Ophef over CryptoPhone is storm in glas water

27 november 2003
In beide wereldoorlogen hadden de Amerikanen een kleine groep Choctaw-indianen onder de wapenen die aan het Europese front radio- en telefonieverbindingen onderhielden. De berichten waren misschien voor de vijand relatief eenvoudig te onderscheppen, maar begrijpen deden ze de boodschappen niet. De Choctaw spreken namelijk een afwijkende muskogean indianentaal van de hokan-siouan-familie die voor de rest van de mensheid onbegrijpelijk is: een exotische variant van encryptie.
Zulke encryptie snijdt weer hout sinds de Telecomwet in hoofdstuk 13 bepaalt dat telecombedrijven hun netwerk aftapbaar moeten maken. Dat betekent dat politie en opsporingsdiensten berichten moeten kunnen onderscheppen en dat het telecombedrijf eventuele compressie en GSM-codering ongedaan maakt. Maar als de boodschap die de KLPD-agent uiteindelijk in de tapkamer te horen krijgt onverstaanbaar is omdat er twee Choctaw-verdachten aan de lijn hangen, valt dat de operator niet aan te rekenen. Datzelfde geldt wanneer de boodschap is versleuteld met ‘real-time voice encryptie’; daarover zijn de telecombedrijven, de juristen alsook de politie - die wel inziet dat het geen zin heeft de telco’s ergens toe te verplichten waartoe ze niet in staat zijn - het wel eens.
CDA-kamerlid Sybrand van Haersma Buma is daar nog niet van overtuigd. Hij wil dat minister Donner van justitie uitzoekt hoe voorkomen kan worden dat criminelen vrij spel krijgen dankzij de GSMK CryptoPhone 100 die sinds vorige week via internet besteld kan worden. Dit toestel is een standaard pda uit Taiwan met Pocket PC waarop een ‘real-time voice encryption’ programma draait. De 256-bits versleuteling maakt het signaal onkraakbaar voor meeluisteraars. Oud-hacker en XS4All-oprichter Rop Gonggrijp ontwikkelde de software en paste het besturingssysteem aan. Het Duitse GSMK produceert de toestellen in licentie.
Het tv-programma Netwerk zette de CryptoPhone neer als een doorbraak voor crimineel Nederland. De vaderlandse politie, die veelvuldig gebruik maakt van het afluisteren van telefoongesprekken voor de opsporing van criminelen, zou voortaan achter het net vissen. Aan legitieme toepassingen van een dergelijke telefoon en het feit dat soortgelijke toestellen al jaren te koop zijn werd gemakshalve voorbij gegaan. Heeft Van Haersma Buma nu gelijk en moet er tegen verkoop en gebruik van de crypto-mobieltjes worden opgetreden, of is er sprake van een storm in een glas water?
Een deel van de redenering klopt wel, meent Maurice Wessling van Bits of Freedom (BOF): "De Nederlandse politie leunt zwaar op afluisteren als opsporingsinstrument. In 1998 was sprake van 10.000 getapte nummers waarvan 7000 mobiele nummers. Dat is zelfs in absolute cijfers meer dan in de VS waar dergelijke cijfers elk jaar openbaar gemaakt moeten worden." In de Wet bijzondere opsporingsbevoegdheden die in 1999 van kracht werd, is bovendien vastgelegd dat niet langer de handtekening van de rechter-commissaris nodig is, maar dat de krabbel van de officier van justitie die de opsporing leidt voldoende is. In praktijk betekent dit dat het veel eenvoudiger is om tot afluisteren over te gaan. Taps spelen in 80 tot 90 procent van de opsporingszaken een belangrijke rol. Anderzijds schijnen ook de gevallen te zijn meegeteld waarbij uitsluitend de verkeersgegevens van een nummer, dus wanneer belt hij met wie, zijn opgevraagd. Bovendien wordt er zelden iemand veroordeeld louter op basis van afgeluisterde gesprekken en verkeersgegevens. Er is altijd sprake van aanvullend bewijs, observaties en bijvoorbeeld getuigenverklaringen.
