Vijf vragen over het 'grootste versleutelde criminele netwerk van Nederland'

De Nederlandse politie en het Openbaar Ministerie (OM) hebben recent toegang gekregen tot 3,6 miljoen berichten die criminelen met speciale telefoons versleuteld naar elkaar stuurden. Politie en OM claimden in 2016 al dat ze 'het grootste versleutelde communicatienetwerk van crimineel Nederland' uit de lucht hadden gehaald na de arrestatie van een 36-jarige man uit Nijmegen. Interessant nieuws, als het waar is. Want de claim van de politie riep ook vragen op. Lees hier terug wat we in april 2016 schreven over de claim.

Veiligheidsscherm van Whatsapp, dat sinds kort ook berichten versleutelt. Beeld anp

De man verkocht aangepaste BlackBerry's met versleutelingssoftware aan ongeveer 19 duizend mensen, volgens de politie grotendeels criminelen. Het versleutelen gebeurde via software, PGP geheten, waar zelfs Amerikaanse veiligheidsdiensten de tanden op stuk bijten. Toch beweerde de Nederlandse politie dat er een schat aan informatie was vrijgekomen.

Hoe kwam justitie bij de man in Nijmegen?
De politie stuit in grote onderzoeken, zoals naar liquidaties, regelmatig op telecommunicatie die goed beveiligd is. Zo goed, dat de opsporingsdiensten er niet bij kunnen. Het gaat volgens de politie vooral om aangepaste telefoons met PGP. Om toch toegang te krijgen is justitie onderzoek gaan doen naar de grootste aanbieder van deze diensten, Ennetcom uit Nijmegen. Dit bedrijf biedt klanten BlackBerry's met PGP aan voor 1500 euro. Het afgeschermde dataverkeer tussen de BlackBerry's laat het bedrijf via 'eigen' servers gaan zodat autoriteiten of anderen er geen zicht op hebben.

Mag de politie zomaar het bedrijf binnendringen?
Nee, niet zomaar. Het aanbieden van versleutelde communicatiediensten is niet strafbaar. En dat mogelijk ook criminelen de telefoons kopen zegt evenmin iets over de strafbaarheid. Het OM heeft daarom een juridische truc uitgehaald: volgens haar moet de aanbieder hebben geweten dat hij zijn telefoons verkocht aan criminelen. Daardoor, redeneert het OM verder, is het geld afkomstig uit criminele bron en maakt de eigenaar van Ennetcom zich schuldig aan witwassen.

Hoe kwam de politie uiteindelijk bij de versleutelde communicatie?
Nu wordt het interessant. Op de telefoons zit speciale software, PGP. Dit is een vrij veel gebruikte, maar wat oudere methode om berichten te versleutelen. Het is een beproefd recept. Uit gelekte documenten blijkt dat de Amerikaanse inlichtingendienst NSA in 2012 nog niet in staat was om PGP te kraken. Heel veilig dus, mits op de juiste manier toegepast. PGP werkt met twee sleutels: een publieke sleutel en een privésleutel.

Als persoon A een bericht versleutelt voor persoon B, versleutelt hij die met de publieke sleutel van B zodat het bericht vanaf dan alleen nog geopend kan worden met de privésleutel van B. Cruciaal is om de privésleutels op een veilige plek te bewaren, liefst offline. Wie immers toegang heeft tot iemands privésleutel, kan al diens berichten openen. Een ander cruciale voorwaarde is om de ontsleutelde berichten nergens op te slaan.

Gelijk met de inval bij het bedrijf in Nijmegen heeft de politie verschillende servers offline gehaald en gekopieerd. Een deel van de servers stond in Canada. Daar zijn 'terabytes' aan informatie gevonden die voor een groot deel onversleuteld zijn. Eén terabyte is de grootte van 120 uur video in HD-kwaliteit. Hiermee heeft de politie de achilleshiel van het communicatienetwerk te pakken.

Zijn daarmee alle 19 duizend telefoons gekraakt?
Dat ligt eraan. Als het bedrijf op haar servers de wachtwoorden en privésleutels bewaarde, wel. Sowieso geeft de informatie zicht op wie met wie mailde en sms'te. Het lijkt waarschijnlijk dat ook de inhoud van berichten, onversleuteld, is opgeslagen. 'Dan is het voor de politie de honingpot', vertelt Ronald Prins van beveiligingsbedrijf Fox-IT. Hij zegt dat het kraken van lossen toestellen veel bewerkelijker was geweest. 'En hiermee krijgt de politie meer data dan ze via het tappen van een persoon zou kunnen krijgen.' En dat roept vragen op.

Want worden al die 19 duizend personen in één klap als verdachte behandeld? In de praktijk wel. Op hun BlackBerry krijgen ze een mededeling dat hun communicatie 'in beslag genomen' is en dat ze 'voorlopig geen gebruik' kunnen maken van de versleutelde dienst. Personen die aanspraak kunnen maken op het verschoningsrecht - zoals advocaten, journalisten en artsen - en de BlackBerry's gebruiken kunnen zich volgens de politie melden.

Betekent dit dat beveiligd communiceren moeilijker wordt?
Integendeel. Er zijn steeds goedkopere en toegankelijkere alternatieven beschikbaar dan die van het bedrijf uit Nijmegen. Diens zwakte was de onversleutelde opslag van communicatie én mogelijk van privésleutels. KPN biedt bijvoorbeeld de BlackPhone aan, waarbij het ook mogelijk is om privésleutels zelf te genereren. Ook bieden apps als Telegram, WhatsApp en Signal geïntegreerde versleuteling aan. Signal staat bekend als het meest veilig. Het gebruik van deze apps heeft ook een keerzijde. Om toch de communicatie van verdachte personen in te zien, zullen politie en geheime diensten meer moeite doen om bij de bron ervan te komen. Dat betekent dat ze telefoons en computers onzichtbaar voor de gebruiker gaan hacken. Twee wetsvoorstellen die dit mogelijk maken worden nog dit jaar door de Kamer besproken.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden