Hoe kon de Nederlandse recherche de sleutels van PGP-gebruikers in handen krijgen? Dat bleef na het verbluffende bericht over de 3,6 miljoen ontcijferde berichten van Ennetcom-gebruikers de vraag. ‘Eenvoudig’, zegt een specialist tegen Crimesite. ‘Het key-management-systeem in Canada is geanalyseerd’.
Door @Wim van de Pol
PGP gebruikt een robuuste encryptie. Kraken met brute kracht is niet aan de orde. Een gebruiker ontsleutelt berichten die aan hem zijn gericht met een privé-sleutel. De privé-sleutel wordt niet opgeslagen op een server. Hoe kan het OM dan zeggen dat er encryptie-sleutels ‘in handen’ van de politie zijn gevallen? Dat was de grote vraag die na de commotie van donderdagmiddag direct opkwam.
Eerst een reconstructie.
Privé-sleutels
BlackBerry-toestellen van Ennetcom konden alleen met andere BlackBerry-toestellen van Ennetcom op het Ennetcom-netwerk communiceren. De High Tech Crime Unit van de Nederlandse politie had ontdekt dat de privé-sleutels weliswaar werden gemaakt door de gebruiker op zijn eigen toestel maar dat in feite in de server van Ennetcom sleutels werden gegenereerd voor gebruik in het netwerk. Waar stond die server?
De toestellen communiceerden met een IP-adres dat was te herleiden naar een bedrijf op 151 Front Street West, Toronto, Canada (foto rechts). Daar wilde de Nederlandse politie naar binnen. Op 18 april vorig jaar verleende een Canadese rechter toestemming om de server van Ennetcom te doorzoeken.
Hiermee lagen echter nog niet de sleutels om berichten te ontcijferen voor het grijpen, maar er was wel iets anders te vinden: het complete keymanagement-systeem. Jarenlang konden de Nederlandse agenten de solide configuratie en encryptie van Ennetcom niet kraken. Nu wel.
De sleutel
Crimesite sprak op voorwaarde van anonimiteit met een specialist in de cryptografie die voor een inlichtingendienst van een NAVO-land heeft gewerkt. Hij kijkt niet op van het bericht dat het Openbaar Ministerie donderdag uit heeft doen gaan: ‘Die search warrant was het belangrijkste. Het leven is soms simpeler dan het lijkt.’
Het “key”(sleutel)management-systeem was letterlijk de sleutel tot de sleutels. De specialist:
Het keymanagement-systeem is het hart van een cryptosysteem. Ieder cryptosysteem heeft zijn eigen systeem voor sleutel-management dat beschrijft hoe je een sleutel voor een gebruiker samenstelt. Als je nu weet hoe een systeem sleutels construeert dan wordt zoeken veel makkelijker. Zo doen de internationale inlichtingendiensten het. Brute force kraken is zonde van je tijd. Maar als je het sleutelmanagement op een server te pakken kunt krijgen dan ben je er bijna. In plaats van een paar miljard berekeningen hoef je er dan nog maar een paar honderdduizend te doen en dat is voor de huidige kraakmachines bijna real time te doen. Als je het key-management kunt analyseren dan reduceer je het aantal posities waarnaar je op zoek bent. Je weet dan wat de volgende sleutel gaat zijn. Als je deels weet hoe de bits samengesteld zijn dan ga je plotseling van pakweg 128 onbekende bits naar bijvoorbeeld 70 bekende bits en dan heb je er nog maar 58 te gaan.
Met een gedeeltelijke sleutel konden dus de berichten die waren opgeslagen op de server te lijf worden gegaan en de sleutels konden worden gevonden.
Maar, de configuratie van Ennetcom zorgde ervoor dat berichten na hooguit 48 uur werden overschreven.
Apart gezet
De advocaat van Ennetcom liet donderdag in een persbericht weten dat op basis van de getallen die het Openbaar Ministerie naar buiten bracht er hooguit zo’n 90 berichten per gebruiker bewaard konden zijn. De rest was al weggegooid en overschreven met nullen en enen. Officier van justitie Martijn Egbers zei echter vrijdag in de Volkskrant dat de ontsleutelde berichten stammen uit de periode 2011 tot en met 2016. En er zijn volgens Egbers een miljoen nicknames in het spel.
Ook hier kijkt de cryptografie-expert niet van op. Hij werkte vroeger samen met politie en inlichtingendiensten van alle NAVO-landen.
De redenering van de advocaat over de 48 uur klopt. Maar dat is uitgaande van de ideale situatie. In werkelijkheid komen er op verschillende manieren data van bijvoorbeeld pgp-communicatie bij politie of inlichtingendiensten terecht, ofwel omdat ze toegang hebben tot versleutelde data op servers, ofwel omdat ze toegang hebben tot de communicatielijnen. Als ze iets niet kunnen lezen dan zetten ze het apart en denken ze “interessant, dat komt later nog”, zeker als ze weten van welk systeem of van welke verdachte groep iets komt. En dan kraken ze het later als ze tijd hebben of een sleutel hebben.
Verrassingspakket
De communicatie van Ennetcom-gebruikers kan dus jarenlang als een versleuteld verrassingspakket op de plank hebben gelegen. Totdat het Nederlandse Openbaar Ministerie het ‘in handen’ kreeg. Maar hoe kreeg de politie het ‘in handen’? Welke deal was er in dat geval met de inlichtingendienst of politiedienst die over het materiaal beschikte? De search warrant van april vorig jaar was dan niet toereikend.
Hack
De juridische vraag zal de komende jaren in meerdere rechtszalen opkomen: heeft de High Tech Crime Unit deze informatie op juiste wijze verkregen? Inez Weski, de advocaat van de eigenaar van Ennetcom, stelt dat er een sprake moet zijn geweest van ‘een hack’. Weski: ‘Ik vind het buitengewoon schimmig en ik ben verbijsterd dat ik allerlei details in de krant moet lezen. Ik wil alle informatie weten over die data.’
Dat is een relevante vraag. Want als de hierboven beschreven werkwijze de juiste is dan kan getwijfeld worden aan het aantal van 3,6 miljoen berichten. Dan zijn het er feitelijk veel meer.
‘Eén miljoen nicknames’, zei de officier van justitie. Verstuurden die dan niet veel meer dan 3,6 miljoen berichten?