De zaak Ennetcom

-
Een grote hoeveelheid data in handen OM, is PGP veilig?

Op 9 maart jl. heeft het Openbaar Ministerie in een persbericht laten weten toegang te hebben gekregen tot 3,6 miljoen versleutelde berichten van criminelen. In april vorig jaar werden op verzoek van het Landelijk Parket van het OM de servers van Ennetcom in beslag genomen. Hiermee zijn de geheimen van duizenden gebruikers van zogenaamde PGPtelefoons bij justitie komen te liggen.

PGP-toestellen zijn speciaal ontworpen toestellen die als doel het beschermen van de privacy van de gebruiker hebben. PGP is een methode waarmee berichten worden versleuteld. Door toestellen te leveren met deze encryptiesoftware garandeerde Ennetcom zijn klanten anonieme communicatie. Het blijkt nu dat met deze toestellen de privacy en veiligheid van de gebruikers niet geborgen kon worden.

Servers Ennetcom in beslag genomen

Nadat in april 2016 de servers in Canada in beslag waren genomen kon al snel worden achterhaald wie met wie communiceerde. De inhoud van de berichten lezen was echter niet zomaar mogelijk, gezien het feit dat deze waren versleuteld. Ennetcom heeft ervoor gekozen om het generen van de ‘privé-sleutel’ (private key), welke dient voor het coderen en decoderen van een bericht, niet op het apparaat maar op de server te laten plaatsvinden. In aanvulling daarop werden de private keys ook nog op de servers opgeslagen, waardoor justitie deze kon gebruiken om een groot aantal van de versleutelde berichten te lezen.

PGP nog steeds veilig

Het beschikbaar komen van de gedecodeerde data had voorkomen kunnen worden door het coderen en decoderen op het apparaat plaats te laten vinden, met een privé-sleutel die alleen op het apparaat zelf aanwezig is. PGP is nog steeds toonaangevend in veilig communiceren en zonder de fout in de infrastructuur zou ontcijfering van deze berichten met aan zekerheid grenzende waarschijnlijkheid onmogelijk zijn geweest. Bij CBSec.nl BV vindt men het onbegrijpelijk dat dergelijke fouten worden gemaakt. Vooral in deze branche is het noodzaak om de meest geavanceerde vorm van beveiliging te bieden. Anders dan het OM heeft CBSec dan ook de visie dat een PGP-gebruiker iemand is die zijn of haar privacy en veiligheid serieus neemt, zonder dat deze daarmee onlosmakelijk verbonden is met criminaliteit. Denk aan advocaten, journalisten en politiek activisten die voor de goede uitvoering van hun werk afhankelijk zijn van dit soort technieken. Dit maakt het dan ook onacceptabel dat het OM onder bepaalde voorwendselen (en de ogenschijnlijke visie dat alle gebruikers die communiceren met behulp van encryptie crimineel zijn) beslag heeft kunnen leggen op de servers. Bovendien wekt dit de indruk bij de gebruiker dat communicatie door middel van PGP niet waterdicht zou zijn, hetgeen volkomen onterecht is. Verschillende media hebben suggestief gekopt in de richting dat PGP gekraakt zou zijn. Hiervan is absoluut geen sprake. In voorkomende gevallen gaat het steeds om gebruikersfouten, zoals bijvoorbeeld het vertellen van het wachtwoord aan een bijrijder terwijl er een microfoon in de auto aanwezig is. Een andere oorzaak is een inrichtingsfout, zoals het opslaan van private keys op de server i.c.m. het hanteren van een zwak wachtwoord.

De zaak Ennetcom

Statement CBSEC

Bij CBSEC genereert u zelf, óp het toestel, het keypair op het moment dat u het toestel in ontvangst neemt. De private key wordt nooit opgeslagen op een server, hetgeen inhoudt dat CBSec ook nooit mee kan werken aan het decoderen van berichten. Heeft u momenteel een aanbieder die u kan helpen met herstel in het geval u uw wachtwoord kwijtraakt? Dan is de kans groot dat daarbij dezelfde fout wordt gemaakt als bij Ennetcom.

Patrick Neeteson foto klein

CTO CBSEC

Contact opnemen