Het was Tweede Kamerlid Sybrand van Haersma Buma die namens het CDA eind 2003 aan toenmalig  minister Piet Hein Donner van Justitie kritische vragen stelde over de introductie van de GSMK CryptoPhone. Een vinding van Rop Gonggrijp voor beveiligd onderling mobiel verkeer, in licentie gegeven aan GSMK die de telefoons nog steeds verkoopt. De vragen van Buma en antwoorden van zijn partijgenoot

Vraag 1: Is het waar dat vanaf maandag 17 november jl. mobiele telefoons op de markt verkrijgbaar zijn die niet afluisterbaar zijn?
Donner: ‘Het is juist dat er mobiele telefoons op de markt zijn, waarbij de eindgebruikers de
informatie kunnen beveiligen door middel van encryptie. Deze encryptie is dermate
krachtig dat het breken van de code geen reële mogelijkheid is.’

Vraag 2: Welke mogelijkheden heeft u om te voorkomen dat dergelijke telefoons worden verkocht?
Donner: ‘Het hebben van cryptografische mogelijkheden in randapparatuur (zoals telefoontoestellen) is geen argument om de verkoop van dergelijke apparatuur te verbieden…’

Vraag 3: Bent u bereid de producenten van mobiele telefoons…te wijzen op hun verantwoordelijkheid om het werk van opsporingsinstanties niet te hinderen?
‘Neen. Deze producten worden ontwikkeld om veilig communiceren mogelijk te maken en
daarmee de privacy belangen en andere gerechtvaardigde legitieme belangen, zoals de
bescherming van bedrijfsgeheimen, te dienen.
De overheid kan de verantwoordelijkheid voor het afwegen van privacybelangen versus opsporingsbelangen niet leggen bij de producenten van deze mobiele telefoons.’

Vraag 4: Bent u bereid zo nodig wettelijke maatregelen te nemen om het op de markt brengen van niet afluisterbare telefoons tegen te gaan?
‘Zolang de opsporing en vervolging van strafbare feiten geen ernstige hinder ondervinden van het gebruik van dergelijke telefoons, bestaat er geen aanleiding tot het nemen van wettelijke maatregelen.
Het gebruik van cryptografie kan evenwel ertoe leiden dat wat aftapbaar is, niet afluisterbaar is. Dit betekent dat strafvorderlijke mogelijkheden moeten worden onderzocht om versleuteling van gegevens achteraf ongedaan te kunnen maken als sprake is van een strafbaar feit.’

Vervolgens verwees  Donner naar het wetsvoorstel Computercriminaliteit II die in mei 2006 werd aangenomen en het wetsvoorstel Gegevensvergaring in strafvordering, met de verplichting om mee te werken aan ontsleuteling daarvan: ‘degene van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van de communicatie, de vordering worden gericht medewerking te verlenen aan het ontsleutelen van de gegevens door hetzij deze kennis ter beschikking te stellen, hetzij de versleuteling ongedaan te maken.’ Dit gold niet voor verdachten zelf, omdat je niet hoeft mee te werken aan je eigen veroordeling..

Schat aan criminele informatie

Ook zou het kabinet investeren in kennis en mogelijkheden om cryptografie te kraken. De overheid heeft uitstekende cryptodeskundigheid in huis gehaald, bij het Nationaal Bureau voor Verbindingsbeveiliging (NBV), onderdeel van de AIVD. Maar met het recente pleidooi van AIVD-chef Betholee om Whatsapp-versleuteling te bestrijden, bleek dat het een serieus probleem is.

Volgens Gonggrijp destijds had de ontsleutelplicht echter geen gevolgen voor Cryptophone of voor
gebruikers van het toestel. ‘Net als veel internetgebaseerde  cryptosystemen, zoals IPsec, maakt de Cryptophone voor aanvang van elk  gesprek een nieuwe sessiesleutel, en deze wordt na gebruik vernietigd. Na afloop van het gesprek valt er dus, ook voor de deelnemers aan dat gesprek, niets meer te ontsleutelen.’

Nu heeft het Openbaar Ministerie een encrypte telefoondienst weten te kraken, die van Ennetcom, dus niet die van GMSK waar Rop gonggrijp overigens niets meer mee van doen heeft:

In een bericht maakt het landelijk Parket van het Openbaar Ministerie bekend dat toegang is gekregen tot 3,6 miljoen versleutelde berichten van criminelen, onder wie een aantal verdachten van moord, gewapende overvallen, drugshandel en andere georganiseerde criminaliteit. De ontdekte gegevens kunnen leiden tot grote, beslissende doorbraken in strafzaken, meent het OM.

