Ennetcom, PGPSafe, EncroChat en Sky-ECC. Door alle nieuws over deze encryptiediensten zijn ze voor een leek moeilijk uit elkaar te houden. En het is al helemaal ingewikkeld om te begrijpen welke juridische problemen rechters voorgeschoteld krijgen in rechtszaken met ontsleutelde chats van deze diensten. Crimesite zet een paar ins en outs op een rij.

Door @Wim van de Pol

Door de politie ontsleutelde pgp-berichten spelen nu, en in het verleden, een grote rol in belangrijke strafzaken. Er zijn inmiddels vele tientallen mensen verdacht of veroordeeld op grond van leesbaar gemaakte pgp-chats die justitie of de rechter aan hen toeschrijft. Andere verdachten zullen in de toekomst nog worden aangehouden op grond van pgp-chats, want de politie beschikt over zoveel miljoenen berichten dat nog ze nog lang niet aan verwerking van alles is toegekomen.

PGP

Er zijn vele apps waarmee berichten kunnen worden versleuteld op een solide manier, end-to-end, van gebruiker naar gebruiker. Bijna iedereen beschikt op de mobiele telefoon over iChat (Apple) of WhatsApp. Daarmee verstuur je berichten die derden, dus ook inlichtingen- en politiediensten, niet kunnen kraken. Voor diensten (apps) als Wickr, Threema, Proton en Signal geldt hetzelfde. Gebruikers kunnen hun communicatie daarmee privé houden onder één voorwaarde: als een derde geen (fysieke) toegang heeft tot de telefoon.

De meeste van die diensten maken gebruik van coderingssysteem PGP (pretty good privacy) of varianten daarop. Deze systemen zijn, mits op de juiste manier geïnstalleerd, in principe vrijwel niet te kraken. Daarom willen overheden overal ter wereld graag toegang (een achterdeurtje) maar dat geven de meeste diensten niet, behalve als de rechter het oplegt, hoewel ook dan de communicatie zelf meestal onleesbaar of onbereikbaar blijft.

Veel geld

Sinds een tiental jaar geleden zijn er voor heel veel geld telefoons of abonnementen op apps te koop waarbij de koper de belofte krijgt dat zowel de encryptie als het gebruik extra veiligheid garanderen. Ennetcom, PGPSafe, EncroChat en Sky-ECC zijn belangrijke voorbeelden. Deze bedrijven verkochten vele tienduizenden telefoons en maakten miljoenenwinsten.

Zeker is dat heel veel zware criminelen zich hebben laten verleiden tot de aanschaf van zo’n telefoon, in de illusie dat ze verlost waren van de meeluisterende of meelezende recherche. Dat was, vanuit hun perspectief achteraf gezien, geen goed idee.

Net zoals overheidsdiensten overal ter wereld studeren op manieren om WhatsApp of Signal te kraken of te omzeilen kregen ook deze diensten hun volle aandacht. En wel vanaf het moment dat ze op de markt kwamen. En zo werd de ene na de ander cryptodienst opgerold.

Alle Europese burgers

De vraag die nu in alle belangrijke strafzaken speelt is of dit op een rechtmatige manier is gebeurd. De komende jaren zal die door tal van rechtbanken, gerechtshoven en uiteindelijk Europese rechters worden beantwoord. Het Openbaar Ministerie vindt dat alles moet kunnen, in de rug gesteund door de gedachte dat mensen die aan de lopende band liquidaties laten plegen moeten worden gestraft.

Maar de beantwoording van de vraag over de rechtmatigheid is niet alleen van belang voor criminelen zoals Ridouan Taghi die nu terechtstaat in het Marengo-proces, maar voor alle Europese burgers.

Wat politie en justitie wél en wat ze níet mogen doen is van belang voor alle Europese burgers die mobiele telefoons en computers gebruiken. Want de overheid wil ook toegang krijgen tot cryptodiensten die iedereen gebruikt, zoals WhatsApp en Signal, en bijvoorbeeld ook tot diensten als Discord (veel gebruikt door gamers).

Wat mogen de overheidsdiensten wel en wat mogen ze niet? De komende jaren zullen vonnissen van rechters over de pgp-chats van zware criminelen voor de toekomst van de privacy van alle Europese burgers beslissend zijn.

Ennetcom en PGPSafe:

In 2016 sloeg de politie een grote slag door in Canada servers van het Nederlandse bedrijf Ennetcom in beslag te nemen. Daar was een operatie aan voorafgegaan waarbij politiespecialisten gebruik maakten van de bevoegdheid om binnen te dringen in systemen. Een rechter in Canada gaf toestemming aan Nederland om servers en versleutelde berichten mee te nemen. Die berichten wisten politietechneuten vervolgens te kraken. Het onderzoek droeg de naam 26DeVink. In 2017 was er een vergelijkbare operatie in Costa Rica waar servers van het Nederlandse bedrijf PGPSafe stonden. De politie kreeg met deze twee acties de beschikking over vele miljoenen berichten. Dat politie-onderzoek heet 26Sassenheim.

Er zijn al vele veroordelingen gevolgd op basis van de in beslag genomen Ennetcom- en PGPSafe-berichten. Dat waren bijvoorbeeld mensen die betrokken waren bij de golf van liquidaties in 2013 tot en met 2015, als gevolg van de zogenoemde Mocro-oorlog. Nog altijd zijn berichten die verdachten hebben verstuurd via die diensten actueel, bijvoorbeeld als bewijs tegen Ridouan Taghi.

