da njihovo uporabo razglasi kot posebno kaznivo dejanje. V praksi bi bilo to videti takole: storilec A uporabi nezakonite šifrirne programe, da pred organi pregona skrije deset gigabajtov otroške pornografije na digitalni nosilec podatkov. Policija na podlagi utemeljenih razlogov za sum, da je bilo storjeno kaznivo dejanje, in verjetnosti, da elektronska naprava vsebuje elektronske podatke, pridobi sodno odredbo za preiskavo te naprave (219. a člen ZKP po naši kazenski zakonodaji). Vendar pa organi pregona (zaradi naprednega šifrirnega algoritma, ki ga vsebuje kriptografski program) ne morejo pridobiti dostopa do podatkov z otroško pornografijo, ki bi bili v tem primeru ključni dokaz za kaznivo dejanje. Čeprav organi pregona nimajo dokazov, da bi storilca obtožili posesti otroške pornografije, lahko A-ja obtožijo uporabe nezakonitega šifrirnega programa (seveda le, če je tako ravnanje posebej opredeljeno kot kaznivo v kazenski zakonodaji).

To je sicer izredno kazensko-represivna oblika reševanja kriptografske dileme, po kateri evropske države ne posegajo, enako velja za ZDA, Kanado, Avstralijo in druge demokratične države, v katerih se izogibajo pretiranemu nadzoru nad računalniškimi kriptografskimi programi. Se pa taka rešitev pojavlja na Kitajskem, v državah Bližnjega vzhoda in Rusiji. Obširno raziskavo s tega področja je napravil Bert-Jaap Koops in svoje ugotovitve objavil na spletni strani. Ugotavlja, da je na Kitajskem uporaba kriptografije strogo omejena. Kakršno koli njeno uporabo mora odobriti Državna komisija za nadzor kriptografije (angl. State Encryption Management Commission). Prav tako je prepovedana kakršna koli uporaba kriptografskih programov iz tujine, ki nimajo odobritve te komisije.(26)

Tudi v Rusiji so razvoj, proizvodnja, prodaja in uporaba kriptografije brez dovoljenja prepovedani. Dovoljenja izdaja Zvezna varnostna služba FSB, v katero je vključen tudi nekdanji FAPSI (Zvezni urad za informiranje vlade oziroma nekdanja služba KGB). Postopek izdaje dovoljenj poteka na podlagi internih predpisov.(27)

Sankcioniranje uporabe nedovoljene kriptografske opreme kot posebno kaznivo dejanje sproža številne polemike. Inkriminacija posebnega kaznivega dejanja uporabe nedovoljene kriptografske opreme leži v nezmožnosti organov pregona, da bi pridobili zaščitene podatke, in s tem nezmožnosti dokazati kaznivo dejanje (v zgoraj omenjenem primeru – posest otroške pornografije). Takoj se moramo vprašati, kaj, če primarnega kaznivega dejanja sploh ni bilo. Naš »storilec« je zašifriral le svoje otroške slike. Ga je res smiselno kazensko preganjati le zato, ker je uporabil kriptografski program, ki ga država ni odobrila?

Če se odločimo za pregon, kakšna bo pravična in sorazmerna kazen za dejanje? Bo ta izražala in se navezovala na kazen za morebitno primarno kaznivo dejanje,(28) za katero pravzaprav ne vemo, ali je bilo storjeno ali ne? Ali pa bomo izbrali neko blažjo kazen po zgledu kaznivega dejanja »izdelovanja in pridobivanja orožja in pripomočkov, namenjenih za kaznivo dejanje« po tretjem odstavku 306. člena Kazenskega zakonika (torej do enega leta zaporne kazni)? Sankcije v kazenskem pravu morajo vedno upoštevati načelo sorazmernosti, ki pa je v tem primeru povsem zamegljeno.

Upoštevati je treba, da se velika večina demokratičnih držav po svetu ni odločila za tako represivno rešitev. Ljudje morajo imeti pravico do zasebnosti in do varnosti svojih digitalnih podatkov. Kazensko preganjanje oseb izključno zaradi uporabe nedovoljenega šifrirnega programa, pa čeprav iz povsem upravičenih razlogov (npr. za zaščitenje doktorske disertacijo), ni rešitev, ki bi jo sprejela pravno-razvita demokratična država.

f) Kaznivo dejanje zavrnitve dešifriranja podatkov

Obstaja tudi možnost, da se sankcionira uporaba kriptografije le, če ta ovira preiskovanje kaznivega dejanja. To je milejša oblika rešitve kriminalizacije vsake neodobrene uporabe šifrirnih programov. Inkriminira se torej le uporaba šifriranja, ki organom pregona preprečuje zbiranje dokazov in odkrivanje resnice. Če A uporablja program TrueCrypt in zato organi pregona ne morejo priti do podatkov na njegovem računalniku, je preiskava ovirana in bo to posebno kaznivo dejanje. Oseba A se temu seveda lahko izogne tako, da sodeluje z organi pregona in jim sporoči šifrirno geslo ali jim omogoči dostop do podatkov, ki so zaščiteni s kriptografskim programom.

Predstavljajmo si, da osumljenec A skriva otroško pornografijo na svojem računalniškem sistemu. Organi pregona imajo utemeljene razloge za sum, da A res ima v posesti otroško pornografijo, zato pridobijo odredbo za preiskavo njegovega računalniškega sistema. Vendar pa se izkaže, da so podatki zaščiteni s kriptografskim programom, tako da preiskovalci ne morejo do podatkov v sistemu, tako pa ne do dokazov o morebitnem storjenem kaznivem dejanju. Od A-ja se lahko zahteva, da predloži podatke ali omogoči dostop do sistema oziroma preiskovalcem sporoči geslo, s katerim je zaščitil svoj sistem. Če tega ne naredi, je lahko preganjan za storitev posebnega kaznivega dejanja zavrnitve dešifriranja podatkov oziroma oviranja kazenske preiskave, če je tako kaznivo dejanje posebej predpisano v kazenski zakonodaji države. A-ja dejansko sankcioniramo za nesodelovanje z organi pregona.

3.1 Privilegij zoper samoobtožbo

Seveda pa tu naletimo na privilegij zoper samoobtožbo kot eno najtemeljnejših človekovih pravic v kazenskem postopku. Kot je zapisalo Evropsko sodišče za človekove pravice v zadevi Saunders proti Združenemu kraljestvu (1996: 68): »Pravica do molka in privilegij zoper samoobtožbo sta splošno uveljavljena mednarodna standarda, ki ležita v osrčju ideje poštenega postopka v smislu 6. člena (Evropske konvencije o varstvu človekovih pravic, op. avtorja). Še posebno privilegij zoper samoobtožbo predpostavlja, da v kazenskem primeru tožilstvo dobi primer proti obdolžencu brez zatekanja k pridobitvi dokazov z metodami prisile in nasilja, kljub nasprotovanju volje obdolženca.«(29)

Privilegij zoper samoobtožbo je neposredni konstitutivni del domneve nedolžnosti, ki je jedro poštenega kazenskega postopka in je zagotovljen v 27. členu slovenske ustave. Ta povezava je posredno nakazana v šestem členu Evropske konvencije o varstvu človekovih pravic v točki 2, ki določa, da kdor je obdolžen kaznivega dejanja, velja za nedolžnega, dokler ni v skladu z zakonom dokazana njegova krivda. V konvenciji je zapisana t. i. omejena (ali skrčena) oblika privilegija zoper samoobtožbo – slednji namreč neposredno v konvenciji ni omenjen, temveč se le posredno razlaga z domnevo nedolžnosti.

Popolno (ali širšo) opredelitev privilegija zoper samoobtožbo lahko najdemo v petem amandmaju ameriške ustave, ki določa, da se v nobeni kazenski zadevi ne bo nobeden silil, da bi pričal zoper sebe. Leta 1791 je bil s petim amandmajem vzpostavljen temeljni standard sodobnega kazenskega postopka, ki se je obdržal vse do danes (z nekaterimi posebnostmi in doktrinarnimi spremembami, ki jih bomo obdelali v nadaljevanju).

Podoben pristop je najti v Mednarodnem paktu o državljanskih in političnih pravicah, ki v točki 3/g 14. člena določa, da mora biti vsakomur, ki je obtožen kaznivega dejanja, ob popolni enakopravnosti zajamčena pravica ne biti prisiljen, da bi pričal zoper sebe ali priznal krivdo.