De gegevens zijn afkomstig van computerservers in Canada die op 19 april 2016 al zijn gekopieerd op verzoek van het Landelijk Parket van het OM. Deze servers waren in gebruik van  Ennetcom in Nijmegen. Ennetcom verkocht tot april 2016 BlackBerry smartphones – veelal met verwijderde camera en microfoon - waarvan het verkeer is beveiligd met Pretty Good Privacy encryptie, voor een prijs van 1.500 euro.

Cryptophone en Crimifoon?

Ennetcom is volgens het OM ‘de grootste aanbieder van versleutelde communicatie aan criminelen in Nederland met ook verkooppunten in West-Europa en Zuid-Amerika… Het afgeschermde communicatienetwerk bestond uit ongeveer 40.000 geregistreerde smartphones, vermoedelijk overwegend in gebruik bij verdachten van georganiseerde misdaad.'

Eigenaar Danny M. werd vorig jaar gearresteerd op verdenking van witwassen. Het argument: vaak werden telefoons met crimineel zwart geld betaald, en Ennetcom werkte daar actief aan mee. Danny M. schakelde het Amsterdamse advocatenkantoor Meijering, Van Kleef, Ficq en Van de Werf in. Strafpleiter Leon van Kleef sprak eerder van ‘Bokito-gedrag’ van het OM.

Nu doet Weski Heinrici de verdediging. Op de site van Ennetcom schrijft raadsvrouw Inez Weski deze week in een persbericht onder meer:

‘…allereerst moet worden vast gesteld, dat het openbaar ministerie geheel ten onrechte destijds die beslagen heeft gestoeld op een verdenking van witwassen met als mom als zouden de klanten van de telefoons criminelen zijn.

Uit het dossier bleek namelijk dat het bedrijf Ennetcom vele tienduizenden klanten had, die via resellers de telefoons en de software kochten en, dat het openbaar ministerie slechts ongeveer 4 voorbeelden van zaken noemden waarin sprake zou zijn geweest van een pgp telefoon aangeschaft bij zo’n reseller.

Het bedrijf bleek bovendien vele klanten nationaal en internationaal ook bij overheidsinstellingen en bedrijven te hebben die om niet criminele redenen niet gehackt wensten te communiceren. Het in beslag nemen van de servers leek dus meer een poging van het openbaar ministerie om op oneigenlijke redenen toegang te krijgen tot een immense hoeveelheid communicatie van tienduizenden teneinde daar met een sleepnet in te kunnen vissen.

Alsof de KPN of welk telecombedrijf dan ook zomaar wordt binnengevallen en de gehele inboedel meeroofd [advocaten beheersen het Nederlands soms niet eens meer, red.] om te kijken wie een fout bericht verstuurd.

Het openbaar ministerie wekt nu de indruk alsof de gehele servers zouden zijn gekraakt, maar stelt tegelijkertijd dat 3,6 miljoen berichten zichtbaar zouden zijn gemaakt, kennelijk de indruk wekkend alsof dat veel communicatie zou betekenen. Het openbaar ministerie spreekt daarbij over zo’n 40.000 gebruikers. Een bericht is echter een deel van een conversatie, dus opeenvolgend “ja”, “en toen”, “wat bedoel je”, zijn drie berichten in een conversatie.

Berekend naar de hoeveelheid berichten en het aantal gebruikers, zouden dus zo’n 90 berichten per gebruiker zichtbaar zijn gemaakt. Gelet op het feit, dat de servers na maximaal 48 uur standaard werden geschoond, dus de berichten werden vernietigd, dan zou dus voor die 40.000 gebruikers met die 3,6 miljoen berichten inderdaad alleen de laatste 48 uur zichtbaar zijn gemaakt…

Het openbaar ministerie meent met deze “buit” aan de slag te kunnen gaan, maar de Canadese rechter heeft destijds en naar mijn mening daarin misleid door het openbaar ministerie betreffende dus de grondslag van de verdenking, slechts toestemming gegeven voor het gebruik in slechts 4 met name benoemde onderzoeken. En dan is altijd weer de vraag welke berichten aan welke zaken en vervolgens welke fysieke entiteiten kunnen worden gelinkt.

Dat lijkt mij vooralsnog vooral een hack te veel.’

OM: vooral crimineel

In haar persbericht merkt het Openbaar Ministerie echter op: ‘Voorafgaand aan de inbeslagneming van de servers van Ennetcom is door het Team High Tech Crime van de politie een bericht gestuurd aan alle gebruikers van de PGP BlackBerry toestellen. Daarin werd gebruikers die zich zouden kunnen beroepen op een wettelijk verschoningsrecht, zoals advocaten, artsen, notarissen of geestelijken, gevraagd zich te melden. Op deze oproep is geen enkele reactie gekomen…

Het grootschalig Nederlands strafrechtelijk onderzoek naar Ennetcom is voortgekomen uit onderzoeken naar liquidaties. Tijdens deze onderzoeken bleek dat verdachten niet alleen gebruik maakten van (automatische) vuurwapens, zoals Kalasjnikovs, snelle gestolen auto’s en verboden stoorzenders, maar ook opvallend vaak van Ennetcom-telefoons met versleuteling.’

