‘Niet alle BlackBerry-PGP’s te kraken’ (UPDATE)

‘Niet alle BlackBerry-PGP’s te kraken’ (UPDATE)

Niet alle BlackBerry-telefoons die zijn uitgerust met PGP-encryptie zijn te kraken door forensisch onderzoekers van de politie. Sommige wel. Of dat mogelijk is hangt af van de configuratie en het wachtwoordgebruik. 

Door @Wim van de Pol

Er is eind vorig jaar grote ongerustheid ontstaan onder de gebruikers van BlackBerry met pgp-encryptie in Nederland. Het Nederlands Forensisch Instituut zou dit soort telefoons sinds kort uit kunnen lezen, zo rapporteerde Misdaadnieuws. Dat is reden voor grote zorg voor mensen die een PGP-smartphone hebben aangeschaft en juist niet willen dat politie of anderen hun berichten kunnen lezen. Er zijn inmiddels zelfs Kamervragen over gesteld. Wat is nu de stand van zaken?

Celebritepgp

Ten eerste gaat het er niet om dat PGP-code zelf is gekraakt. Dat is alleen mogelijk als de politie over een backdoor zou beschikken en dat is niet het geval. De code van PGP is zo sterk dat zelfs grote rekenkracht dit niet kan kraken.

Bij forensisch onderzoek aan een telefoon maken onderzoekers eerst een 1 op 1-kopie van de geheugenchip. Ze halen de chip uit de telefoon en sluiten die aan op een uitlezer. Dat levert dan een digitaal databestand op. Die procedure heet een een chip-off analyse. Het programma Celebrite dat het NFI zou hebben gebruikt is een algemeen bekend programma voor het uitlezen van dergelijke bestanden.

Private keys

Het NFO (Nationaal Forensisch Onderzoeksbureau) doet nu zo’n zes jaar forensisch onderzoek op telefoons in opdracht van (straf)advocaten en de rechtelijke macht. Rob ten Hove van NFO zegt nu te beschikken over een kleine tien strafdossiers waarin de politie spreekt over informatie de uit PGP-telefoons is uitgelezen. Er is dan persoonlijke informatie gevonden die met PGP versleuteld had moeten zijn. De vraag is hoe dat kan.

pgp blackberry nfi gekraakt versleutelingWelk type

Rob ten Hove:

Daar doen we nu onderzoek naar. De oorzaak lijkt te liggen in de combinatie van de server die wordt gebruikt en de instellingen zoals ze zijn geleverd door de telefoonverkoper. Ons is wel duidelijk is dat je niet alle BlackBerry PGP-telefoons over één kam kunt scheren.

Ten Hove werkt in het onderzoek samen met diverse experts, onder meer met hack-deskundige Rickey Gevers.

Cruciaal is om exact te weten welk type BlackBerry en welke configuratie is gebruikt. Dan kan je beter inschatten wat er mogelijk is. De politie noteert dat meestal niet in het procesverbaal. Ik vermoed dat de BlackBerry’s die de politie heeft uitgelezen “de beperkt geavanceerde BlackBerry’s zijn”. Bijvoorbeeld BlackBerry’s die niet optimaal en diepgaand zijn geconfigureerd of BlackBerry’s waarop PGP enkel als applicatie draait.

Beperkte BlackBerry

Wie bijvoorbeeld naar de winkel gaat, een BlackBerry aanschaft en daar vervolgens zelf PGP op installeert heeft een wat Gevers noemt beperkt geavanceerde BlackBerry. Zo’n installatie kan tal van zwakheden bevatten. Gevers noemt een voorbeeld:

Als de telefoon zo is ingesteld dat ontcijferde berichten of ingevoerde private keys in het geheugen blijven staan dan heb je weinig aan de PGP-encryptie want dat geheugen kan gewoon worden uitgelezen en zijn die berichten en die wachtwoorden leesbaar.

Nieuwe aanbieders

Er is een groeiende markt voor telefoons die versleuteld zijn. Steeds meer mensen hechten aan privacy, niet alleen bepaalde criminelen, maar ook bijvoorbeeld mensen die in de top van het bedrijfsleven werken, willen daarom een PGP-beveiliging op hun communicatie. Dit soort beveiliging is wat gebruiksvriendelijker dan bijvoorbeeld het systeem van de Cryptophone.

Gevolg is dat de laatste jaren veel nieuwe aanbieders in deze nieuwe markt zijn gesprongen. Ze bieden soms verrassend goedkope oplossingen, die echter soms wel zwakheden vertonen.

Servers

Een BlackBerry-configuratie biedt heel veel mogelijke instellingen en daarmee de mogelijkeid om de beveiliging en de PGP-encryptie optimaal te laten werken. BlackBerry Enterprise biedt iedere gebruiker een eigen server. Informatie die daar wordt opgeslagen kan standaard periodiek met korte tussenpozen worden overschreven en dus echt gewist.

Configuratiebig-data

Een goed geconfigureerde PGP-BlackBerry maakt in ieder geval gebruik van een Enterprise-server. Een andere belangrijke instelling is dat het geheugen van de telefoon zelf om de paar minuten automatisch wordt overschreven. Ontsleutelde berichten en ingevoerde private keys zijn er dan niet meer in terug te vinden door forensisch onderzoekers. De kans dat de benodigde twee private keys (wachtwoorden) in handen komen van de onderzoekers is daarmee bijna te verwaarlozen.

Rickey Gevers:

Ik heb geen idee welke verkopers van PGP-telefoons het echt goed doen. Een goed teken is in ieder geval wel als ze precies alles over de gebruikte configuratie op hun website zetten.

Niet allemaal kwetsbaar

Ennetcom is in Nederland, en ook internationaal, een belangrijke speler. In berichten op Misdaadnieuws is gesteld dat ook Ennetcom-PGP-telefoons gekraakt zouden zijn. Een rondgang langs verschillende advocaten leert dat er in de dossiers die nu bij hen circuleren geen gekraakte PGP-toestellen van Ennetcom voorkomen. Rob ten Hove van NFO:

Het is niet zo dat je nu kunt zeggen dat PGP-telefoons van alle aanbieders kwetsbaar zijn. We hebben een serie telefoons van Ennetcom gekregen om te onderzoeken. Van het flashgeheugen van deze telefoons zijn, met behulp van een chip-off analyse, digitale kopieën vervaardigd. Deze digitale kopieën zijn onder andere onderzocht met de software van Celebrite. In het geheugen van die telefoons is door ons geen enkele leesbare persoonlijke informatie aangetroffen.

Ennetcom laat weten dat zijn PGP-telefoons niet gekraakt zijn. GhostPGP en TopPGP ontkennen dat ze zijn gekraakt door de aangehaalde methode van het NFI. Blackberry zelf heeft een persbericht uitgegeven over de kwestie.

Gebruikers

Ook al is de configuratie van een BlackBerry-PGP maximaal, een gebruiker kan die altijd verzwakken. Voor de toegang tot berichten zijn twee private keys noodzakelijk, de eerste om de telefoon te openen en de tweede om de PGP-encryptie van een bericht eraf te halen. Gebruikers die voor beide hetzelfde simpele wachtwoord gebruiken maken hun telefoon onnodig kwetsbaar. Maar ook dan geldt dat wie een telefoon heeft die het geheugen frequent overschrijft deze kwetsbaarheid minimaliseert.