Про ключи. Юридическое

[dil]

Наказуема ли по российским и международным законам публикация конкретных ключей к известным алгоритмам?

Ну, например, некая компания A***e решила раздать всем желающим SDK для написания приложений к выпускаемой ей железяке i****e, но реально приложения будут запускаться только после того, как установленная в этой железяке операционная система проверит правильность электронной подписи приложения с помощью широко известного алгоритма и широко известного публичного ключа. А подписывание производится компанией A***e при помощи известного же алгоритма и очень секретного ключа. Так вот, скажем, хакер каким-либо образом этот секретный ключ подобрал и выложил в публичный доступ.

Спрашивается: как квалифицируется его деяние с юридической точки зрения? Ну, кроме косвенного нанесения экономического ущерба?

Comments

[webushka.livejournal.com]

Скорее всего квалифицируется аналогично входу под чужим аккаунтом - неправомочныый доступ к системе. В штатах могут и DMCA припаять.

[dil.livejournal.com]

А нету ни системы, ни входа. Есть последовательность цифр, которую можно использовать определённым образом для неправомочных действий. Но сам по себе публикатор их вообще никак не использовал.

Вот, скажем, Закон об авторском праве предусматривает наказание за несанкционированное изготовление, распространение и т.п. технических средств, направленных на обход защиты. Но ключ - это же не техническое средство.

Про Штаты я примерно так и предполагал, но меня больше интересует Россия и действующие в ней международные законы.

[motto.livejournal.com]

может, как коммерческая тайна?

[nikulina.livejournal.com]

Только если он этот ключ украл. Иначе -
http://dil.livejournal.com/609036.html?thread=3481868#t3481868

[dixi.livejournal.com]

по-моему в самом простом случае компания объявляет ключ своей интеллектуальной собственностью.

[dil.livejournal.com]

Боюсь, не прокатит.
http://www.sbras.nsc.ru/intellectual/preface/about.htm

[dixi.livejournal.com]

не очень однозначно.
код программы - интеллектуальная собственность?
ключ как часть кода программы тоже можно привязать, если исхитриться.

но вообще, если до дела дойдёт, там лойеры такого понавертят...

[dinozavr.livejournal.com]

Может еще прокатить, но спорно: ст. 146 УК РФ («Нарушение авторских или смежных прав»)
В Басманном суде прокатит.

Я сугубый дилетант в данном вопросе. Если очень надо, vfhnsirf является профессиональным юристом в области авторского права и интеллектуальной собственности, юрфак МГУ, автор книг.

[alec_v.livejournal.com]

Вероятно:
272 УК РФ - неправомерный доступ к компьютерной информации
по Закону о коммерческой тайне - разглашение коммерческой тайны. Но его сложно применить если не было взаимодействия между потерпевшим и ответчиком, например если бы ответчик работал на фирму и разгласил.

А если ответчик объявит, что этот ключ является авторской работой, то вообще труба :)

[alec_v.livejournal.com]

183.2 УК РФ - незаконное разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца.

[dil.livejournal.com]

Во-первых, не было никакого доступа.
Во-вторых, ст. 272 - о доступе к _охраняемой законом_ компьютерной информации. Так что в любом случае надо еще какой-нибудь закон найти.

Про коммерческую тайну - не катит.
"2. Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности, считается полученной законным способом несмотря на то, что содержание указанной информации может совпадать с содержанием информации, составляющей коммерческую тайну, обладателем которой является другое лицо."

[motto.livejournal.com]

при длинном ключе это очень трогательный юридический казус выходит

с одной стороны, презумпция невиновности и все такое прочее
с другой -- если речь идет о нормальном ключе, то поверить в перебор или другие легальные способы -- как-то уж очень затруднительно

[scarabeus.livejournal.com]

Многий софт при установке говорит о том, что "запрещается дизассемблирование кода". Если ключ был подобран именно так - это нарушение лицензионных требований, то бишь договора между вендором и пользователем.
А дальше - всё зависит от технической экспертизы.

Вон, автора бесплатного сервера для игры World of Warcraft засудить пытались, мотивируя тем, что при обыске нашли у него на компьютере "изменённую версию файла". Я не следил особо, правда, поэтому не знаю, чем там дело кончилось - но в России такое вполне могло прокатить.

[dil.livejournal.com]

В моем примере алгоритмы подписывания и проверки были известные и публичные, а секретным был только приватный ключ.

[alec_v.livejournal.com]

Про коммерческую тайну - не катит.
"2. Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности,

Если в результате исследований была открыта "формула теплорода", то это конечно независимый результат.

