De mede-eigenaar van een IT-bedrijf dat door pgp-bedrijf Ennetcom voor technische ondersteuning was ingehuurd ontkent tegen Crimesite bij monde van zijn advocaat dubbelspel te hebben gespeeld.
Door Wim van de Pol
De Telegraaf berichtte dinsdag dat de man een wachtwoord aan de politie doorspeelde waarmee de politie in staat werd gesteld versleutelde berichten die in Canada op Ennetcom-servers stonden te kraken. Een medewerker van het NFI zou hierover volgens de krant in een rechtszaak bij de rechter-commissaris uitgebreid over hebben verklaard.
Advocaat Yehudi Moszkowicz zegt nu tegen Crimesite:
Cliënt heeft geen dubbelrol gespeeld maar uitsluitend conform de overeenkomst met Ennetcom en zijn wettelijke plicht gehandeld. Door de huidige berichtgeving loopt cliënt – die nu is ondergedoken – mogelijk ernstig gevaar en houdt het OM aansprakelijk voor het geval hem iets overkomt. Cliënt roept het OM op om deze onjuiste berichtgeving te ontzenuwen.
Telecomwet
Volgens Moszkowicz was het bedrijf ingehuurd als beheerder van één van de door Ennetcom gebruikte servers. Omdat het dat volgens de Telecomwet verplicht was moest hij tijdens de actie tegen Ennetcom in 2016 op vordering van de officier van justitie zijn beheerderswachtwoord verstrekken.
Dit was tevens vastgelegd in de overeenkomst van het IT-bedrijf met Ennetcom aldus Moszkowicz:
In de overeenkomst is ook de verplichting opgenomen dat bij een inval van justitie cliënt direct advocaat Meijering van Ficq en partners moest bellen. Dit heeft hij gedaan. Mr. Meijering was in bespreking maar zijn kantoorgenoot heeft bevestigd dat men moest meewerken, aldus cliënt.
Dat laatste is niet waar zegt advocaat Nico Meijering in reactie. De man is nooit cliënt van zijn kantoor geweest, en Meijering of zijn kantoor waren niet op de hoogte van enige overeenkomst tussen hem en Ennetcom. Het is wel mogelijk dat de IT-specialist op de dag van de Ennetcom-invallen contact heeft gezocht. Maar, zegt Meijering:
Mede gelet op het feit dat hij (of zijn bedrijf) geen cliënt bij ons was, hebben wij hem of zijn bedrijf geen adviezen gegeven, laat staan dat wij wel even telefonisch (zonder de zaak of de feiten te kennen) een advies zouden hebben gegeven om een wachtwoord te verstrekken aan binnenvallende justitie- en politieambtenaren.
Beheerder BlackBerry-server
Moszkowicz zegt dat het wachtwoord aan de politie geen toegang gaf tot de mailservers met berichten, maar uitsluitend tot de BlackBerry servers. Op die servers stond geen maildata.
Er was een sleutel- en mailserver waar informatie over sleutelmanagement en de data van de berichten te vinden was. Maar die stond, volgens de cliënt van Moszkowicz, niet onder beheer van het IT-bedrijf.
Het zou ‘sterk’ zijn aldus de cliënt van Moszkowicz als het NFI via een andere route met behulp van het beheerderswachtwoord van cliënt toegang tot de gewraakte info in Canada heeft gekregen. (tekst gaat verder onder de reclame)
Hoe gekraakt?
De cliënt van Moszkowicz benadrukt dat het Openbaar Ministerie in een eerder stadium heeft verteld, dat het NFI en politie zelf in staat waren de pgp-berichten te ontsleutelen. Moszkowicz: ‘en dat is een heel andere verhaal dan dat dit met hulp van mijn cliënt zou zijn gebeurd.’
Politie of justitie hebben ondanks druk van advocaten (bijvoorbeeld in de zaak tegen Naoufal “Noffel” F.) nooit in een proces-verbaal willen vastleggen hoe precies de met pgp gecodeerde berichten zijn ontsleuteld.
Een specialist in cryptografie zei eerder tegen Crimesite dat er in Canada mogelijk toegang is verkregen tot het key-management. Als je weet hoe sleutels worden opgebouwd dan wordt het makkelijker om berichten die met die sleutels zijn gecodeerd te kraken.