Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

15 reacties

  1. Heeft zo’n gebruiker dan nog enige kans van slagen als hij zijn aanbieder Ennetcom gaat aanklagen dat de versleuteling niet zo goed is als ze beloofd hadden? (Dus dat ze een wanprestatie geleverd hebben?)

    1. Ennetcom is zelf ontmanteld dus ik geef ze weinig kans. Ze worden gezien als een criminele organisatie, hoewel ze zelf nog flink protesteren over de gang van zaken. Maar sowieso was de beveiliging wel goed op orde, want wie verwacht er nou dat justitie de gehele provider gaat oprollen?

      Als de politie gewoon de telefoons in beslag had genomen dan hadden ze de bijbehorende encryptiesleutels nog steeds niet verkregen. Die sleutels zouden anders ergens op de telefoon moeten zitten, waar justitie dus bij had gekund zodra ze toegang tot de telefoon hebben. De encryptiesleutels op een goed beveiligde server bewaren is dan ook veiliger in deze omstandigheden, omdat het mobieltje als zwakste schakel wordt gezien.

      Alleen viel Ennetcom juist op door al die veel te dure telefoons die ze verkochten en de vele gearresteerde verdachten die een dergelijke telefoon hadden. En dus was de zaak tegen Ennetcom al snel gemaakt en konden de servers in beslag genomen worden en daarmee dus ook alle berichten worden ontsleuteld… Maar normaal gesproken zouden ze veilig zijn geweest…

      1. De encryptiesleutels op een goed beveiligde server bewaren is dan ook veiliger in deze omstandigheden, omdat het mobieltje als zwakste schakel wordt gezien.
        Wat heb je aan een encryptiesleutel (beter gezegd: decryptiesleutel) als die ergens op een server staat? De decryptie van een bericht zal altijd moeten plaatsvinden op de telefoon, de verbinding tussen server en telefoon wordt immers niet veilig geacht. Op een telefoon wordt zo’n sleutel doorgaans beveiligd met een (lange) passphrase.

        Uit het artikel op Tweakers begrijp ik dat de sleutels gegenereerd werden op de Ennetcom-servers in plaats van op de telefoon, onbegrijpelijk securitywise…

      2. wie verwacht er nou dat justitie de gehele provider gaat oprollen?

        Vroeger werd je misschien paranoïde gevonden als je zoiets zou verwachten, maar blijkbaar is het nu toch niet zo’n onrealistisch scenario. Ik denk dat het wel iets zegt over hoe onze overheid is veranderd.

  2. Als ze in die rugzak een dagboek tegenkomen? Dan mogen ze dat toch ook lezen (” in het kader van een onderzoek naar een buitengewoon ernstig feit”) Als je daarin geheimschrift gebruikt hebben?

    1. Met geheimschrift lijkt het me een stuk lastiger onderzoeken. Immers, wat voor geheimschrift is er gebruikt? Alleen wat letters door elkaar (bijv.: “grudslab oepnen in Damrestam” = “drugslab openen in Amsterdam”) of een geheel eigen taal? In dat laatste geval kan justitie er helemaal niks mee zolang de verdachte(n) zich beroept(en) op hun zwijgrecht. Of met OTP, maar dan moeten ze wel ergens het briefje met de ontcijfering vinden en dan nog wordt het lastig omdat er vele ‘vertalingen’ mogelijk zijn.

      1. Het is heel lastig een geheimschrift te maken dat je met pen en papier redelijk kunt uitvoeren en met een computer niet triviaal te kraken is. Een klassiek systeem dat zonder de sleutel niet te kraken is die met een one-time pad: (uit de spionageromans) koop twee gelijke kopieën van een boek en gebruik die als sleutel voor een vervangingsversleuteling.

  3. Begrijp ik goed dat de uitspraak van de Hoge Raad betrekking heeft op het geval dat er al een onderzoek naar iemand loopt en dat er een redelijk vermoeden bestaat dat de telefoon informatie bevat die de zaak verder kan helpen?

    Dan is er toch nog steeds niets besloten over het geval waarin een telefoon als bijvangst in beslag wordt genomen en standaard/routinematig wordt onderzocht. Er is dan nog steeds geen grond om bij een verdachte van winkeldiefstal de telefoon te doorzoeken.

    Het venijin van de HR zit hem in:

    en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones.
    Of een teolefoon alleen gebruikt wordt om versleutelde berichten te versturen en geen prive informatie bevat is lastog vooraf vast te stellen. Tenzij je de telefoon al tapt en er alleen versleutelde berichten voorbijkomen, zie ik niet in hoe je de rechtvaardiging van de doorzoeking anders dan achteraf kan doen.

    1. Ik ben er nog steeds voorstander van om het doorzoeken van een spartphone (tablet, laptop, etc.) alleen toe te staan na toestemming van een OvJ of RC. Dit ter bescherming van de privacy van onschuldige burgers. In het geval van een grote drugscrimineel zal het niet zo moeilijk zijn om die toestemming te verkrijgen.