Tudi slovenska ustava prevzema širšo opredelitev privilegija zoper samoobtožbo v 29. členu, ki določa, da mora biti vsakomur, ki je obdolžen kaznivega dejanja, ob popolni enakopravnosti zagotovljena tudi pravica, da ni dolžan izpovedovati se zoper sebe ali svoje bližnje ali priznati krivde.

Lahko bi celo rekli, da slovenska ustava prevzema najbolj razvito in pozitivno najbolj široko zasnovo privilegija zoper samoobtožbo, saj tega dosledno razširja še na bližnje osebe obdolženca. Ta izredno široka zasnova Zakon o kazenskem postopku razširja še na priče in v 238. členu določa, da priči ni treba odgovarjati na posamezna vprašanja, če je verjetno, da bi s tem spravila sebe ali svojega bližnjega sorodnika v hudo sramoto, znatno materialno škodo ali kazenski pregon. Tako širokega privilegija zoper samoobtožbo številni tuji sistemi (npr. ameriški) ne poznajo.(30)

Glavno vprašanje je torej, ali država, ki sili osumljenca, da ji sporoči šifrirna gesla za dostop do računalniškega sistema, krši privilegij zoper samoobtožbo. Ali se lahko osumljenec v kazenskem postopku prisili k izpovedbi gesla, ki lahko privede do obremenilnih dokazov zoper njega?

To je torej izredno celovito pravno vprašanje. Spuščanje v podrobno obravnavo privilegija zoper samoobtožbo bi bistveno preseglo domet tega prispevka,(31) zato se bomo osredotočili na sodobne kazenskopravne pristope obravnave digitalne kriptografije.

4. Doktrina »neizogibnega sklepa« (angl. foregone conclusion)

Temeljni pravni okvir, ko se ukvarjamo z digitalno kriptografijo in privilegijem zoper samoobtožbo, je doktrina foregone conclusion oziroma doktrina »neizogibnega sklepa«.

Doktrino »neizogibnega sklepa« je Vrhovno sodišče Združenih držav Amerike vzpostavilo leta 1976 s primerom Fisher proti Združenim državam(32) in nato podrobneje navezalo na digitalno kriptografijo s primerom Boucher(33) leta 2009.

Temeljno vprašanje primera Fisher je bilo, ali mora oseba dokumente, ki jih voljno ustvari in ima v posesti ter so zanjo obremenjujoči, predložiti na poziv sodišča. Postavilo se je vprašanje, ali tako ustvarjeni dokumenti spadajo v okvir privilegija zoper samoobtožbo.

Prva možnost je, da lahko dejanje izročitve dokumentov osebo implicitno obremeni z dejstvom, da dokumenti obstajajo, da oseba ve zanje, da so v njeni posesti in da so pristni. V takih primerih ima dejanje izročitve dokumentov težo obremenilne testimonialne izjave in spada v okvir privilegija. S tem ko bi jih obdolženec izročil, bi se pokazalo, da zanje ve, da jih ima v posesti, ali celo, da jih je sam ustvaril. Tako bi z njihovo izročitvijo sam sebe spravil v manj ugoden položaj in predložil organom pregona dokaze, ki so zanj obremenjujoči.

Povsem nasprotno pa je, če organi pregona jasno dokažejo, da dokumenti obstajajo, da so v posesti neke osebe ali da jih je ta ustvarila – gre torej za »neizogibni sklep« (foregone conclusion). V takem primeru samo dejanje izročitve dokumentov nima testimonialne vrednosti in ne spada pod zaščito petega amandmaja. Organi pregona so namreč že prej vedeli za dokumente, kdo jih je ustvaril in kakšno vsebino imajo – torej brez pomoči obdolženca. Slednji se z golo izročitvijo dokumentov ne inkriminira, saj organi pregona njihovo vsebino že poznajo.

V primeru Fisher so davkoplačevalci prejeli dokumente od revizorjev in jih poslali svojim odvetnikom. Ko je davčna služba zahtevala dokumente od odvetnikov, je sodišče odločilo, da davčni dokumenti ne spadajo pod zaščito petega amandmaja, saj revizorjevi dokumenti niso davkoplačevalčevi. Davkoplačevalec pa jih ni pripravil niti ne vsebujejo njegovih testimonialnih izjav. Država se torej ne opira na izpovedbe davkoplačevalca, da bi dokazala obstoj dokumentov. Uporabi se lahko doktrina neizogibnega sklepa, obremenjujoči dokumenti pa se morajo izročiti organom pregona.

Bistveno pri navedeni doktrini je, da mora stranka, ki zahteva predložitev dokazov, dokazati, da je vedela za njihov obstoj pred izdajo zahteve (sodnega poziva).

Privilegij zoper samoobtožbo se torej uporabi le, če imajo dokazi, ki se zahtevajo od obdolženca, testimonialno vrednost in so zanj inkriminajoči. Če država dokaže, da je zanje vedela že pred zahtevo za njihovo predložitev, ti dokazi niso več testimonialni. To ni več vprašanje pričanja (angl. testimony), temveč le vprašanje predložitve (angl. surrender).(34)

Doktrina »neizogibnega sklepa«, ki je bila sicer sprva namenjena predložitvi listin in pisemskih dokazov, se danes uporablja tudi za predložitev gesel do zakodiranih podatkov in zaščitenih digitalnih dokazov.

Predstavil bomo tri sodobne primere, ki z uporabo doktrine »neizogibnega sklepa« razčiščujejo, kdaj mora obdolženec predložiti gesla do zakodiranih digitalnih podatkov. Odveč je poudarjati, da se neposredno krši privilegij zoper samoobtožbo, če ta doktrina ni spoštovana, in tako pridobljeni digitalni dokazi so nezakoniti.

4.1 Primer Boucher – Grand Jury Subpoena

Primer Boucher(35) je prvi odmevni primer, v katerem se je podrobno presojalo vprašanje predložitve digitalnih dokazov, zaščitenih s šifrirnimi metodami. Boucher je poskušal prečkati ameriško mejo, tam pa so ga ustavili cariniki in opazili prenosni računalnik na zadnjem sedežu avtomobila – Boucher je priznal, da je prenosnik njegov. Zvezni agent je računalnik pregledal in na njem našel okoli 40.000 fotografij odrasle in domnevno otroške pornografije. Boucher se je odpovedal pravicam Miranda, nato pa agentom pokazal še trdi disk Z, na katerem so bile dodatne digitalne vsebine (filmi in slike), za katere je obstajal sum otroške pornografije. Zvezni agentje so Boucherja pridržali in pridobili nalog sodišča za preiskavo računalnika. Nakar so ugotovili, da je trdi disk Z zaščiten s kriptografijo, kar jim je preprečevalo, da bi si ogledali podatke na njem. Država je zato sklicala veliko poroto (Grand Jury), ki je izdala Boucherju ukaz, da predloži šifrirno geslo. Vendar pa tega sodnik ni dovolil – predložitev gesla bi bila poseg v obdolženčevo duševno sfero, kar bi neposredno kršilo privilegij zoper samoobtožbo. Velika porota je zato preoblikovala poziv in od obdolženca zahtevala, da organom pregona predloži vsebino trdega diska Z. Boucher je temu nasprotoval, saj naj bi bil to spet poseg v privilegij zopet samoobtožbo. Sodišče se s tem ni strinjalo. Po doktrini »neizogibnega sklepa« namreč dejanje predložitve vsebine s trdega diska Z nima testimonialne vrednosti. Država je že tako ali tako vedela za vsebino na trdem disku Z, saj jo je Boucher sam predložil (jo pokazal agentom). Ukaz prav tako od Boucherja ni zahteval, da prepozna vsebino na trdem disku, saj je tako ali tako že priznal, da je prenosni računalnik njegov, in pokazal podatke na njem. Zagotovitev računalniških vsebin državi torej nikakor ne bi prispevala k informacijam o zadevi, ki jih država ima – dejanje torej nima testimonialne vrednosti. Sodišče je potrdilo zahtevo, da mora Boucher predložiti digitalne vsebine z diska Z, obenem pa je državi prepovedalo, da samo dejanje predložitve vsebin uporabi proti obdolžencu – poroti pred sodiščem se ni smelo povedati, da je vsebine z diska Z priskrbel prav obdolženec.

