Magyarországon törvény tiltja a publikus kulcsokkal való titkosítást

Tudtad-e, hogy...

Egy érdekesség:

Az alábbi oldalon olyan információra bukkantam, ahol országonként megvizsgálják vajon törvénybe ütköző cselekedet-e a publikus kulcsokkal való titkosítás.

http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#hu

Magyarországnál az alábbit írja (kiemeltem):

Domestic laws and regulations
------------------------------
A provision in the Hungarian Digital Signature Act (text in Hungarian), which entered into force on 1 September 2001, holds that signature-creation data (such as a cryptographic key) shall not be used for other purposes than signing. The ministerial reasoning explains that the intention of this is to prohibit the use of private keys for cryptographic purposes, in the interest of national security. (Note that cryptographic keys not used for creating signatures can be used for encrypting.)

Belföldi törvények és rendelkezések
------------------------------------
Egy rendelkezés előírása szerint ... -amely 2001 szeptemberében lépett hatályba- előírja, hogy a digitális aláírással ellátott adatot (ilyen a titkosított kulcs) tilos más egyébre használni mint aláírásra. A minisztérium magyarázata szerint a céljuk ezzel megtiltani a privát kulcsok felhasználását titkosítási célokra nemzetbiztonsági okokból stb stb stb...
---------------------

Egyébként a PuTTY honlapjáról keveredtem ide.

Tud valaki bővebbet erről? Nem mintha nagyon zavarna a rendelkezés, de azért jó tudni, hogyha mondjuk az ember letitkosítja a számítógépén a céges adatokat, akkor vajon egy bírosági eljárás során elmarasztalhatják-e információ visszatartása végett? Vagy a két dolog nem áll szoros kapcsolatban?

Jó, gondolom az infót mindenképpen ki kell adni az illetékes hatóságnak -legyen az bármi, ami az eljárás elősegítését szolgálja. De általánosságban vajon milyen jogaink vannak az adataink titkosítására?

  • 8158 megtekintés

( andrej_ v | 2007. 09. 18., k – 22:38 )

Ennyi erővel semmilyen https weboldal nem működhetne és a VPN-ek sem, nemhogy az esesha. Van erről bármilyen konkrét hazai forrás?

Én ezt találtam: 2001. évi XXXV. törvény az elektronikus aláírásról
URL: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0100035.TV&kif=al%E1%E…

Szerintem ebben a digitális aláírást nyújtó, illetve az aláíró hitelességét tanúsító szervezetekről esik főleg szó.

Keresgélni itt lehet: http://www.magyarorszag.hu/kereses/jogszabalykereso/pf/SearchLaw/

Ha jól megnézed, valahol pont ez lenne a cél, tehát a nemzetbiztonsági kutyafüle részére az ssh -t futtatod a 22 porton és bannerben kirakod a user+passwd párost is.
Az más kérdés, hogy az üzemeltetőnek kötelessége hozzáférést biztosítani az adatokhoz, dehát hazánkban csak CUA* van, CIA nincs.

__

Nem létező fájl vagy könyvtár while trying to determine device size

Speciel nem olyan szervezetre vagy vállalkozásra gondoltam, amik nyilvános szervert üzemeltetnek.

A dolog azon része érdekel, hogy a privát adataimat tárolom mondjuk egy nyilvános szerveren de titkosítva. Vagy saját szervert üzemeltetek, amelyhez hozzáférést biztosítok mások számára.

( gi_joe | 2007. 09. 18., k – 22:58 )

nem neztem meg a torveny szoveget egyelore, de az altalad idezett szoveg zarojeles reszet ha elolvasod, azt tartalmazza, hogy kizarolag az alairasra hasznalt kulcsokra vonatkozik a tilalom. vagyis direkt hdd titkositasra generalt kulccsal valo titkositas nincs tiltva.

egyebkent ha a birosag keri a kulcsot elmeletileg koteles vagy kiadni, ez alol azzal lehetne kibujni, hogy ezzel magad ellen terhelo bizonyitekot adnal a birosag kezebe. bar ketsegeim vannak, hogy ez megallna a helyet egy perben, de meg lehet probalni.

az adataid titkositasara minden jogod megvan, sot az adatbiztonsag megteremtese bizonyos (jogi) szemelyek szamara kotelezo, bar nem mondanam, hogy ez alatt a hdd titkositasat is ertjuk, de mindenesetre biztos nem tilos.

remelem jol ertettem a kerdesed, es sikerult ra valaszoljak

Ez igaz. Mondhatom hogy nincs meg a kulcs, nem tudom mi van rajta stb.