Op het eerste gezicht lijkt de CryptoPhone een handige apparaat voor bijvoorbeeld de ‘pondjes-schuiver’. Voor 3600 euro koopt hij een keurig koffertje met twee toestellen (het systeem werkt vanzelfsprekend alleen tussen twee CryptoPhones). Hij geeft er een aan de ‘onsjes-schuiver’ en de bestellingen kunnen uitgebreid besproken worden zonder dat Bromsnor er een vinger achter krijgt. Maar ook over een gewone GSM kunnen ‘wit’ en ‘bruin’ versleuteld worden tot appels en peren. Bij dit soort praktijken gaat het de politie dan ook minder om de conversatie en meer om de verkeersgegevens en die zijn ook met een CryptoPhone herkenbaar. Zo bezien is de de CryptoPhone voor de drugsgrossier uit dit voorbeeld dus hooguit een gadget, een hebbedingetje.
Dat het misschien niet zo’n vaart zal lopen met ‘de criminelen die hun gang kunnen gaan met de CryptoPhone’ mag ook blijken uit het feit dat de politie in de afluisterpraktijk nooit met versleutelde mobiele gesprekken te maken krijgt. De CryptoPhone 100 is namelijk niet het eerste ‘ontapbare mobieltje’, er zijn al langere tijd verschillende modellen op de markt. Ook Frans Kolkman, teamleider van het bureau digitale expertise Oost-Nederland, zegt nog nooit op een versleuteld gesprek te zijn gestuit. "Wij zijn dat nog nooit tegengekomen. Criminelen die hun communicatie optimaal willen beveiligen doen dat 100 procent. Dan hangt dat echt niet af van een mobiele telefoon. De anderen zijn er veelal te gemakzuchtig voor. Je ziet dat ook bij e-mail. Toen PGP beschikbaar kwam hoorde je ook alom dat de politie achter het net zou gaan vissen omdat de criminelen hun communicatie zouden gaan versleutelen. Maar ze gebruiken het gewoonniet."
De politie ligt er nog niet wakker van en justitie meldde vorige week dat de CryptoPhone gewoon legaal is. Op zich kan dat overigens gauw veranderen weet Remy Chavannes, advocaat bij Stibbe. "Verbieden is niet eenvoudig. Daartoe moet de wet gewijzigd worden. In de praktijk is daar veel tijd mee gemoeid. Bovendien moet er een politiek draagvlak voor zijn. Maar als er bijvoorbeeld een terroristische aanslag wordt gepleegd en het blijkt dat de daders de opsporingsdiensten te vlug af zijn geweest dankzij mobiele telefoons met voice-encryptie dan is dat draagvlak er opeens wel en kan een wettelijk verbod heel snel worden ingevoerd."
Een ander probleem is de handhaving van een eventueel verbod. Het ligt niet voor de hand dat de politie een verdachte die getapt wordt, gaat bekeuren omdat hij belt met een verboden telefoon. De telco’s zouden misschien verplicht kunnen worden om dergelijke toestellen te blokkeren. Elk toestel meldt zich voortdurend aan op het netwerk en daarbij wordt onder andere de International Mobile Equipment Identifier (IMEI) doorgegeven, een uniek elektronisch serienummer dat onder andere de fabrikant en het type telefoon vermeldt. Alle IMEI’s die zich aanmelden worden automatisch gecontroleerd in het Equipment Identity Register. Op deze manier achterhalen de telco’s bijvoorbeeld ook gestolen GSM’s. Een SIM-kaart vervangen helpt niet, IMEI is gekoppeld aan het toestel.
De vraag is of een dergelijke blokkeringsverplichting, die volgens Chavannes ook wettelijk moet worden afgedwongen, veel zin heeft. De Sectra Tiger XS bijvoorbeeld, een Palm-achtig apparaatje dat 256-bits versleuteling toepast en ook in Nederland verkrijgbaar is, is een apart ‘device’ dat via Bluetooth met een gewone GSM verbonden is. De GSM meldt zich aan op het netwerk en wordt niet als ‘suspect’ herkend.
