PGP Telefoons van CBSEC 100% veilig

-
Politie-invallen en gekraakte telefoons

Volgende speler aan de beurt

Na de zaak Ennetcom is het een tijdje stil geweest. Het OM liet weliswaar geregeld weten een schat aan informatie te hebben en BlackBerries waren zogezegd "gekraakt", maar veel concrete zaken leken er niet te zijn. Tot afgelopen week, toen de politie op 9 mei 2017 een inval deed bij panden van, verband houdende met en / of gelieerd aan de activiteiten van het bedrijf PGPSafe.

Wat is er gebeurd?

Op 9 mei heeft de politie invallen gedaan op circa 15 locaties die in verband gebracht konden worden met de diensten van PGPSafe, één van de grootste aanbieders van PGP telefoons in Nederland. Argumentatie? In 34 andere onderzoeken werd gerept over het gebruik van een telefoon van deze leverancier.

Aanbieding PGP telefoon cbsec

Het geeft te denken dat ze geen invallen hebben gedaan bij Volkswagen. Vermoedelijk is dit bedrijf vaker genoemd in voorgenoemde onderzoeken dan PGPSafe. Bij de invallen is onder meer een miljoen cash (de som van het verlengen van een abonnement van grofweg 5% van het klantenbestand, op zich niets raars) aangetroffen en waren een aantal auto's aanwezig die niet in de A of B klasse van Europcar vielen. Voor media genoeg reden om onder meer te koppen met "criminele tele-provider opgerold". De laatste keer dat ik checkte lieten we deze oordelen aan de rechter over.

pgp safe politie email

Beroep op verschoningsrecht

Laten we voorop stellen dat CBSEC elke onderbreking in de continuïteit van op privacy gerichte dienstverlening op voorhand veroordeelt. Met een laf en slecht opgesteld emailtje naar eindgebruikers waarin staat dat men zich kan beroepen op wettelijk verschoningsrecht (indien je bijvoorbeeld advocaat, geestelijke, notaris of arts bent) dat eerder doet denken aan een phishing-mail van een malafide oostblok-bende denkt de politie het recht op privacy te kunnen schenden van grote groepen eindgebruikers.

Nadrukkelijk richt de politie zich dan bij deze actie, meer dan bij de zaak Ennetcom, op de criminele eindgebruiker. En dat is vreemd, onder het mom van witwaspraktijken zonder tussenkomst van een rechter in berichten proberen te snuffelen is, zélfs al zou het in 100% van de gevallen gaan om criminele eindgebruikers, niet de bedoeling van ons rechtsysteem.

CBSEC Servers

CBSEC zal geen last hebben van acties van Nederlandse opsporingsdiensten. In voorgaande zaken is er iets bijzonders aan de hand. Het OM argumenteert, en ogenschijnlijk met enig succes, dat de leveranciers van de 'crypto-telefoons' criminele gelden witwassen en deelnemen aan een criminele organisatie. Daarbij suggereert het OM dat de telefoons 'voornamelijk' door criminelen gebruikt worden. CBSEC respecteert uw privacy en vraagt, net zoals de Gamma niet vraagt of u echt een boom gaat omhakken met de aan te kopen bijl, niet naar de reden van uw aankoop. Daarbij vinden wij het logisch dat een item waarmee u uw privacy vergroot geregeld niet met een pinpas wordt afgerekend. Contact met de belastingdienst en fiscaal experts hierover heeft geleid tot een keurige administratie, niet heel anders dan de snackbar op de hoek die belasting betaalt, u een bonnetje geeft en zich geen zorgen maakt over wat u met dat bonnetje doet.

Mocht er toch door enig rechterlijke dwaling een huisbezoek zijn bij de kantoren van CBSEC dan wel de woningen van de eigenaren zal dit slechts leiden tot verspilling van belastinggelden. Alle communicatie wordt versleuteld op het device, servers van CBSEC bevatten geen private keys en staan in de meeste gevallen in landen die de privacy respecteren (uitzondering zijn onze medium-security producten, gericht op MKB ondernemingen. Zelfs hier vindt encryptie 100% op het toestel plaats). Daarnaast zijn de servers voorzien van maatregelen om denial of service aanvallen (DDOS attack) te voorkomen én te genezen. In het zeer onwaarschijnlijke scenario dat er een server in beslag genomen wordt zullen daar dus alleen maar 4096bits encrypted berichten op staan (en dan alleen de berichten die nog niet gelezen en verwijderd zijn door de eindgebruikers, CBSEC biedt bewust geen backup-faciliteiten, ook niet voor private keys).

CBSEC neemt met klem afstand van de visie van het OM dat eindgebruikers van geëncrypteerde email en PGP telefoons "crimineel, tenzij" zijn. De strategie van Nederlandse opsporingsdiensten om bij eindgebruikers diensten te discontinueren in een poging om mogelijk criminele organisaties een gevoelige slag toe te brengen is dan ook compleet verwerpelijk.

CBSEC PGP Telefoons

De PGP telefoons van CBSEC zijn bestand tegen pogingen tot kraken van het NFI. Dat zeggen wij niet zomaar. Het NFI gebruikt bepaalde methodes om PGP toestellen te "kraken", de eerste methode is een "off-chip" methode: met een eigen ontwikkeling (zie NFI off chip methode) halen ze de chip uit de telefoon waarna geen restricties meer gelden zoals "maximaal aantal pogingen passwords" etc. Feitelijk wordt een laagje van de beveiligingsschil overgeslagen. Dit werkt aardig bij verouderde systemen. De tweede methode maakt gebruik van software van de Israëlische ontwikkelaar Cellebrite (zie Cellebrite). Dit is hét bedrijf dat zich bezig houdt met het ondersteunen van Forensisch instituten en diensten biedt op het gebied van data-extractie uit telefoons.

CBSEC heeft met deze software analyses laten maken van de telefoons die wij leveren. Dit hebben we zelfs gedaan met een telefoon waarbij het wachtwoord van de telefoon is meegeleverd en de hardware encryptie die op de toestellen zit die we normaliter leveren niet toegepast is. In dit laatste, theoretische geval kwam men niet verder dan het extracten van een string die, na met onze kennis te zijn gedecodeerd, een 4096 bits PGP gecrypte string bevatte. Voor alle duidelijkheid: zonder een private key met bekend wachtwoord is 4096 bits geëncodeerde tekst absoluut onkraakbaar, het hoogst haalbare dat onderzoekers tot nog toe hebben gehaald op een sterk computercluster is het factoriseren van RSA-768, vele malen zwakker dan de RSA-4096 technologie die wij gebruiken. De Technical Forensic Specialist van Cellebrite gaf aan geen mogelijkheden te zien om überhaupt data van de toestellen van CBSEC te halen.

De kracht van CBSEC

CBSEC is een solide bedrijf met een onberispelijke bedrijfsvoering. De servers van CBSEC staan op basis van de wens van de klant op verschillende locaties die uw privacy optimaal waarborgen. De toestellen zijn momenteel niet te kraken met de Cellebrite software, mocht dat in de toekomst alsnog mogelijk worden door een afgedwongen afspraak met de hardwareleverancier is uw email en private key nog steeds veilig. Deze staat versleuteld op uw toestel. De enige manier om email te lezen is het invoeren van het goede wachtwoord van uw private key. De CBSEC Mail applicatie bevat tevens een tweede authenticatielaag, de zogehete YubiKey, om te voorkomen dat iemand die uw wachtwoord kent of meeleest in uw mailapplicatie kan inloggen.


Meer informatie?
PGP Telefoons CBSEC

Patrick Neeteson foto klein

CTO CBSEC

Contact opnemen