Het debat is nog steeds gestoeld op de vraag: dient zwaar beveiligd verkeer vooral de privacy van criminelen en mag Justitie het geheel aan verkeer downloaden en inzien? De ‘sleepnet’-vraag speelt steeds weer, maar in verschillende gradaties.

Hoe zijn berichten achterhaald?

De vraag is hoe het OM en High Tech Crime de berichten hebben achterhaald. Ze zeggen daarover: ‘Het neerhalen van de servers betekende het einde van het versleutelde communicatienetwerk. Eind vorig jaar werd de politie duidelijk dat het berichtenverkeer op de Ennetcom servers toegankelijk zou kunnen worden gemaakt. Eerder was al wel van duizenden gebruikers duidelijk wie naar wie berichten verstuurde, welke bijnamen werden gebruikt en op welke tijdstippen berichten werden verstuurd.’ [Metadata, red.]

De politie werkte nauw samen met het Nederlands Forensisch Instituut (NFI). Met behulp van de forensische zoekmachine Hansken kon de grote hoeveelheid informatie snel en efficiënt worden doorzocht.

Het gaat in totaal om 7 TB aan data, die is veiliggesteld op de centrale server van Ennetcom in Canada. Deze hoeveelheid misdaaddata is vergelijkbaar met alle tekst uit zeven grote universiteitsbibliotheken. Een kopie van de gegevens is op 19 september 2016 door een rechter in Toronto beschikbaar gesteld aan het Nederlandse OM. Met de encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen kon de toegang worden verkregen tot de berichten.’

De raadsvrouw van Ennetcom: ‘Het openbaar ministerie spreekt in het persbericht zeer opmerkelijk over “encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen”. Cliënts bedrijf beschikte echter niet over die sleutels. Die sleutels vallen namelijk onder het bedrijf dat PGP maakt, Symantec. Er zijn vele andere bedrijven, die op gelijke wijze als cliënts bedrijf dergelijke PGP software in hun producten verkopen. Het “in de handen vallen” lijkt in deze dan ook een zeer schimmig gebied van onrechtmatigheden en mogelijk zelfs het resultaat van het hedendaagse wilde gehack te betreffen.’

Het dataverkeer was versleuteld op eigen servers in Nederland en Canada, die alle communicatie versleutelden. Volgens een woordvoerder van de genoemde Duitse concurrent GMSK is het leesbaar maken van het verkeer mogelijk geweest door het ontbreken van end-to-end encryptie. ‘Die bieden wij wel.’ (En WhatsApp trouwens ook.)

Er is toestemming van de Canadese rechter om gevonden conversaties in vier strafzaken te gebruiken. Het OM wil toestemming om in nog tientallen zaken ook data te mogen gebruiken en moet daarvoor toestemming hebben van de rechter-commissaris.

Tegen Nieuwe Revu zei Danny Manupasa van Ennetcom (en PI Products) in 2013: ‘Door middel van lange sleutels en coderingen zijn de cryptofoons zó gemaakt zijn dat het voor de NSA onmogelijk is ze af te luisteren. Het bedrijf verkoopt vooral veel telefoons aan bankiers, rechters, advocaten en journalisten.’

De beide beweringen staan op gespannen voet met de bevindingen van het OM: de clientèle heeft een iets andere samenstelling, terwijl wellicht de telefoons niet zijn af te luisteren, maar wel was het verkeer op de servers te kraken.

Dus de vragen die nog resten zijn:

Welk percentage klanten van Ennetcom is verdacht, bij 3,6 miljoen berichten op 7 terabyte (1.000 gigabyte aan tekstdata?
Hoe is de grote hoeveelheid aan data te rijmen met de bewering van Ennetcom dat alles na 48 werd verwijderd?
Hoe veilig is/was het verkeer van niet-criminele klanten?
Hoe is het verkeer precies ontsleuteld en door de Canadezen en/of Nederlanders?
Hoe zit het met andere leveranciers van PGP-versleuteld verkeer tot wie criminelen zich nu wenden?

GSMK beantwoordde onze vragen over de samenstelling van het klantenbestand en het al dan niet hanteren van principes in de verkoop (nog) niet. Rop Gonggrijp wil nu ook geen vragen beantwoorden. (Wordt vervolgd…)