Primer je bil izrednega pomena in prvi, ki je polemiziral o vprašanju, ali mora obdolženec predložiti digitalne dokaze, ki jih je zakodiral s kriptografijo. Če bi sprejeli strogo stališče, da tega obdolžencu ni treba storiti, bi organom pregona onemogočili, da pridejo do pomembnih digitalnih dokazov kaznivega dejanja, kljub temu da imajo sodno odredbo, ki jim dovoljuje vpogled v te podatke.

4.2 Primer Friscou proti Združenim državam

Medtem ko je imela država v primeru Boucher veliko dokazov, s katerimi je upravičeno prisilila obdolženca k predložitvi zakodiranih digitalnih podatkov, pa ni bilo tako v primeru Friscou proti Združenim državam.(36) Agenta FBI sta na podlagi sodne odredbe preiskala stanovanje Ramone Friscou in našla številne informacijske sisteme. Prenosni računalnik v njeni spalnici je bil zakodiran z imenom RS.WORKGROUP.Ramona. Medtem je bil bivši mož obdolženke, sicer soobdolženi v zadevi, že v priporu. Naslednji dan je iz pripora poklical obdolženko, telefonski klic pa se je snemal. V tem pogovoru je obdolženka izjavila, da ji je odvetnik povedal, da ji ni treba ničesar povedati organom pregona ali jim dajati nikakršnih gesel do zakodiranih podatkov. Ker FBI ni mogel predreti zaščite na njenem računalniku, je zahteval, da mora sama predložiti šifrirno geslo, a je temu nasprotovala, saj naj bi šlo za očitno kršitev privilegija zoper samoobtožbo.

Nadvse presenetljivo pa se sodišče z obdolženko ni strinjalo in je sledilo primeru Boucher. Po doktrini »neizogibnega sklepa« naj bi država prepričljivo dokazala, da računalnik pripada obdolženki (ker so ga našli v njenem stanovanju in je bil zaščiten z njenim imenom) ter da ji je poznano geslo za dostop do sistema (utemeljeno s prisluškovanjem telefonskega klica).

Vsekakor gre za izredno skrajno odločitev sodišča, ki je poleg tega, da je povsem zavrglo standarde privilegija zoper samoobtožbo, popolnoma spregledalo sporno prisluškovanje telefonskemu pogovoru, ki ga je imela obdolženka z bivšim možem v zaporu. Po doktrini pričakovane zasebnosti bi jima namreč morali priznati zasebnost telefonskega pogovora. Podatki, zbrani na podlagi tega pogovora, so sami po sebi sporni, še toliko bolj pa je sporna njihova uporaba za upravičenje zahteve po predložitvi podatkov zakodiranega računalniškega sistema. Sodišče je obdolženki naložilo, da mora predložiti vsebine na zakodiranem računalniškem sistemu, obenem pa državi prepovedalo, da bi samo dejanje predložitve vsebin uporabila proti obdolženki – poroti pred sodiščem se torej ni smelo povedati, da je vsebine z računalnika predložila prav obdolženka.

4.3 Primer John Doe – Grand Jury Subpoena Duces Tectum

Ameriška sodna praksa je dopolnila merila doktrine »neizogibnega sklepa« v primeru Združenih držav proti Johnu Doeju.(37) Organi pregona so z IP-številko izsledili naslov računalnika, na katerega naj bi se prenašale vsebine z otroško pornografijo. Pridobili so sodno odredbo in opravili hišno preiskavo pri domnevnem storilcu, imenovanem John Doe. Pri njem so našli dva prenosna računalnika in pet zunanjih trdih diskov, ki jih niso mogli v celoti pregledati, saj so bili zakodirani s kriptografskimi metodami. Obdolžencu je bilo ukazano, naj predloži vsebine trdih diskov, na katerih naj bi bila otroška pornografija. Doe je temu nasprotoval in utemeljeval, da bi, če bi predložil te vsebine, pravzaprav pričal, da jih je on sam in ne nekdo drug shranil na trdi disk. Obenem ni bilo nikakršnih dokazov, da pozna šifrirna gesla in da je on edini z dostopom do podatkov na trdih diskih (kar so oblasti lahko dokazale v primerih Boucher in Friscou). Ker obdolženi ni spoštoval ukaza sodišča, ga je slednje dalo zapreti (angl. to hold in contempt of court). Vendar pa ga je pritožbeno sodišče izpustilo, saj je ugotovilo, da je bil kršen privilegij zoper samoobtožbo oziroma peti amandma ameriške ustave. Pritožbeno sodišče je ugotovilo, da predložitev in odkodiranje digitalnih podatkov ni golo fizično dejanje kot npr. predložitev ključa vrat, temveč mentalno opravilo, ki poteka v miselni sferi posameznika, kar spada pod zaščito petega amandmaja. Predložitev zakodiranih vsebin bi bilo enako pričanju, da je Doe vedel za obstoj inkriminajočih podatkov, da jih je imel v oblasti in posesti ter da je on tisti, ki jih je zaščitil s kriptografsko metodo.

Sodišče je obenem razložilo, da država ni zadostila pogojem doktrine »neizogibnega sklepa«. Nikakršnih dokazov namreč ni bilo, da otroška pornografija na trdem disku dejansko obstaja (to se je le predvidevalo), prav tako ni bilo nikakršnih dokazov, da Doe pozna kriptografsko geslo in da je on zaščitil podatke. Država je sicer zatrjevala, da je z zakodiranimi diski Doe želel nekaj prekriti, vendar je sodišče argument zavrnilo z utemeljitvijo: »Čeprav lahko sef vsebuje gore inkriminajočih dokumentov, to samo po sebi še ne pomeni, da jih dejansko vsebuje oziroma da je v njem sploh kaj.«(38)

Temeljna razlika med navedenimi primeri je torej, ali država pozna podatke. Bistveno je, ali lahko dokaže obstoj zakodiranih podatkov in jih poveže z osebo, ki ima do njih dostop, oziroma da pozna dostopno geslo, s katerim se obide digitalna zaščita.

Čeprav državi ni treba dokazati obstoja točno določenega podatka, mora dokazati vsaj, da sporne vsebine (recimo otroška pornografija) na nekem prenosnem mediju dejansko obstajajo. In v primerih Boucher in Friscou so te informacije obstajale. Boucher je podatke pokazal sam, Friscou pa je razkrila, da pozna dostopna gesla, v telefonskem pogovoru. V primeru Doe država teh informacij in dokazov ni imela, zato sodišče ni dopustilo, da bi obdolženca prisilili k predložitvi kodirnih gesel.(39)

V vseh treh primerih je sodišče sprejelo stališče, da je dejanje dešifriranja digitalnih podatkov razkritje posameznikove umske sfere in ne le fizična izročitev ključa – to je razvidno iz tega, da je bila v vseh treh primerih obdolžencem podarjena imuniteta na dejanje dešifriranja podatkov. Samo dejanje izročitve dokumentov ima namreč testimonialno vrednost. Po drugi strani pa se podatki, ki so pridobljeni s to izročitvijo, lahko uporabijo pred sodiščem.(40)

Vsekakor je ameriška sodna praksa izdelala izredno dober kompromis med privilegijem zoper samoobtožbo posameznika in učinkovitostjo kazenskega postopka – slednje je namreč bistveno oteženo in omejeno, če organom pregona ne omogočimo, da pridejo do zakodiranih digitalnih dokazov. Doktrina »neizogibnega sklepa« je tako izdelano ravnotežje med pravicami posameznikov in vladavino prava, katere temeljni del je tudi učinkovit pregon kaznivih dejanj in sankcioniranje njihovih storilcev.

5. Ureditev v Združenem kraljestvu

Združeno kraljestvo je kot edina izjema v Evropi sprejelo posebno kaznivo dejanje zavrnitve dešifriranja podatkov, opisano v točki f tega prispevka. Njihov Zakon o ureditvi preiskovalnih pooblastil (Regulation of Investigatory Powers Act, 2000) namreč v 53. členu določa posebno kaznivo dejanje, za katero odgovarja oseba, ki ji je izdan ukaz, da mora razkriti zahtevana šifrirna gesla, če zavedno opusti ali zavrne njihovo razkritje. Kazen za to kaznivo dejanje je lahko do pet let zapora za primere državne varnosti ali otroške nedostojnosti (pornografija, zlorabe) oziroma do dve leti za druge primere.