De ugye abból indul ki az ember, hogy ők sem hülyék. Ha bemegy valamelyik illetékes szerv az ember irodájába aki abban a pillanatban kirántja a falból a dugót vagy kikapcsolja a gépét, akkor nyilvánvaló hogy az ember a gépén dolgozott, vagyis az övé.

Ezért kérdezem, hogy mit mond a törvény egy nyilvánvaló helyzetről, ahol egyértelmű hogy a kliens adatot tart vissza titkosítással, és mondjuk kulcsfontosságú lenne. De lehet hogy nagyon kisarkítom a dolgot.

Ha nem működsz együtt, akkor az rossz pont.
Akkor már egyszerűbb, ha rájuk kensz valamilyen károkozást. Pl. legyen a dekriptáláshoz szükséges jelszó USB kulcson, vagy CD-n, és mindig legyen a gépben egy USB kulcs, vagy CD. De ne a jó USB kulcs! Legyen benne egy olyan, amit előzőleg elrontottál (vagy megkarcoltál). Amikor elviszik a gépet, akkor is a karcolt CD, vagy szétégetett kulcs lesz benne, és egyszerűen rájuk kened majd, hogy ők tették tönkre.

Ugye gpg-vel (vagy pgp-vel) elláthatom az adatot digitális aláírással. Ehhez a privát kulcsomat használom (használja). Tehát persze hogy olyan kulccsal titkosítanék, amit digitális aláírásra is használhatok.

Szóval szerintem nem biztos hogy csak olyan titkosításra vonatkozik a törvény, amely esetben az adat a titkosítás mellett digitális aláírással is el lett látva.

A hdd titkosítás gondolom nem privát/publikus kulcs párt használ.
http://www.infoanarchy.org/en/Hard_Disk_Encryption
Itt azt írja, hogy egy jelszó kell, amit a memóriában futó rezidens program használ a titkosításra (vagy magát a jelszót gondolom, vagy egy azzal kibontott akármilyen hosszú másik jelszót). Szóval ez szimmetrikus titkosításra enged gondolni.

Ja igen. Én értettem fordítva :)

De ez is érdekes kérdés lenne, hogy ha nem publikus, hanem egy sima szimmetrikus jelszavas védelemmel titkosítok. Az is lehet 1024 vagy sok bites, ott vajon mit mondhat a törvénykezés? Mert azt sem törik fel, ha úgy van megcsinálva vaószínűleg...

na atfutottam a citalt a torvenyt:

a tv nem alkalmazhato a nem fokozott biztonsagu alairasra. tehat eleve kiesnek a gpg-vel (stb.) hazilag generalt, nem minositett kulcsok.

a tv-ben nem talaltam utalast sem az emlitett tilalomra, a birsagok kiszabasanal sem. ennyi van amit el lehetne ferditeni ilyesmire nagyon eroltetve:

"2. A biztonságos aláírás-létrehozó eszközöknek nem szabad az aláírandó elektronikus dokumentumot az aláírás elhelyezéséhez szükséges mértéken felül módosítaniuk, illetőleg nem akadályozhatják meg azt, hogy az aláíró a dokumentumot az aláírási eljárás előtt megjelenítse."

de ez teljesen masrol szol.

2 dolog lehet szvsz. vagy a (reszben pont 2007-ben) hatalyon kivul helyezett, illetve modositott n+1 szakaszban volt ilyen megkotes, hogy a minositett, fokozott biztonsagu kulccsal csak alairni lehet dokumentumot, vagy az idezett leiras valami felreforditas eredmenye. mindket eset elofordulhat. meg az is, hogy en voltam a vaksi;) de szerintem mar elegendo mennyisegu audit reportba beleirtuk, hogy hasznaljanak titkositast, valakinek feltunt volna, hogy marhasagot irunk;)

es ezekre jon ra, amit eleve irtam, hogy a digitalis alairas eleve egyfajta titkositasi eljaras, tehat nem lehet technikailag valamit ugy alairni, hogy nem titkositod.

