<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2015-04-04 1:40 GMT+03:00 ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Many here will likely decline to follow the Bridges / Force arrests in USA, but in short, the two federal agents who were chasing the "Silk Road" website for bad stuff were also raiding the pot.<br>
<br>
<a href="http://techcrunch.com/2015/04/01/feds-nabbed-for-big-bitcoin-heist-involving-gox-and-silk-road/#BhiiWz:b5eO" target="_blank">http://techcrunch.com/2015/04/<u></u>01/feds-nabbed-for-big-<u></u>bitcoin-heist-involving-gox-<u></u>and-silk-road/#BhiiWz:b5eO</a><br>
<br>
At one point, they arrested an employee of the website and got the admin password from him.  They then proceeded to raid the value that was escrowed within (customer funds) and sell it through an exchange provider - Mt.Gox.  Once they had extracted all the cash out via this exchange provider they proceeded to shut it down for running an unlicensed money transmitter ... you can't make this stuff up.<br>
<br>
But the crux of this particular theft was getting the password to the accounts on silk road.  Now, passwords are "obviously" evidence that has been seized.  But how do you protect the chain of custody?  You can't exactly put it in an evidence bag ... or you can but that is not protecting it if one of the agents has copied it.<br>
<br>
Does anyone know how the cops secure the password?  Or have they not yet begun to deal at this level.<span class="HOEnZb"><font color="#888888"><br>
<br>
iang<br>
______________________________<u></u>_________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/<u></u>mailman/listinfo/cryptography</a></font></span></blockquote><div><br></div><div><br></div><div>Its possible to literally put passwords in an evidence bag, if they are stored on a smart card.  </div><div>This, however, requires a lot higher technical skill from the criminal to implement, since he would</div><div>have to know how to write a JavaCard OS to a chip, how to program the necessary java app, and</div><div>how to create and update the public keys in a secure manner on the card.  <br><br>Or, the criminal could choose to implement a HSM, which can also be literally put in an evidence bag.<br><br></div></div><br></div></div>