Ta ureditev velja tudi za morebitnega storilca ali obdolženca kaznivega dejanja. Prav tako niso od edicijske dolžnosti razkritja gesel do elektronske naprave izvzete privilegirane priče tako kakor v naši zakonodaji. Gre za izredno represivno obliko kazenske ureditve, ki je druge evropske države ne poznajo. Združeno kraljestvo se je odločilo, da je pri tehtanju ravnotežja med privilegijem do samoobtožbe glede šifriranih podatkov in škodo, ki lahko nastane (npr. načrtovanje terorističnega napada, skriti podatki o ugrabljenem in posiljenem dekletu), večja nevarnost, da država nima dostopa do šifriranih podatkov, kot je nevarnost teže posega v pravico osumljenca ali obdolženca.(41)

Kljub vsemu pa menim, da mora biti spoštovana doktrina »neizogibnega sklepa« tudi v zakonodaji Združenega kraljestva. Ne zdi se namreč pošteno, da je k izdaji gesla prisiljen nekdo, ki morda teh gesel sploh ne pozna, ali se ne ve niti, kaj naj bi se našlo na neki elektronski napravi. Če je doktrina spoštovana, menim, da je njihova ureditev kakovostna – omogoča namreč pridobitev digitalnih podatkov, ki so zakodirani s kriptografijo, obenem pa nalaga organom pregona, da dovolj jasno dokažejo, da vedo za vsebino, ki naj bi bila na zaščitenem mediju, in da neka oseba to geslo pozna. Privilegij zoper samoobtožbo je tu treba delno omejiti zaradi same narave kriptografije digitalnih podatkov – ta je namreč nezlomljiva, kar pomeni, da organi pregona nikakor ne morejo pridi do zakodiranih digitalnih podatkov, čeprav imajo sodno odredbo, ki jim to dovoljuje.

Do te teme je sprejel zanimivo stališče sodnik Stephens v zadevi S & Anor, R v [2008] EWCA Crim 2177. Stephens v svojem mnenju utemeljuje: »Ključ, ki omogoča dostop do zaščitenih podatkov, tako kakor podatki sami, obstaja ločeno od obdolženčeve volje. Čeprav vsak sam ustvari digitalni ključ, pa ta, ko je ustvarjen, obstaja samostojno in ločeno od volje obdolženca, čeprav je morda le v njegovem spominu. V tem smislu je ključ do računalniških podatkov povsem enak ključu do zaklenjenega predala. Vsebina predala obstaja neodvisno od obdolženčeve volje – prav tako ključ. Čeprav je vsebina lahko inkriminajoča, je ključ sam nevtralen.«(42)

Evropsko sodišče za človekove pravice glede tega vprašanja še ni sprejelo stališča. Vprašanje je, ali bi dopustilo zakonodajo, ki od obdolžene osebe zahteva izdajo gesel iz svoje miselne sfere, ali bi odločilo, da gre za očitno kršitev privilegija zoper samoobtožbo.

6. Slovenska ureditev

Če je ureditev v Združenem kraljestvu na skrajno represivni strani razmerja med privilegijem zoper samoobtožbo in učinkovitim kazenskim postopkom, je slovenska ureditev na drugi skrajni strani, ki tako močno varuje privilegij zoper samoobtožbo, da je preiskovanje digitalnih podatkov, zaščitenih z naprednimi kriptografskimi metodami, pravzaprav nemogoče.

Zakonska podlaga edicijske (izročitvene) dolžnosti predmetov je v 220. členu Zakona o kazenskem postopku (ZKP).(43) Osebe, ki imajo predmete, ki se morajo po kazenskem zakonu vzeti ali ki utegnejo biti dokazilo v kazenskem postopku, morajo te predmete izročiti.

Če jih ne izročijo, se smejo zapreti do enega meseca ali kaznovati z denarno kaznijo (tu ne gre za posebno kaznivo dejanje, temveč le za sankcijo, ki jo izreče sodišče osebi, ki se ne pokori ukazu sodišča). Bistveno vprašanje pa je, ali se lahko zahteva izročitev predmetov od domnevnih storilcev. Vse bolj se uveljavlja stališče, da privilegij zoper samoobtožbo tega ne dopušča. Izročitvena dolžnost se torej ne bo upoštevala za domnevnega storilca, njegovega odvetnika, razmeroma nesposobne priče in osebe, ki imajo status privilegirane priče.(44) Od navedenih oseb ni mogoče zahtevati dejavnega sodelovanja z organi pregona, po drugi strani pa se lahko dokazi pridobijo drugače (npr. s hišno preiskavo), pri čemer bodo navedene osebe pasivne – morajo namreč trpeti dejanja organov pregona, ki jih odobri sodišče.

Posebna ureditev je v ZKP predvidena za preiskavo elektronske naprave in pridobitev digitalnih dokazov. Preiskava se lahko opravi le na podlagi vnaprejšnje pisne privolitve imetnika ter policiji znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca (drugi odstavek 219. a člena ZKP), izjemoma pa, če pisne odredbe ni mogoče pravočasno pridobiti ter obstaja neposredna in resna nevarnost za varnost ljudi ali premoženja, lahko preiskovalni sodnik na ustni predlog državnega tožilca odredi preiskavo elektronske naprave z ustno odredbo(45) (peti odstavek 219. a člena ZKP).

Glede izročitvene dolžnosti je bistven šesti odstavek 219. a člena ZKP. Ta določa, da mora imetnik oziroma uporabnik elektronske naprave omogočiti dostop do nje, predložiti šifrirne ključe ali šifrirna gesla in pojasnila o uporabi naprave, ki so potrebna, da se doseže namen preiskave. Če tega ne stori, se sme kaznovati z zaporno kaznijo do enega meseca ali denarno kaznijo. Izročitvena dolžnost pa ni predvidena za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča po 235. členu ali se je v skladu s tem zakonom odrekla pričevanju po 236. členu.

Seznam oseb, za katere je izjema predvidena, je izredno pester in vključuje obdolženčevega zakonca ali osebo, s katero živi v zunajzakonski skupnosti, krvne sorodnike, posvojenca in posvojitelja, verskega spovednika, odvetnika, zdravnika, psihologa, socialnega delavca in druge osebe, ki za neka dejstva izvedo pri opravljanju poklica, če velja dolžnost, da morajo ohraniti kot tajnost tisto, kar so zvedeli pri opravljanju svojega poklica. To pa so pogosto tudi osebe, ki bodo poznale geslo za dostop do podatkov v obdolženčevi elektronski napravi.

Odveč je omenjati, da če se pridobijo elektronski podatki, ki so bili zaščiteni s kriptografijo, kršitvijo ali obhodom Zakona o kazenskem postopku, so tako pridobljeni dokazi nezakoniti in se morajo izločiti iz kazenskega postopka.(46)

Zaman bomo v Sloveniji iskali sodno prakso z vidika kriptografije digitalnih podatkov. Za to obstajata dva razloga. Prvi je, da le redki storilci uporabljajo napredne kriptografske metode. Drugi razlog pa je, da pri uporabi napredne kriptografske metode naši organi pregona pogosto nimajo drugih dokazov, na katere bi oprli obtožnico, zato seveda ni vložena niti obtožba.

Slovensko ustavno sodišče se ni nikoli izreklo o vprašanju kriptografsko zaščitenih digitalnih dokazov v kazenskem postopku, vendar je v drugih odločbah precej jasno izrazilo stališče, ki bi mu zelo verjetno sledilo v omenjenem vprašanju. Tako je v primeru UP-1678/08 presojalo privilegij zoper samoobtožbo (4. alineja 29. člena ustave) in zapisalo: »Ta primarno zadeva pravico do molka in se razteza na vse izjave, tudi na tiste, ki so morda na prvi pogled videti nedolžne. Kot takšen preprečuje oblike prisile, ki bi vplivale na obdolženčevo voljo dati posamezne izjave. Kot izjava je mišljena t. i. izjava testimonialne ali komunikativne narave, ne pa t. i. fizični dokazi, ki izvirajo iz ali od telesa obdolženca, oziroma, kot pravi ESČP, ki jih je mogoče pridobiti od obdolženca neodvisno od njegove volje.«(47)Tudi v drugih utemeljitvah sodišča je nesporno, da se vsaka oblika prisile obdolženca k dajanju izjave (pove geslo, s katerim so zaščiteni podatki) šteje za neustavno in za neposredno kršitev privilegija zoper samoobtožbo.