Verbieden lijkt dus uit praktisch oogpunt niet wenselijk, maar ook niet uit principieel oogpunt. Tien jaar na het debat over de vraag of cryptografie verboden moest worden, is deze technologie algemeen geaccepteerd en wordt het volop gebruikt op internet, vooral achter de schermen bijvoorbeeld bij online bestellingen. In het kamer-debat over het wereldwijde afluisternetwerk Echelon in 2001 verklaarden de ministers van het tweede paarse kabinet zich nog fervent voorstander van encryptie omdat dat een voorwaarde was voor het vertrouwen in de informatiemaatschappij.
Rop Gonggrijp, de man achter de CryptoPhone 100, begrijpt de commotie die zijn optreden in Netwerk teweeg bracht dan ook niet. "Het is onvoorstelbaar dat na tien jaar de discussie over het verbieden van cryptografie weer gevoerd moet worden. Er zijn zoveel legitieme scenario’s voor het gebruik van cryptografie. Onze klanten zijn bedrijven en niet-gouvernementele organisaties die werken in gebieden waar anderen meeluisteren. Als iemand van de FNV telefonisch met een vakbondsman in pakweg de Oekraïne wil overleggen, kan ik me voorstellen dat zij dat versleuteld willen doen."
Economische spionage is een gegeven. Nederlandse bedrijven die bijvoorbeeld in de voormalige oostblok-landen over de overname van voormalige staatsbedrijven onderhandelen, krijgen met gesprekspartners te maken die eenvoudig hun mobiele gesprekken kunnen tappen. Maar voor wantrouwen hoeven we helemaal niet naar het wilde oosten. Sinds het hardnekkige gerucht opdook dat bijvoorbeeld de Franse geheime diensten economische spionage bedrijven, schijnen de managers van HP in Frankrijk geen gewichtige informatie meer via de mobiele telefoon te mogen uitwisselen.
Maar Gonggrijp ziet ook in Nederland redenen om versleuteld te bellen. De politie schakelt de telco’s in als een mobiele telefoon afgeluisterd moet worden. Die zet dan een tap in de centrale. Tenslotte wordt het mobiele verkeer grotendeels over het vaste net afgewikkeld.
Kwaadwillenden hebben geen toegang tot die centrale maar als zij er veel geld voor over hebben kunnen ze met een IMSI-catcher het signaal ‘uit de lucht halen’. De International Mobile Subscriber Identity (IMSI) is een uniek serienummer op de SIM-kaart waarmee de provider en de abonnee zijn te identificeren. De IMSI-catcher doet zich voor als een steunzender van het GSM-netwerk die alle mobiele telefoons in de omgeving forceert om zich aan te melden. De politie gebruikt de IMSI-catcher om het het telefoonnummer te achterhalen dat bij pre-paidtoestellen hoort. Pre-paid toestellen worden door criminelen gebruikt omdat het anonieme karakter van dit systeem tappen minder aannemelijk maakt. Met een IMSI-catcher kunnen echter ook gesprekken worden afgeluisterd. Een IMSI-catcher van de firma Rohde & Schwarz kost 100.000 euro. Weliswaar levert het bedrijf alleen aan overheden, maar waar vraag is ontstaat aanbod.
Moet er nu nog flink wat geld neergelegd worden om een GSM-signaal te kunnen onderscheppen, binnen twee jaar is het kinderspel, weet Gonggrijp. "Op dit moment wordt er software ontwikkeld waarmee eenvoudig een GSM-steunzender kan worden geëmuleerd op een simpele pc. Binnen twee jaar is dat voor de consument beschikbaar. Dan krijgen we dezelfde taferelen als in de tijd van de analoge autotelefoon die massal door hobbyisten met scanners werden afgeluisterd. Dan zal ook versleuteling door middel van real-time voice encryptie gemeengoed worden." Encryptie als standaard toepassing dus, en dat is weer iets heel anders dan een verboden, crimineel gadget.
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!