Но если явно указано - "этот ключ подходит для подписи продуктов ХХХ" то налицо умышленное разглашение коммерческой тайны компании ХХХ без согласия владельца с целью нанесения ХХХХ крупного ущерба и урона деловой репутации.

[alec_v.livejournal.com]

http://www.krikunov.ru/publications/tayna.htm

...должно быть подтверждено, что виновный использовал сведения в корыстных целях, в результате чего причинен крупный ущерб. Этот ущерб может выражаться в убытках, понесенных обладателем разглашенной коммерческой тайны, сокращении числа его клиентов и т. д.

Под корыстными целями и мотивами виновного понимаются его стремление получить материальную выгоду, личная сознательная заинтересованность в причинении крупного ущерба, а также месть, зависть, обида.

[dil.livejournal.com]

Ущерб, очевидно, причинён. А вот с корыстными целями напряжёнка. Хакер действовал из альтруистических побуждений, он просто хотел, чтобы все могли запускать свои приложения на своих телефонах, и всё :)

Ну вот как один норвежский паренёк чиста хотел посмотреть честно купленный DVD под линуксом, а ему не давали. Совершенно никаких корыстных побуждений же :)

[alec_v.livejournal.com]

Попробуй сформулировать отмазку "Я знал, что мои действия нанесут ущерб, но действовал из бескорыстных целей, даже ничего личного". Вопрос - зачем, с какой целью ? Шизофрения получается. Или вражда и ненависть к фирме.

В случае DVD как раз и сыграло то, что DVD был честно куплен в магазине. Интерес был, но он оказался допустимым для частного использования (домашний просмотр).

А вот уже публикацию ключа DVD обяснить гораздно сложнее.

[dil.livejournal.com]

"Я совершенно не задумывался о возможном ущербе, и действовал из бескорыстных целей, я хотел дать всем разработчикам возможность запускать разработанные ими приложения на честно купленных телефонах, потому что искренне не понимаю, почему производитель железяки, за которую они ему честно заплатили (и я тоже) не дал им этой возможности" ;)

[dil.livejournal.com]

Да, подходит, и именно в качестве такового он был опубликован.
Но пока не будет доказано, что ключ был украден или иным неправомерным способом получен у компании A***e, хакер может утверждать, что он его подобрал путём независимых исследований и наблюдений. А значит, в соответствии с этим пунктом закона, не является коммерческой тайной, хотя по содержанию с ней и совпадает.

[alec_v.livejournal.com]

Фишка состоит в том, что хакер знал, что информация "ключ" является коммерческой тайной компании A***e но однако разгласил его в корыстных целях (например из зависти или из чувства вражды ;) с целью нанести A***e ущерба.

То что он знал - явно написано "это ключ компании A***e"

Корыстный характер (зависть и чуство вражды) надо доказывать. Например из переписки "A***e - отстой" ;)

[rzab.livejournal.com]

А при чем тут A***e?
Я на этом посте заметил, что жж теперь в странички вставляет

<link rel="apple-touch-icon" href="http://stat.livejournal.com/img/apple-touch-icon.png" />

A***e ото всех требует особого внимания? :-)

[dil.livejournal.com]

Ни при чём, это чисто для примера. А про жж - это совсем не ко мне :)

[dinozavr.livejournal.com]

IMHO в РФ как
1) ч.1 ст.273 УК РФ
2) "соучастие в" - и далее подставить то, за что судят подельников.

После двух лет условно автору Sable у меня нет сомнений, что суд и приговор будет.

"Возможно, часть нарушителей
действительно заблуждалась по
поводу вредоносности программы.
Однако теперь, после вынесения
официального приговора автору,
иллюзий по поводу судебной ква-
лификации ее распространения
и использования не будет.
Хочется надеяться, что другие
распространители успеют принять
правильное решение до визита
к ним сотрудников правоохрани-
тельных органов."
http://www.rarus.ru/company/antipiracy/bulletin3-2005.pdf


Далее смотрим как пошли судить за распространение Sable.exe :

" В указанный период времени К.К.В., реализуя свой преступный умысел, приобрел у неустановленных лиц и в целях сбыта разместил на принадлежащем ему ftp-сервере с адресом ftp://server.udm.ru вредоносные компьютерные программы Sable.exe, hasp95dl.vxd, RHASPEMU.EXE, Kompas511R03_Cr.exe, komp_dump.reg, которые позволяют в полной мере использовать функции программных продуктов «1C: Предприятие 7,7» и «Компас 3D 5:11» без подтверждения их лицензионности.