Podobne utemeljitve ustavnega sodišča najdemo v zadevi Up-3367/07, v kateri se zagovarja stališče, da država osumljenca ali obdolženca ne more prisiliti k dajanju nikakršne izjave (npr. s poligrafom) ali k pričanju o kaznivem dejanju, ki se mu očita.(48)

Vsekakor je očitno, da je privilegij zoper samoobtožbo v Sloveniji izredno visoko pravno varovan standard – ustavno in zakonsko – in tudi izredno široko zastavljen, saj zajema številne osebe, povezane z obdolžencem. Omenili smo že, da marsikatera tuja pravna doktrina tako širokega kroga »privilegirancev« ne pozna.

Vprašanje, ali je naša ureditev pravno kakovostna in današnjim družbenim razmeram primerna, prepuščam bralcu. Vsekakor pa lahko podpremo stališče, da je z vidika učinkovitosti kazenskega postopka nezadostna. Organi pregona po naši ureditvi namreč nimajo možnosti pridobiti gesel do zašifriranih elektronskih naprav od velikega spektra oseb, ki bodo najverjetneje poznale ta gesla. Ostane jim le možnost, da do zaščitenih podatkov pridejo sami, torej z ugotovitvijo gesla in zlomitvijo digitalne zaščite, kar je danes, v času kriptografskega standarda AES, pravzaprav nemogoče.(49)

Prava pot bo sorazmerje med varovanjem ustavnih pravic vsake osebe in vladavino prava, katere temeljna sestavina je tudi učinkovit pregon kaznivih dejanj.

7. Rešitev

Kako torej rešiti vprašanje zakodiranih digitalnih podatkov v kazenskih zadevah? Žal popolne rešitve v sodobni družbi ni. Pravna rešitev se bo namreč vedno gibala na tanki meji med posegom v privilegij zoper samoobtožbo in učinkovitim kazenskim postopkom.

Poleg ameriške ureditve, ki ureja vprašanje z dogmatičnim institutom neizogibnega sklepa, in britanske, ki uzakoni posebno kaznivo dejanje prikrivanja kodirnega gesla, so nastale še nekatere bolj ali manj slabe rešitve.

Ena takih rešitev je, da ne naredimo nič in da digitalne kriptografije pravno ne uredimo. Koops to imenuje »nična rešitev« (angl. the zero option). Ta ne posega v zasebnost posameznikov, v privilegij zoper samoobtožbo, v pravico do poštenega sojenja in v vladavino prava. Je torej povsem delujoča, mednarodno združljiva in tehnološko vzdržna.(50) Vendar pa ima eno veliko pomanjkljivost – ne da nam odgovora na kriptografsko dilemo. To pravzaprav sploh ni rešitev, temveč samo možnost, ki jo lahko izbere država, ki želi zgolj prestaviti ureditev težavnega pravnega vprašanja. V današnji dobi, v kateri problemi kibernetske kriminalitete naraščajo, je taka »rešitev« nevarna in neodgovorna.

naslednja možnost je zaupanje v tehnologijo v upu, da bodo v prihodnosti računalniški forenziki lahko predrli vse oblike kriptografskih zaščit. To bi lahko zelo elegantno rešilo kriptografsko dilemo, saj bi država dobila vse potrebne dokaze, obdolžencem pa ne bi bilo treba pričati zoper same sebe. Žal je to utopična rešitev, ki se verjetno ne bo nikoli uresničila. Napredki tehnologije so nam prinesli nezlomljive zaščite, ki se še izboljšujejo. Če je bila ob nastopu prvotnih kriptografskih programov uspešnost prebitja zaščite še kar spodbudna, so izidi danes porazni. Z izbiro ustrezno zapletenega gesla in uporabo kriptografskega programa z napredno zaščito AES postanejo digitalni podatki organom pregona nedostopni. Z razvojem tehnologije pa stalno nastajajo nove metode kodiranja podatkov, ki onemogočajo dostop tudi računalniškim forenzikom.

Nekateri menijo, da bi morali vprašanje digitalne kriptografije rešiti z obrnjenim dokaznim bremenom. Opirajo se na primer Murray proti Združenemu kraljestvu Evropskega sodišča za človekove pravice. Slednje je sprejelo stališče, da je molk obdolženca, takrat ko je potrebna njegova obrazložitev (npr. obdolženec je najden sam v hotelski sobi z umorjeno žrtvijo), lahko inkriminajoča okoliščina. Vendar le, če tožilec najprej vzpostavi primer prima facie proti obdolžencu, temelječ na neposrednih dokazih, ki bi lahko prepričali poroto, da onkraj razumnega dvoma obstajajo elementi kaznivega dejanja.(51)

Vprašanje je torej, ali so dokazi tožilstva dovolj trdni, da sprožijo potrebo po obdolženčevi obrazložitvi. Sodišče ne sme sklepati, da je obdolženec kriv le zato, ker molči. Dokazi zoper njega so tisti, ki »kličejo« po obrazložitvi. Če je obdolženec ne zagotovi in so dokazi zoper njega trdni, je mogoča obsodilna sodba.(52)

Če so navedeni standardi dani, Evropsko sodišče za človekove pravice ne bo sklepalo, da je bilo sojenje nepošteno ali da je bila kršena domneva nedolžnosti.(53)

Po Koopsovem mnenju bi dejstvo, da obdolženi noče izdati kriptografskega gesla, lahko podprlo dokaze o njegovi krivdi, če:

a) obstaja dovolj drugih dokazov zoper obdolženca, ki so skupaj z njegovo zavrnitvijo dovolj trdna podlaga za obsodbo,

b) obdolženi ni bil pod pritiskom policije,

c) kriptografskega ključa ni mogoče obiti,

d) je dovolj dokazov, ki potrjujejo, da obdolženi pozna geslo.(54)

Kljub temu mora biti rešitev z obrnjenim dokaznim bremenom uporabljena izredno omejeno, saj je obrnjeno dokazno breme v popolnem nasprotju s sodobno kazenskopravno doktrino. Obrnjeno dokazno breme je namreč jasna kršitev privilegija zoper samoobtožbo in onemogoča pravico do poštenega sojenja. Če je država tista, ki obtožuje, naj bo tudi država tista, ki nosi breme za dokazovanje kaznivega dejanja. Tudi naša ustavna sodna praksa je že večkrat zagovarjala stališče, da je obrnjeno dokazno breme v kazenskih postopkih nedopustno. Tako je Ustavno sodišče RS v zadevo Up-743/03 zapisalo, da domneva nedolžnosti pomeni troje: »prvič, da je dokazno breme na tožeči stranki (državi) in ne na obdolžencu, drugič, da država kot tožeča stranka nosi dokazno tveganje, in tretjič, da mora sodišče v dvomu obtoženca oprostiti (načelo in dubio pro reo)«.(55) Podobno odklonilno stališče do obrnjenega dokaznega bremena v kazenskih postopkih lahko najdemo v ustavni odločbi U-I-18/93.

Čeprav bi obrnjeno dokazno breme v kazenskem postopku v nekaterih primerih lahko odobrilo Evropsko sodišče za človekove pravice, je malo verjetno, da bi dalo odobritev tudi naše ustavno sodišče. To sicer ne pomeni, da slovenski sodnik obdolženčevega molka ne sme upoštevati. Glede na »prosto presojo dokazov« lahko presodi vsak dokaz ali dejstvo – vključno z obdolženčevim molkom na vprašanje, ki bi zahtevalo pojasnilo. Seveda pa to ne sme biti glavni in edini dokaz, na podlagi katerega bi sodnik izdal obsodilno sodbo.

Ena od rešitev je tudi uporaba klasičnih preiskovalnih metod in nedigitalnih dokazov. Organi pregona lahko posežejo po institutih, ki so jim poznani že dalj časa: fizični dokazi, priče, zaslišanje, prikriti preiskovalni ukrepi, preučevanje motiva, računalniškega znanja obdolženca itd.

