In opdracht van het WODC heeft de NHL Stenden Hogeschool in samenwerking met de Open Universiteit en de Politieacademie op 11 april 2023 een rapport gepubliceerd over de rol van encryptie in de opsporing. Dit blogbericht is gebaseerd op het persbericht en samenvatting van het rapport.

De onderzoekers stellen dat encryptie in opsporingsonderzoeken gemeengoed geworden. Dat is voor een belangrijk deel te wijten aan mobiele telefoons die in beslag worden genomen in opsporingsonderzoeken. Op die telefoons zit vrijwel altijd een vorm van encryptie. Andere vormen van encryptie waarmee de opsporing zich geconfronteerd ziet, zijn versleutelde chatdiensten, vergrendelde devices anders dan mobiele telefoons (bijvoorbeeld laptops), versleutelde e-maildiensten en cryptotelefoons. Bij sommige typen criminaliteit komt encryptie vaker voor dan bij andere. Encryptie komt het meest voor bij georganiseerde (drugs)criminaliteit, cybercrime en kinderporno.

Om toegang te krijgen tot versleutelde informatie, heeft de opsporing ruwweg twee mogelijkheden: 1. encryptie omzeilen en 2. encryptie kraken. Beide kunnen veel capaciteit vergen, maar dat is niet altijd het geval. Het stellig kwantificeren van ‘de benodigde tijd’ was binnen de grenzen van het onderzoek niet haalbaar. Omzeilen kan door het vinden van de sleutel, het raden van de sleutel, het afdwingen van de sleutel, het exploiteren van een lek in de encryptiesoftware, het verkrijgen van toegang tot leesbare tekst als het apparaat in gebruik is en door het lokaliseren van een kopie van de leesbare tekst. Voor het technisch kraken – ofwel toegang krijgen tot een computersysteem met behulp van forensische hulpmiddelen – is adequate soft- en hardware nodig. Het kraken wordt volgens respondenten veelal uitbesteed aan een andere partij of afdeling, zoals het NFI. In geval van een internationale samenwerking kan Europol een rol vervullen. In hoeverre het kraken lukt, hangt af van het toegepaste cryptografische algoritme en de sleutellengte. Daarbij geldt in algemene zin: hoe langer de sleutel hoe lastiger te kraken.

Omtrent het inzetten van opsporingsbevoegdheden bepaalt het OM bijvoorbeeld of capaciteit en tijd van de Nationale Politie of het NFI wordt ingezet om versleutelde data te kraken. De opsporing beschikt verder over het decryptiebevel (art. 126nh lid 1 Sv) en de hackbevoegdheid (artt. 126nba, 126uba en 126zpa Sv). Hiervan wordt weinig gebruik gemaakt, omdat deze bevoegdheden alleen onder strikte voorwaarden mogen worden ingezet. Daarnaast is de opsporing bij rechtshulpverzoeken afhankelijk van onder andere wet- en regelgeving of opgevraagde data (tijdig) geleverd worden en of ze bruikbaar zijn voor het opsporingsonderzoek. Toch betekent het niet kunnen omzeilen of kraken van encryptie niet het einde van een opsporingsonderzoek. Soms werken de verdachten mee door data te ontsleutelen en de politie kan voor het bewijs ook andere wegen bewandelen. Denk daarbij aan metadata, bijvoorbeeld via telefoons die op een bepaald tijdstip in de buurt van een bepaalde telefoonpaal zijn.

Wanneer het lukt om encryptie te kraken, kan dit het opsporingsonderzoek vaak juist versnellen. De waarde van ontsleutelde data wordt bovendien gezien als zuiverder dan bijvoorbeeld (getuigen)verklaringen. Tevens is het beeld over criminele samenwerkingsverbanden vollediger is geworden na decryptie van communicatie van cryptotelefoniediensten, in plaats van globaal en fragmentarisch in de situatie voor en/of zonder encryptie. Bovendien, op het moment dat achter de encryptie gekomen kan worden (de fase van decryptie), ligt er potentieel een schat aan data waarmee de opsporing haar voordeel kan doen.

Het is niet vast te stellen hoeveel zaken er niet worden opgelost of hoeveel tijd verloren gaat door encryptie. Ook kon niet worden vastgesteld hoeveel zaken er extra worden opgelost of hoeveel tijd er wordt gewonnen dankzij gekraakte encryptie. De opsporing is daarvoor een te complex geheel van feiten, toevalligheden en omstandigheden. De onderzoekers stellen wel de vraag wat encryptie écht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen politie en criminelen. Uiteindelijk, zo stellen de onderzoekers, vraagt digitalisering van politie en haar partners meebewegen en aanpassen aan wat er op hen af komt.