Érdekes egy kérdés ez, így végigolvasva a hozzászólásokat.
Mondjuk az, hogy ki kell adni a kulcsokat egy bírósági ügy esetén, ez szerintem elég gáz.

egyebkent ha a birosag keri a kulcsot elmeletileg koteles vagy kiadni, ez alol azzal lehetne kibujni, hogy ezzel magad ellen terhelo bizonyitekot adnal a birosag kezebe. bar ketsegeim vannak, hogy ez megallna a helyet egy perben, de meg lehet probalni.

Ha mondjuk egy számítógép merevlemeze titkosítva van ilyen eljárással, és lefoglalják a számítógépet, mennyire hivatkozhatok arra, hogy elveszett a kulcsot tároló adathordozó (ha annyira kell, törjétek fel), elfelejtettem a jelszót, vagy bármi más? Vajon az, ha nem tudom kiadni a szükséges a kulcsokat (mert mondjuk elveszett), vagy nem akarom, az egy bírósági eljárás során ugyanazt jelenti? Egyáltalán valamilyen módon el lehet kerülni, hogy ki kelljen adnia szükséges adatokat?

(Nem, nem vagyok érintett semmi ilyenbe, csak a hozzászólások után megpróbáltam végiggondolni, hogy esetleg mivel lehetne próbálkozni.)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

nem tudok ilyen precedensrol, de a tanu koteles mindenben egyuttmukodni a birosaggal, vagy a nyomozo hatosaggal, illetve a hamis tanuzast a torveny szigoruan bunteti. ez alol egyetlen kivetel van, amikor a vallomas megtagadhato, ti. ha sajat magara, vagy kozeli hozzatartozojara lenne koteles terhelo vallomast tenni az ember. ezert mondtam, hogy meg lehetne probalni.

ugyanakkor tudni kell, hogy mivel nincs precedens, van egy masik analogia is. megpedig, az ittas vezetes gyanujaval eloallitott sofor, koteles elturni a vervetelt, abban koteles kozremukodni.

attol fugg tehat, hogy minek fogjak szamitani a kulcsot. vallomasnak, vagy vervetelnek. utobbi esetben nincs kibuvo, elobbi esetben a havert nem huzhatod ki igy a szarbol, de magadat igen. fogadni egyik verziora se mernek.

szerk: ja igen, a vetkessegi alakzat: lehet szandekos es gondatlan, illetve lehet vetlen is. a szandekossagot nehez bizonyitani, a korulmenyeket veszik figyelembe. ha nem valoszinusitheto, hogy szandekosan felejtetted el a kulcsot, akkor ezert nem buntethetnek meg.

( log69 | 2007. 09. 18., k – 23:25 )

Még annyit, hogy ha az általam adott oldalon tovább olvasunk, láthatjuk hogy sok országnál egy licenc engedélyt kell igényelni az illetékes szervtől, akik hozzá adják a használható titkosító kulcsokat. Vagyis a kormány által hozzáférhető lesz az adat. Legalábbis ez lenne a céljuk.

Az USA törvénykezése egyébként elég érdekes a kilencvenes évekig visszamenőleg. Sajnos nem találom az oldalt, ahol olvastam erről, egy eldugott sima txt fájl volt az usa.gov vagy valami hasonló oldalon.

A lényeg az volt, hogy a kilencvenes évek elejétől az USA-ban szigorúan tiltani akarták az erős titkosítás használatát nemzetbiztonsági okokra hivatkozva -mindenki számára. Sok kormányfő próbálta végigvinni ezt az elgondolást a 2000-es évekig (az évszámaim nem pontosak), míg végül feladták (érthető módon, mivel nem képesek mindenkit az irányításuk alatt tartani) és valahogy úgy áll ma a helyzet, hogy engedélyezték az erős titkosítást, de csak a privát szférában. Azért utánanézek a linknek később.

Azért az mindenki számára hihetetlen pozitív szerintem, hogy a mai világunkban, ahol egyre jobban szorul ki a privát szféránk védelme a kezünkből, a matematika mégis megoldást nyújt egy olyan módszerre, amellyel mindenki könnyedén védheti elégséges módon az adatait. De csakis akkor, ha ez nem törvényellenes az adott országban. Ezért fontos szerintem ennek a tisztázása.