Velika količina nedigitalnih dokazov bo lahko pojasnila dejansko stanje in pripeljala do obsodilne sodbe. Pravno je to najboljša rešitev, saj ne posega v privilegij zoper samoobtožbo. Vendar pa je učinkovitost te metode izredno negotova. Pri preučevanju celovitih kibernetskih kaznivih dejanj in kibernetskega terorizma so ključni dokazi zelo pogosto zakodirani s kriptografskimi programi. Problem uporabe klasičnih preiskovalnih metod je, da niso neposredna rešitev kriptografske dileme. Občasno bo sicer z uporabo prikritih preiskovalnih ukrepov mogoče priti do kriptografskega gesla obdolženca. Če lahko nova tehnologija ovira dostop do digitalnih dokazov, jo lahko uporabimo tudi, da pridemo do teh dokazov.(56)

Slovenski Zakon o kazenskem postopku daje pravno podlago za te prikrite preiskovalne ukrepe, ki se lahko pokažejo kot koristi pri pridobivanju potrebnih gesel:

– po 149. b členu pridobivanje podatkov o prometu v elektronskem komunikacijskem omrežju,

– po 150. členu nadzor elektronskih komunikacij s prisluškovanjem in snemanjem ter kontrola in zavarovanje dokazov o vseh oblikah komuniciranja, ki se prenašajo v elektronskem komunikacijskem omrežju,

– po 150. členu prisluškovanje in snemanje pogovorov s privolitvijo vsaj ene osebe, udeležene v pogovoru,

– po 151. členu prisluškovanje in opazovanje v tujem stanovanju ali drugih tujih prostorih z uporabo tehničnih sredstev za dokumentiranje in po potrebi s tajnim vstopom v navedene prostore,

– po 155. a členu tajno delovanje, pri katerem tajni policijski delavec uporabi tehnične naprave za prenos in snemanje glasu.

Vse navedeno so možnosti za rešitev kriptografske dileme v sodobni digitalni dobi. Vsaka od njih se lahko pokaže za zelo koristno (npr. tajni delavec pridobi šifrirna gesla) ali povsem neuporabno (npr. prisluškovanje osumljencu – če ta ne pove na glas gesla za šifrirane podatke, je metoda neuporabna). Uporaba različnih oblik preiskovalnih metod je torej odvisna od vsakega posameznega primera. Ugotovimo lahko, da so vse navedene možnosti le pomoč preiskovalcem pri odkrivanju šifrirnih gesel, vsekakor pa niso kakovostna in odločilna rešitev za pridobivanje digitalnih dokazov, zaščitenih s kriptografskimi metodami.

8. Sklep

Standardi digitalne kriptografije se nenehno razvijajo in postajajo vse bolj zapleteni. To je odlično za zaščito digitalnih podatkov in naše zasebnosti, obenem pa resno ogroža boj proti kaznivim dejanjem, pri čemer so ključni dokazi v digitalni obliki. Podatki, zaščiteni na ta način, namreč postanejo nedosegljivi organom pregona. Ko država kljub sodni odredbi ne more več do nekaterih dokazov, je učinkovitost kazenskega pregona zelo negotova.

Države so na številne načine poskušale zlomiti ali obiti digitalno kriptografijo. Ker so bile računalniške rešitve (kriptoanaliza) neuspešne, so se zakonodajalci obrnili k pravu. Nekatere rešitve, ki so že bile vpeljane in preizkušene, so: prepoved kriptografije, uporaba šibke kriptografije, kriptografija z zakonsko avtorizacijo gesel (key escrow), uvedba kriptografskih standardov in prepoved uporabe neodobrenih šifrirnih programov, kaznivo dejanje zavrnitve dešifriranja podatkov ... Nobena od teh metod ni popolnoma rešila kriptografske dileme, pri kateri moramo nenehno tehtati zasebnost posameznikov in potrebo po zaščiti digitalnih podatkov na eni strani ter učinkovit kazenski pregon na drugi.

Če od obdolženca zahtevamo geslo do zašifriranih podatkov, naletimo na vprašanje privilegija zoper samoobtožbo. Ta preprečuje kakršno koli pridobivanje izjav ali izpovedi od obdolženca, ki bi ga lahko spravile v slabši položaj. Če od njega zahtevamo izdajo gesel do inkriminajočih dokazov, bi pravzaprav zahtevali, da inkriminira sam sebe – kar je v nasprotju z omenjenim privilegijem in torej neustavno. Odmik od tega stališča lahko najdemo v nekaterih državah, predvsem v Združenem kraljestvu z izredno radikalno rešitvijo, po kateri se obdolžencu očita posebno kaznivo dejanje prikrivanja gesla do zakodiranih digitalnih podatkov, če mu država dokaže, da geslo pozna in ga ne želi izdati.

Druge možnosti za rešitev kriptografske dileme so: da ne storimo ničesar in vprašanja pravno ne rešimo; da položimo naše upe v tehnologijo in čakamo, da bomo v prihodnosti lahko s tehnični sredstvi obšli digitalno zaščito; da obrnemo dokazno breme, tako da se molk obdolženca, ki ne izda gesla, šteje za oteževalno okoliščino; uporaba klasičnih preiskovalnih ukrepov in nedigitalnih dokazov.

Vse to so možnosti za boj proti nezlomljivi digitalni kriptografiji. Vsaka od njih se lahko pokaže za izredno koristno ali popolnoma neuporabno.

Digitalna kriptografija pri preiskovanju kaznivih dejanj z digitalnimi dokazi ostaja eno od bolj zapletenih vprašanj sodobnega kazenskega prava. V tem prispevku so predstavljene nekatere dileme, pogledi in morebitne rešitve problema, vendar to še zdaleč ni popoln odgovor. Le upamo lahko, da bomo v prihodnosti lahko dosegli idealno rešitev – ali s pravom ali z digitalno tehnologijo.

-----

(1) Termine (digitalna) enkripcija, šifriranje in kriptografija bomo v tem prispevku uporabljali kot sopomenke, saj podrobna preučitev pokaže, da je, z vidika prava, razlikovanje med njimi zanemarljivo. V slovenskem jeziku se sicer termin enkripcija (iz angleške besede »encryption«) ne uporablja.

(2) D. E. Kaplan, A. Marshall, ’The Cult at the End of the World. Crown Publishers, 1996, str. 21.

(3) D. E. Denning, W. E. Baugh, Cases involving encryption in crime and terrorism. Georgetown University, 1997, str. 2.

(4) Black's Law Dictionary Online. Termin »data encryption«. Internetni vir pridobljen 22. 10. 2013 na: http://thelawdictionary.org/data-encryption/.

(5) D. Coopersmith, The data encryption standard (DES) and its strength against attacks. IBM Journal of Research and Development, 38 (1994) 3, str. 244.

(6) T. Vidmar, Računališka omrežja in storitve. Atlantis, 1997, str. 26.

(7) M. Kovačič, Zasebnost v informacijski družbi. Teorija in praksa 37(6), 2000, str. 1022.

(8) Ameriška Nacionalna varnostna agencija, CNSS Policy No. 15, Fact Sheet No. 1, National Policy on the Use of the Advanced Encryption Standard (AES) to protect National Security Systems and National Security Information, str. 2. Pridobljeno 12. februarja 2013 na: http://csrc.nist.gov/groups/STM/cmvp/documents/CNSS15FS.pdf.

(9) M. Kovačič, Nadzor in zasebnost v informacijski družbi. Znanstvena knjižnica Fakultete za družbene vede, 2006, str. 91.

(10) G. Kušej, M. Pavčnik, A. Perenič, Uvod v pravoznanstvo. Uradni list RS, 1992, str. 50–52.

(11) J. Layden, Brazilian banker's crypto baffles FBI. Theregister.co.uk, 2012, str. 2.

(12) Priznani angleški strokovnjak za digitalne dokaze Stephen Mason zapiše, da sicer obstajajo nekatere tehnike, kako obiti digitalno zakriptirane podatke, da pa je povsem nedvoumno mogoče trditi, da so organi pregona pri tem izredno redko uspešni. S. Mason, Electronic Evidence, tretja izdaja. LexisNexis, 2012, poglavje 6.

(13) H. F. Gaines Cryptanalysis: A Study of Ciphers and Their Solution. Dover publications, 1956, str. 4.

(14) B. Koobs, The Crypto Controversy, A Key Conflict in the Information Society. Univerza za tehnologijo v Eindhovnu, 1999, str. 40.

(15) Organi pregona so uspešni, ko storilec pusti zapisano geslo ob računalniškem sistemu ali v predalu. Prav tako se nizajo uspehi, ko storilec uporabi izredno preprosto geslo – npr. kar svoje ime, ki mu doda kakšno enostavno številčno kombinacijo (John123). Pri kompleksnih geslih (npr. k4F3f2a5A2) pa je zaščita pravzaprav nezlomljiva.