  4. Ten eerste vraag ik mij af waarom ik mijn prive berichten niet zou versleutelen. En hoe een rechter dus de conclusie kan trekken dat versleutelde berichten niet prive zouden zijn. En ten tweede moet je dus als crimineel wel zorgen dat je je versleuteling goed aanpakt. Ik ben wel benieuwd naar het proces tegen Ennetcom. Mag ik een schadevergoeding want dankzij jullie gebroddel zit ik nu in de bak.

    1. Je zit niet in de bak door gebroddel van Ennetcom, maar omdat je de wet overtreden hebt. Had je dat niet gedaan dan had het prutswerk van Ennetcom niets uitgemaakt en was je nog steeds vrij.

      Dus welke schade wil je verhalen?

      1. Dus welke schade wil je verhalen?
        Non-conformiteit, om mee te beginnen. Deze toestellen waren geacht goed beschermd te zijn en blijken uiteindelijk toch hun geheimen vrij te geven.

        Daarnaast gaat het om verdachten en niet om veroordeelden. Deze mobieltjes hadden ook onschuldige informatie kunnen bevatten en indien de verdachten worden vrijgesproken waren ze ook onschuldig. Alleen hebben ze dankzij Ennetcom dus een tijd door de justitiële molen heen gemoeten met allerlei onkosten en ongemakken. Iemand zal die rekening moeten betalen.

        Verder is het de vraag of deze gevoelige informatie ook in handen van derden kan komen. In Canada hebben ze een kopie van de data en in Nederland nu ook. Diverse andere landen krijgen deze informatie mogelijk ook in handen waardoor er meer arrestaties kunnen volgen. Echter, diezelfde informatie kan door hackers of corrupte agenten ook nog eens met de onderwereld worden gedeeld en zo komen al je geheimen in handen van je criminele concurrenten. En dat is al helemaal niet de bedoeling!

        Kortom, ik kan nog wel enkele redenen bedenken om een schadeclaim neer te leggen. En een hele goede waarom dat geen zin heeft, aangezien Ennetcom zelf ook wordt vervolgt omdat ze een crimineel netwerk opereerden. Hun advocaat probeert het nog om via de Ennetcom website het een en ander recht te praten alsof er sprake is van een enorm onrecht maar ze proberen nu eigenlijk om zelf vrijgesproken te worden door te doen alsof ze nergens schuld aan hadden.

        Het is dan ook interessanter hoe het strafrechtelijke onderzoek tegen Ennetcom zal verlopen en of Ennetcom als een criminele organisatie wordt bestempeld en opgeheven. Sowieso heeft onderzoek uitgewezen dat de betreffende PGP-sleutels op de servers van ennetcom werden gegenereerd en niet op de Blackberry toestellen. Maar het onderzoek tegen Ennetcom loopt nog…

  5. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

    Dit vind ik (als leek) ook een opvallende. Als je gebruik maakt van je zwijgrecht, dan mag de politie meer dan wanneer dat niet doet. In die zin wordt je dan gestraft voor het gebruik maken van je rechten, iets wat mij niet de bedoeling lijkt.

  6. In dit soort zaken zie je hoe Nederland morrelt aan privacy (en ondertussen de mond vol heeft van buitenlandse leiders die de privacy van groepen niet lijken te respecteren). Het is uberhaupt al wonderlijk dat het OM de inboedel van Ennetcom in Canada heeft mogen roven, terwijl daar met zekerheid ook pgp telefoons van advocaten, journalisten en activisten bij zaten.

    De bijzondere opsporingsbevoegdheden worden toegepast met gevaarlijke argumentatie: als de aantallen boefjes maar groot genoeg zijn mogen basisrechten van hele groepen geschonden worden. Als morgen iemand bij de gamma een bijl koopt en ipv een boom zijn ex in tweeën klieft dienen we niet raar op te kijken als we de volgende dag allemaal de tas open moeten maken en een DNA sample achter moeten laten als we een bijl willen halen.

    Gelukkig is in dit geval een oplossing dichtbij, de telefoons van CBSEC versleutelen alles op de cliënt en de private key komt nooit van het toestel af. Zoals het artikel al aangaf is in dit geval het in handen vallen van de private keys van Ennetcom gebruikers de grote slag geweest. Het nfi en om zitten nog steeds met stijve piemeltjes in deze grabbelton te harken en elke keer stoer te doen over “gekraakte” pgp telefoons van verdachten. Begrijp me niet verkeerd: ze hebben een off chip methode waardoor bepaalde restricties (max aantal pogingen wachtwoord) omzeild worden en de master key van BlackBerry bestandssysteem zelf is al jaren in handen van overheden, maar de inhoud van berichten ontsleutelen is nog steeds ren inrichtingsfout (private keys horen niet op servers) of een gebruikersfout (je private key op je verouderde BlackBerry hoort niet beschermd te zijn met dictionarybased passwordjes als letmein).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.