‘Hooguit 90 pgp-berichten per gebruiker bewaard’

Het klinkt indrukwekkend: de politie kan nu 3,6 miljoen pgp-berichten lezen. Maar het is sterk de vraag of het Openbaar Ministerie hiermee werkelijk veel informatie in handen heeft. Een simpele rekensom relativeert de omvang van de vangst.

Door @Wim van de Pol

Ennetcom-gebruikers hadden ieder de beschikking over een eigen server die standaard uiterlijk na 48 uur werden geschoond. Het Openbaar Ministerie stelt in het persbericht dat er gegevens van 40.000 Ennetcom-BlackBerry’s en 3,6 miljoen in het spel zijn. De advocaat van eigenaar Danny M. is Inez Weski:

Berekend naar de hoeveelheid berichten en het aantal gebruikers, zouden dus zo’n 90 berichten per gebruiker zichtbaar zijn gemaakt. Gelet op het feit, dat de servers na maximaal 48 uur standaard werden geschoond, dus de berichten werden vernietigd, dan zou dus voor die 40.000 gebruikers met die 3,6 miljoen berichten inderdaad alleen de laatste 48 uur zichtbaar zijn gemaakt.

Maar bij die 3,6 miljoen berichten die in die 48 uur zijn bewaard zitten natuurlijk veel uitdrukkingen in het genre van ‘ja’, ‘nee’, ‘ok’, en bijvoorbeeld ook ‘wat bedoel je’, naast boodschappen van allerlei persoonlijke en niet-criminele aard. Bovendien zijn niet alle van de 40.000 gebruikers crimineel.

Daarbij moet de kanttekening worden gemaakt dat de politie waarschijnlijk wel namen of nicknames kan combineren met telefoonnummers en meta-data uit de telefooncentrale. Dergelijke analyses kunnen mogelijk tot bijvoorbeeld identificatie van verdachten leiden.

Sleutels?

Het Openbaar Ministerie spreekt over ‘encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen’. Volgens advocaat Weski beschikte Ennetcom helemaal niet over die sleutels. Het bedrijf dat pgp maakt en verkocht aan vele bedrijven – Symantec – ging over de sleutels. Symantec beschikte – althans volgens de PGP-werkwijze – ook niet zelf over de privé-sleutels van particuliere gebruikers. Dus hoe kan het Openbaar Ministerie over nu sleutels beschikken?

Witwassen

Advocaat Weski stelt dat het vergaren van de pgp-informatie door het Openbaar Ministerie ook juridische haken en ogen heeft. Het Openbaar Ministerie heeft volgens haar ten onrechte destijds beslag laten leggen op de gegevens van Ennetcom. De verdenking was witwassen waarbij de gedachte was dat de klanten van Ennetcom criminelen zijn.

Uit het dossier bleek namelijk dat het bedrijf Ennetcom vele tienduizenden klanten had, die via resellers de telefoons en de software kochten en, dat het openbaar ministerie slechts ongeveer vier voorbeelden van zaken noemden waarin sprake zou zijn geweest van een pgp telefoon aangeschaft bij zo’n reseller. Het bedrijf bleek bovendien vele klanten nationaal en internationaal ook bij overheidsinstellingen en bedrijven te hebben die om niet criminele redenen niet gehackt wensten te communiceren. Het in beslag nemen van de servers leek dus meer een poging van het openbaar ministerie om op oneigenlijke redenen toegang te krijgen tot een immense hoeveelheid communicatie van tienduizenden teneinde daar met een sleepnet in te kunnen vissen. Alsof de KPN of welk telecombedrijf dan ook zomaar wordt binnengevallen en de gehele inboedel meegeroofd om te kijken wie een fout bericht verstuurt.

Volgens Weski kan het OM de data niet zomaar gebruiken in rechtszaken. De Canadese rechter heeft volgens haar slechts toestemming gegeven voor het gebruik in slechts vier met name benoemde onderzoeken.