(16) Izredno uspešna je namestitev naprav keylogger na osumljenčev informacijski sistem. To je napravica, ki se vstavi v osumljenčevo tipkovnico in beleži vse narejene pritiske na tipke. Če je osumljenec medtem vpisal šifrirno geslo, ga bodo preiskovalci lahko izluščili iz poročila, ki ga odda naprava. Keylogger je lahko tudi programski – osumljencu se kot škodljiva koda podtakne v računalniški sistem. Če ima osumljenec kakovosten protivirusni program, bo ta keylogger zaznal program in ga odstranil.

(17) S. Mason, Electronic Evidence, tretja izdaja. LexisNexis, 2012, poglavje 6. Glej tudi nadaljevanje prispevka s številnimi primeri iz prakse, ki nazorno prikazujejo neuspešnost kriptoanalize.

(18) B. Koobs, The Crypto Controversy, A Key Conflict in the Information Society. Univerza za tehnologijo v Eindhovnu, 1999, str. 125.

(19) D. Denning, W. Baugh, Cases involving encryption in crime and terrorism. Georgetown University, 1996, str. 2.

(20) P. Zimmerman (1996, June 26), Testimony of Philip R. Zimmermann to the Subcommittee on Science, Technology, and Space of the US Senate Committee on Commerce, Science, and Transportation. 1996. Internetni vir pridobljen 12. 9. 2012 na: http://www.philzimmermann.com/EN/testimony/index.html.

(21) Ta pogoj je bil predviden ob nastanku zamisli ključnega fiduciarja. Vprašljivo pa je, ali bi se pogoj obdržal po sprejetju radikalne zakonodaje po terorističnih napadih v ZDA. Zelo verjetno bi se vzpostavljeni sistem zlorabil in bi organi pregona lahko pridobili dostop do ključev na podlagi lastne presoje – podobno, kot imajo v nekaterih primerih možnost dostopa do elektronskih sporočil posameznika ob sumu terorističnih kaznih dejanj.

(22) Glej tudi H. Abelson in drugi, The Risk of Key Recovery, Key Escrow, and Trusted Third Party Encryption. World Wide Web Journal, 2(3).

(23) Truecrypt.org, AES Encryption Alghorithm. Domača stran programa TrueCrypt, pridobljeno 11. 12. 2012 na: http://www.truecrypt.org/docs/?s=hardware-acceleration.

(24) D. Balenson, Ellison C., Lipner S., Walker S, New Approach to Software Key Escrow Encryption. Trusted Information Systems, 1994, str. 184 in 185.

(25) Torej programi z vključeno metodo key escrow ali uporabo šibkih šifrirnih gesel.

(26) B. Koobs, Crypto Law Survey, 2010, str. 17 in 18. Mednarodna raziskava na domači spletni strani raziskovalca. Internetni vir pridobljen 7. 9. 2012 na: http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#ru

(27) Prav tam, str. 48.

(28) Po 176/III Kazenskega zakonika KZ-1 bi bila to zaporna kazen od šestih mesecev do osmih let!

(29) B. Zupančič in drugi, Ustavno kazensko procesno pravo, tretja izdaja. Pasadena, 2000, str. 601.

(30) S. Fisher, A. Leavens, Massachusetts Criminal Practice, Witness's Privilege Against Self-Incrimination. New Law Publishing, 2011, str. 2 in 3.

(31) Več o tej temi priporočam: Stephen Mason, Encrypted Data, EDDE Journal 2/4 (2011), str. 2–10; Hanni Fakhoury, A Combination or a Key? The Fifth Amendment and Privilege against Compelled Decryption. Digital Evidence and Electronic Signature Law Review 9(2012), str. 81–87; Earl Warren, An Analysis of In re Grand Jury Subpoena Duces Tacum (United States v. Doe): Does the Fifth Amendment Protect the Contents of Private Papers? Pace Law Review 15/1 (1994), str. 303.

(32) Fisher v. United States, 425 U.S. 391 (1976). Vrhovno sodišče ZDA.

(33) In re Grand Jury Subpoena to Sebastian Boucher No. 2:06-mj-91, 2009 WL 424718 (D. Vt. 2009). Ameriško zvezno sodišče Vermont.

(34) Fisher v. United States, 425 U.S. 391 (1976). Vrhovno sodišče ZDA.

(35) In re Grand Jury Subpoena to Sebastian Boucher No. 2:06-mj-91, 2009 WL 424718 (D. Vt. 2009). Ameriško zvezno sodišče Vermont.

(36) Friscou v. United States, No. 10-cr-00509-REB-02 (2012). Ameriško zvezno sodišče v Koloradu.

(37) United States v. John Doe, Nos. 11-12268 & 11-15421 (2012). Ameriško zvezno pritožbeno sodišče na Floridi.

(38) United States v. John Doe, Nos. 11-12268 & 11-15421 (2012). Ameriško zvezno pritožbeno sodišče na Floridi, paragraf 1347.

(39) Fakhoury, A Combination or a Key? The Fifth Amendment and Privilege against Compelled Decryption. Digital Evidence and Electronic Signature Law Review 9(2012), str. 86.

(40) Prav tam, str. 87.

(41) S. Mason, Electronic Evidence, tretja izdaja. LexisNexis, 2012, poglavje 6.

(42) Vrhovno sodišče Združenega kraljestva, zadeva S & Anor, R v [2008] EWCA Crim 2177 (9. oktober 2008). Sodnik Stephens, paragraf 20.

(43) Zakon o kazenskem postopku. Uradno prečiščeno besedilo ZKP-UPB4. Ur. l. RS, št. 32/2007, z novelama ZKP-I, Ur. l. RS, št. 68/2008, z dne 8. 7. 2008, ZKP-J, Ur. l. RS, št. 77/2009, z dne 2. 10. 2009 in ZKP-K, Ur. l. RS, št. 91/2011, z dne 14. 11. 2011

(44) K. Šugman, P. Gorkič, Dokazovanje v kazenskem postopku. GV Založba, 2011, str. 115–117.

(45) Tu državni tožilec Krumpak predlaga kot rešitev vdor v osumljenčevo stanovanje (na podlagi ustne odredbe), pri čemer se osumljenec fizično loči od računalnika, tako da se pride do podatkov ali informacijskega sistema, preden ga osumljenec zaklene s kriptografsko metodo. I. Krumpak, Državnotožilski vidik problematike digitalnih dokazov. V: Digitalno dokazovanje, Pravna fakulteta v Mariboru, 2012, str. 53.

Ta metoda se razmeroma uspešno uporablja v nekaterih državah, je pa v nekaterih vidikih sporna. Organi pregona namreč ne morejo vedeti, ali bodo podatki, ki jih iščejo ob nujni hišni preiskavi, pod kriptografsko zaščito ali ne. Osumljenec ima lahko otroško pornografijo zakodirano na ločenem prenosnem disku, ki seveda ni v uporabi ob hišni preiskavi, tako da bi bila fizična ločitev osumljenca od računalnika nesmiselna. Drugi, resnejši problem z vidika naše zakonodaje pa je, da mora obstajati pogoj resne in neposredne nevarnosti za varnost ljudi ali premoženje, kar bo pri kibernetskih kaznivih dejanjih pogosto težko dokazati.

(46) Toliko bolj sporno je to zato, ker se v Sloveniji uporablja t. i. radikalna ekskluzija dokazov, ki ne dopušča tehtanja med intenzivnostjo posega v pravico in težo kaznivega dejanja. K. Šugman, P. Gorkič, Dokazovanje v kazenskem postopku. GV Založba, 2011, str. 279–281.

(47) Odločba Ustavnega sodišča Up-1678/08 z dne 15. 12. 2009, paragraf 8.

(48) Odločba Ustavnega sodišča Up-1678/08 z dne 2. 7. 2009, paragraf 27.

(49) Pravzaprav edina možnost organov pregona so t. i. napadi brute force, pri katerih se z uporabo izredno zmogljivega računalnika poskuša z naključnim vpisovanjem gesel odkriti geslo obdolženca. Ta metoda je uspešna, če je geslo preprosto (npr. janez123), vsekakor pa je neuspešna ob zapletenih geslih (npr. 53hs624da3k5).