Mivel a kulcs-hossz növelésével exponenciálisan nő a dekódoláshoz szükséges idő, azért annyira nem lenne nehéz olyan szintű titkosítás egy olcsó géppel sem, ami meghatározott időn és rászánt összegen belül nem lehet / éri meg feltörni. Szóval ettől nem félek..

( m0csi | 2007. 09. 19., sze – 00:18 )

Pont ezt kerdeztem tegnap a Flameben, legalabb mostmar tudom a valaszt is....

( tamsa | 2007. 09. 19., sze – 07:38 )

Basszus akkor én rendszeresen törvényt sértek amikor partner cégeknek belső (titkos) anyagot Emailben az Ő (és az én) publikus kulcsával titkosított k* hosszú jelszóval titkosított és nem mellesleg ugyan ahhoz a kulcshoz tartozó privát kulccsal aláírt levélvben küldök el!
Tessék ide lehet lőni!
--nyilatkozat--
Tisztelt kutakodó hatóság ezt tekinthetik beismerésnek, de a biztonsági szabályzatunk ezt követeli meg
Tapsonyi Tamás
--nyilatkozat--

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

( MGy v | 2007. 09. 19., sze – 09:49 )

Nem azt tiltja a törvény, hogy bármilyen kulccsal titkosítsunk, hanem azt, hogy a digitális aláíráshoz kapott kulcspárral.
Ha jól emlékszem ráadásul úgy fogalmaz, hogy az aláírásra használt kulcsot nem szabad titkosításra használni, ami azért hülyeség, mert aláírásra a titkos kulcsodat használod, amit nem alkalkalmas titkosításra, hoszen arra a nyilvános kulcsot (tipikusan a címzettét) kell használni.
Ha tehát valaki generál magának egy kulcspárt használhatja egészséggel.

"...az aláírásra használt kulcsot nem szabad titkosításra használni..."
Ez a lényeg. Ebben a mondatban (is) kulcson az egész kulcsot értik (tehát adott esetben a kulcspárt).Aláírásra használt kulcsot (kulcspárt) nem szabad titkosításhoz felhasználni, és vice versa.
Méghozzá a felhasználó biztonsága szempontjából: ugyanis ha van egy rejtjeles üzenet, amit meg akarnak ismerni, és ugyanazzal a kulcspárral digitális aláírások is készülnek, akkor megfelelően választott tartalmú dokumentumok digitális aláírásából (aláírattatásából!) megfejthető a rejtjeles üzenet.

Biztos én vagyok az értetlen, de ha titkosított levelet küldök akkor én úgy állítom be, hogy az én és a címzett(ek) publikus kulcsiaval történjen a titkosítás (pontosabban a szimmetrikus kulcs titkosítása nem pedig a teljes üzeneté)

Így gyakorlatilag, ha X, Y, és Z Publikus kulcsával no meg a sajátoméval jól betitkosítom a szimmetrikus titkosítás jelszavát és a saját privát kulcsommal jól betitkosítom az üzenet ellenőrző összegét (gyk.: ezt nevezzük digitális aláírásnak) akkor most Én szegtem vagy varrtam ?

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

Legalábbis az egy erősebb támadási forma, hogy a rejtjelezőt tetszőleges inputtal működtetheted, mintha csak titkosított üzeneteket látsz. Nem feltétlenül könnyű így megfejteni egy kulcsot, de elméletileg mindenképp könnyít.

( gee v | 2007. 09. 19., sze – 11:34 )

Azert jo lenne, hogy ha az angol szoveget vegig leforditanad, azt a reszet is, ami arrol szol, hogy lehet hasznalni azokat a kulcsokat, amelyek nem alairasra szolgalnak.

Egyebkent technikailag szerintem hulyeseg, mert a lenyeg az, hogy a privat kulcs van nalam, es akar alairok, akar titkositok, a publikus kulcs van kizarolag a tobbieknel.

Egyebkent nem lennek meglepve, ha ez a szovegreszlet nem mindenfele alairasra/kulcsra vonatkozna, csak arra a dologra, amit nalunk digitalis alairasnak hivnak. Ez az a chipkartyas hivatalos tanusitvannyal alairt kulcs, amit hivatalos dokumentumok alairasara lehet hasznalni.
Egy ugyved haverom pl. nehezen ertette meg, hogy a digitalis alairas az tagabb kor annal, mint amire o gondol, pl. van olyan alairas, amihez nem tartozik hiteles idobelyegzo, stb.

G