De advocaten van Ridouan Taghi, Susanne Boersma en Inez Weski, gaven deze week in het Marengo-proces voor de rechtbank een opsomming van de juridische problemen rond Ennetcom. Dit zijn de belangrijkste kwesties die spelen rond de inzet van gekraakte berichten van Ennetcom en PGPSafe:

1. Het is de vraag of de inbeslagname van de servers en miljoenen berichten van onbekende gebruikers in Costa Rica en Canada was toegestaan volgens de Nederlandse en Europese wetten. Taghi’s advocaten zeggen dat zowel privacy-wetten als de belangen van verdachten zijn geschonden. Daarbij zijn ook fundamentele rechtsbeginselen, zoals zorgvuldige verslaglegging om rechtelijke controle mogelijk te maken en een eerlijke proces te waarborgen, met voeten getreden. Zowel de Europese rechten van de mens, de Nederlandse Grondwet als het Europese handvest zijn geschonden, stellen de advocaten.

2. Weski en Boersma stellen dat om toestemming om de pgp-data te verkrijgen de Canadese en Costa Ricaanse rechters willens en wetens door het Openbaar Ministerie zijn misleid. Zo werd de Canadese rechter voorgehouden dat de data slechts in vier onderzoeken zouden worden gebruikt.

3. Niet de Nederlandse wet en ook niet de Europese wetgeving staan het toe dat de politie “bulkdata”, dus communicatie van vele onbekende en onverdachte gebruikers van een communicatiebedrijf in beslag neemt. Daarover is veel jurisprudentie.

4. Omdat in beslag nemen van bulkdata nu eenmaal niet mag, zijn er geen (Europese) wetten en regels voor de verwerking van bulkdata door de politie. Toch staat volgens de advocaten vast dat hierbij de Nederlandse Grondwet, het recht van de Europese Unie en de Europese Rechten van de Mens geschonden zijn.

5. Het ontsleutelen van de in beslag genomen communicatie van onbekenden is in ieder geval wettelijk niet toegestaan, stellen de advocaten, ook daarover is volgens hen veel (Europese) jurisprudentie.

6. Persoonlijke gegevens van 19.000 gebruikers van Ennetcom stroomden zonder expliciet rechterlijk toezicht door naar willekeurige politieonderzoeken in het hele land. Een greep uit berichten en persoonlijke gegevens, van PGPSafe, die in Costa Rica in beslag zijn genomen, stuurde het Openbaar Ministerie door aan Italië en aan Frankrijk, zonder dat daar een rechter aan te pas kwam. Zo kwamen onverdachte personen plotseling terecht in strafrechtelijke onderzoeken. Dat is de omgekeerde wereld, immers: mensen moeten eerst verdacht zijn voordat hun gesprekken mogen worden opgenomen en gebruikt tegen hen.

7. De zoekmachine “Hansken” waarmee de recherche kan zoeken in de berichten van Ennetcom en PGPSafe staat niet onder enig onafhankelijk toezicht. De advocaten zeggen dat het in feite een technisch hulpmiddel is zoals de politie er vele mag gebruiken in de opsporing. Maar het is niet gecertificeerd en voldoet niet aan de eisen die in het Besluit technische hulpmiddelen aan zo’n hulpmiddel zijn gesteld. Hansken ontbeert dus wettelijke grondslag en noodzakelijk waarborgen, stellen de advocaten.

8. Het staat vast dat de chats die gebruikt worden als bewijs nooit volledig zijn. De context van de gehele gesprekken ontbreekt. Het is dus de vraag of er een volledig of correct beeld mee wordt gegeven van wat er zich in de echte wereld heeft afgespeeld.

9. Het staat vast dat de berichten uit PGPSafe betrekking hebben op de jaren 2012-2015. De jaren 2016-2017 ontbreken.

10. Door deze laatste drie punten kunnen verdachten als Taghi zich niet goed verdedigen en hebben ze geen recht op een eerlijk proces zoals dat in de Europese rechten van de mens in artikel 6 staat beschreven, zo stellen de advocaten.

Er zijn al vele verdachten veroordeeld op grond van de Ennetcom- en PGPSafe-berichten. Ook de Amsterdamse rechtbank zal hoogstwaarschijnlijk deze bezwaren van de advocaten voorlopig terzijde schuiven en Taghi veroordelen. Maar hogere (Europese) rechters zullen er niet aan ontkomen deze belangrijke kwesties nauwkeurig te beschouwen.

Of er dan strafzaken over (bijvoorbeeld liquidaties) alsnog zullen sneuvelen of veroordeelden op vrije voeten komen is overigens sterk de vraag.

Maar het oordeel van die rechters over deze punten is in ieder geval wel van groot belang van voor de geen Europese burgers die niets crimineels uitvoert. Want die uitspraken van rechters zullen van grote invloed zijn op de mate waarin de politie- en inlichtingendiensten in de toekomst beslag zullen kunnen leggen op vrijheden en privacy van gewone Nederlandse burgers die voortdurend communiceren met hun mobiele telefoon en hun computer, en overal waar ze komen worden geregistreerd door camera’s of computersystemen.

Zie alle overzichten over de hack van de encryptiediensten:

Het overzicht: Ennetcom en PGPSafe (#1)

Encryptiediensten, het overzicht: EncroChat (#2)

Encryptiediensten, het overzicht: Sky-ECC (#3)