27 апреля 2005 года около 16 час. 30 минут К.К.В. незаконно распространил размещенные у него на FTP-сервере вредоносные программные продукты Sable.exe, hasp95dl.vxd, RHASPEMU.EXE, Kompas511R03_Cr.exe, komp_dump.reg, rp. Н-вой, которые та, пользуясь представленным К.ым К.В. свободным доступом к указанной информации, скопировала на персональный компьютер, установленный по адресу: г. Ижевск, ул. Пастухова xx–xx. В связи с этим оператором связи ООО «Н-интернет» было произведено автоматическое списание денежных средств со счета Н-вой М.Н. в размере 1 рубля 41 копейки, после чего согласно условиям «Партнерской программы» 50%, то есть 70 копеек, было перечислено на счет К.К.В. в ООО «Н-интернет».

Своими незаконными умышленными действиями К.К.В. причинил правообладателям ЗАО «1C Акционерное общество» ущерб на сумму 64 677 (шестьдесят четыре тысячи шестьсот семьдесят семь) рублей 54 копейки, ЗАО «АСКОН» 169 605 (сто шестьдесят девять тысяч шестьсот пять) рублей 05 копеек."

Резюм:

"Суд приходит к выводу о соблюдении условий постановления приговора без проведения судебного разбирательства, а также к выводу о том, что обвинение, с которым согласился подсудимый, обоснованно, подтверждается доказательствами, собранными по уголовному делу.

Действия подсудимого <..>

Его же действия суд квалифицирует по ч.1 ст.273 УК РФ — распространение программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации.

• по ч.1 ст. 273 УК РФ, с применением ст. 64 УК РФ, в виде 6 месяцев лишения свободы без штрафа.

Взыскать с осужденного К.К.В. в счет возмещения причиненного ущерба в пользу ЗАО «1C Акционерное общество» 64 677 рублей 54 копейки.

Вещественные доказательства, хранящиеся в прокуратуре Удмуртской Республики; три компакт-диска, один DVD-диск, после вступления приговора в законную силу, уничтожить, системный блок компьютера — возвратить осужденному К.К.В
"
http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=2500

и то учитывая, что трудоустроен и характеризуется положительно.



вообще Гугл приносит море материала, его можно еще поспрашивать о судебной практики более релевантных вещей (ключей например).

[dil.livejournal.com]

ну тут - распространение программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации.
А ключ же не программа.

[dinozavr.livejournal.com]

Ключ могут квалифицировать как часть программы.

Также - универсальный путь - орудие совершения преступления, следовательно соучастие.

Оба пути у меня вызывают сомнения, но проверять на себе я бы не стал. Надо выложить - выложи анонимно. imvho.

[crypttales.livejournal.com]

272-я УК прекрасно ложится в это дело, даже без особых натяжек со стороны следствия и самого басманого суда в мире.

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети

1. "Информация внутри телефона" ;) охраняется законом об авторском праве.
2. Доступ к ней неправомерный, т.к. существует известный и объявленный правообладателем порядок доступа к ней, который нарушается с помощью ключа.
3. Информация на машинном носителе или ЭВМ - выбирайте сами, суд признает ЭВМом и мобилу, и микроволновку, и i****e, если в них есть процессор, прецеденты есть.
4. Деяние повлекло модификацию охраняемой информации.

Примерно такой ход рассуждений. Справедливости ради, он окажется недоступен 90% следователей и судей, поэтому впаяют покушение на основы конституционного строя - так понятнее ;)

Есть, правда, важная деталь - публикацию ключа не есть его использование, но и понятие пособничества никто не отменял...

[dil.livejournal.com]

1. Какая информация внтури телефона была задействована?
2. Какой порядок доступа, установленный правообладателем, был нарушен?
4. Притянуто за уши. Публикация ключа ничего не модифицирует.

[crypttales.livejournal.com]

1. Файлы конфигурации, "реестр" или что там в i****e вместо него. Было бы желание - информация найдется.
2. Порядок внесения изменений в файлы конфигурации.
4. См. примечание про пособничество. Для карателей здесь засада в другом - будет необходимо доказать четкую причинно-следственную связь, между размещением ключа и взломом конкретного экземпляра.

Вообще дискуссия слегка бессмысленная. Вы рассуждаете с позиций буквального прочтения закона, я - с позиций того, как его можно трактовать и применять. Точный ответ на Ваш вопрос - это практика применения, а не буквальное прочтение. Предусмотрите в вариантах ответа, кроме true/false еще и undefined. Хотя в российских реалиях правильнее использовать randomize ;)