(50) Bert-Jaap Koobs: The Crypto Controversy, A Key Conflict in the Information Society. University of Technology, 1999, str. 235.

(51) Murray v. United Kingdom, Evropsko sodišče za človekove pravice, app. no. 18731/91, 1996.

(52) Prav tam, paragraph 51.

(53) Prav tam, paragraph 57.

(54) Bert-Jaap Koobs: The Crypto Controversy, A Key Conflict in the Information Society. University of Technology, 1999, str. 192.

(55) Odločba Ustavnega sodišča Up-743/03 z dne 9. 3. 2004, paragraf 5.

(56) Lep primer je uporaba usmerjenih (angl. directional) mikrofonov, ki lahko prikrito snemajo pogovor na oddaljenosti stotih metrov.

Literatura:

1) Hal Abelson, Ross Anderson, Steven Bellovin, Josh Benaloh, Matt Blaze, Whitfield Diffie, John Gilmore, Peter Neumann, Ronald Rivest, Jeffrey Schiller, Bruce Schneier: The Risk of Key Recovery, Key Escrow, and Trusted Third Party Encryption. World Wide Web Journal, 2 (1997) 3, str. 241–257.

2) Ameriška Nacionalna varnostna agencija: CNSS Policy No. 15, Fact Sheet No. 1, National Policy on the Use of the Advanced Encryption Standard (AES) to protect National Security Systems and National Security Information - Committee on National Security Systems, 2003. (9. 2. 2013).

3) David Balenson, Carl Ellison, Steven Lipner, Stephen Walker: A New Approach to Software Key Escrow Encryption, v: Lance Hoffman: Building in Big Brother: The Cryptographic Policy Debate (str. 180–207). Springer-Verlag, New York 1995.

4) Neil Barrett: Digital Crime, Policing the Cybernation. Kogan Page, London 1997.

5) Black's Law Dictionary Online. Termin »data encryption«. Internetni vir pridobljen 22. 20. 2013 na: http://thelawdictionary.org/.

6) Jonathan Clough: Principles of Cybercrime. Cambridge University Press, Cambridge 2010.

7) Don Coppersmith: The data encryption standard (DES) and its strength against attacks. IBM Journal of Research and Development, 38 (1994) 3, str. 243–250.

8) Dorothy E. Denning, William E. Baugh: Cases involving encryption in crime and terrorism. Georgetown University, Washington 1997. Spletni vir pridobljen 11. 2. 2013 na:

.

9) Hanni Fakhoury: A Combination or a Key? The Fifth Amendment and Privilege against Compelled Decryption. Digital Evidence and Electronic Signature Law Review 9 (2012), str. 81–87.

10) Fisher v. United States, 425 U. S. 391 (1976). Odločba vrhovnega sodišča ZDA.

11) Stanley Fisher, Arthur Leavens: Massachusetts Criminal Practice: Witness's Privilege Against Self-Incrimination. New Law Publishing, Massachusetts 2011.

12) Helen Fouche Gaines: Cryptanalysis: A Study of Ciphers and Their Solution. Dover Publications, New York 1956.

13) Friscou v. United States, No. 10-cr-00509-REB-02 (2012). Ameriško zvezno sodišče v Koloradu.

14) In re Grand Jury Subpoena to Sebastian Boucher No. 2:06-mj-91, 2009 WL 424718 (D. Vt. 2009). Odločba ameriškega zveznega sodišča v Vermontu.

15) Islovar – Terminološki slovar informatike. Fakulteta za ekonomijo, Ljubljana 2012.

16) John Layden: Brazilian banker's crypto baffles FBI. Theregister.co.uk. Spletni vir pridobljen 1. 2. 2013 na:

.

17) David E. Kaplan, Andrew Marshall: ’The Cult at the End of the World’. Crown Publishers, New York 1996.

18) Kazenski zakonik KZ-1 z novela KZ-1A in KZ-1B (KZ-1-UPB2). Uradni list RS, št. 50/2012, z dne 29. 6. 2012.

19) Bert-Jaap Koobs: Crypto Law Survey, 2010. Spletni vir pridobljen 7. 3. 2013 na:

.

20) Bert-Jaap Koobs: The Crypto Controversy, A Key Conflict in the Information Society. University of Technology, Eindhoven 1999.

21) Mitja Kovačič: Zasebnost v informacijski družbi. Teorija in praksa, 37 (2000) 6, str. 1019–1034.

22) Mitja Kovačič: Nadzor in zasebnost v informacijski družbi. Znanstvena knjižnica Fakultete za družbene vede, Ljubljana 2006.

23) I. Krumpak, Državnotožilski vidik problematike digitalnih dokazov, v: Digitalno dokazovanje. Pravna fakulteta v Mariboru, 2012, str. 48–59.

24) Gorazd Kušej, Marjan Pavčnik, Anton Perenič: Uvod v pravoznanstvo. Uradni list RS, Ljubljana 1992.

25) Stephen Mason: Encrypted Data. EDDE Journal, (2011) 2/4, str. 2–10.

26) Stephen Mason (ur.): Electronic Evidence, tretja izdaja. LexisNexis, Butterworths 2012.

27) Murray v. United Kingdom, Evropsko sodišče za človekove pravice, app. no. 18731/91, 1996.

28) Odločba Ustavnega sodišča Up-1678/08 z dne 15. 12. 2009.

29) Odločba Ustavnega sodišča Up-1678/08 z dne 2. 7. 2009.

30) Odločba Ustavnega sodišča Up-743/03 z dne 9. 3. 2004.

31) Odločba Ustavnega sodišča U-I-18/93 z dne 11. 4. 1996.

32) S & Anor, R v [2008] EWCA Crim 2177 (9. 10. 2008). Mnenje sodnika Stephensa QC, vrhovno sodišče Združenega kraljestva.

33) Regulation of Investigatory Powers Act (Zakon o ureditvi preiskovalnih pooblastil). Zakonodaja Združenega kraljestva, sprejeta leta 2000. Spletni vir pridobljen 11. 10. 2012 na: http://www.legislation.gov.uk/ukpga/2000/23/contents.

34) Katja Šugman Stubbs, Primož Gorkič: Dokazovanje v kazenskem postopku. GV Založba, Ljubljana 2011.

35) Truecrypt.org, AES Encryption Alghorithm. Uradna domača stran programa Truecrpyt, 2012. Spletni vir pridobljen 22. 4. 2013 na: .

36) United States v. John Doe, Nos. 11-12268 & 11-15421 (2012). Odločba ameriškega zveznega pritožbenega sodišča na Floridi.

37) Tone Vidmar: Računalniška omrežja in storitve. Atlantis, Ljubljana 1997.

38) Philip Zimmerman: Testimony of Philip R. Zimmermann to the Subcommittee on Science, Technology, and Space of the US Senate Committee on Commerce, Science, and Transportation (26. 6. 1996). Spletni vir pridobljen 12. 9. 2012 na:

(3. 5. 2013).

39) Zakon o kazenskem postopku. Uradno prečiščeno besedilo ZKP-UPB4. Ur. l. RS, št. 32/2007, z novelama ZKP-I, Ur. l. RS, št. 68/2008, z dne 8. 7. 2008, ZKP-J, Ur. l. RS, št. 77/2009, z dne 2. 10. 2009 in ZKP-K, Ur. l. RS, št. 91/2011, z dne 14. 11. 2011.

40) Boštjan Zupančič, G. Klemenčič, P. Pavlin, A. Jaklič, P. Toškan, B. Rejc, S. Sever, A. Auersperger, N. Peršak, M. Jelenčič Novak, A. Zidar, A. Erbežnik, B. Makarovič, P. Mahnič, M. Pezdirc: Ustavno kazensko procesno pravo, tretja izdaja. Pasadena, Ljubljana 2000.

41) Earl Warren: An Analysis of In re Grand Jury Subpoena Duces Tacum (United States v. Doe): Does the Fifth Amendment Protect the Contents of Private Papers? Pace Law Review 15(1), 1994, str. 301–324.

Datum zadnje spremembe:

23.01.2017

Pravno sporočilo

Polno besedilo članka je v bazi SOSC objavljeno z dovoljenjem avtorja in izdajatelja publikacije ter je avtorsko pravno zaščiteno.

Podobni dokumenti:

• Zbornik radova Pravnog fakulteta u Splitu 4/2009, str. 667
• Dignitas 65-66/2015, str. 9.
• JRMP 1-3/73 str.169