Tag Cryptotelefoon

Cryptocommunicatiedienst MATRIX ontmanteld

jjoerlemans

Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ ontmanteld. Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat.

 Geheel in de stijl van ‘The Matrix’ werden gebruikers van de dienst via de website ‘https://www.operation-passionflower.com’ geïnformeerd over de take down.

Werking Matrix

De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst werd onder diverse namen aangeboden, waaronder ‘Mactrix’, ‘Totalsec’, ‘X-quantum’ en ‘Q-safe’.

De dienst in een app aangeboden op met name Google Pixel telefoons. Een toestel met abonnement van zes maanden kostte tussen de 1300 en 1600 euro. Nieuwe gebruikers konden alleen een toestel krijgen als ze werden uitgenodigd.

Bron: Afbeelding uit het persbericht op Politie.nl, ‘Opnieuw versleutelde communicatiedienst criminelen ontmanteld’, 3 december 2024.

Het tijdschrift Panorama bericht dat Matrix in Nederland vooral berucht werd door de rol die de cryptocommunicatiedienst had bij de aanslag op Peter R. de Vries. Kort na de aanslagen werden de twee uitvoerders opgepakt, in bezit van een speciale telefoon waarmee zij via Matrix communiceerden. Dit is een uitspraak waar naar de moord op Peter R. de Vries waarbij ook naar een Matrix-telefoon gerefereerd wordt: Rb. Amsterdam 12 juni 2024, ECLI:NL:RBAMS:2024:3272. Ook kwam de app volgend de website voor in de vermeende plannen van Ridouan Taghi om uit de Extra Beveiligde Inrichting (EBI) te ontsnappen. Dankzij tijdig ingrijpen wisten autoriteiten deze gewelddadige plannen te verijdelen.

Operation Passion Flower

De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en (volgens Panorama drie maanden lang) mee te lezen. Deze gegevens kunnen vervolgens worden gebruikt in opsporingsonderzoeken in andere landen. Europol en Eurojust ondersteunden de internationale operatie. De politie werkte drie jaar lang samen met andere politieorganisaties.

In juni 2024 werd bij Europol een operationele taskforce (OTF) opgericht tussen Nederland, Frankrijk, Litouwen, Italië en Spanje. De OTF zal volgens Europol ook assistentie verlenen bij onafhankelijke vervolgonderzoeken op basis van inlichtingen die tijdens de live-fase van de operatie zijn verzameld. De Duitse autoriteiten ondersteunden de operatie met hun technische expertise. Ook de Spaanse autoriteiten zouden vanaf het begin van het onderzoek hebben samengewerkt met de Franse en Nederlandse autoriteiten.  

De operationele details blijven vooralsnog onbekend. De quote in de Telegraaf dat “Met behulp van specialistische kennis en expertise op het gebied van digitale technologie is het ons toch gelukt om de geavanceerde, zwaarbeveiligde berichtendienst te onderscheppen” zegt natuurlijk niets.

Deze infographic van Europol laat het internationale karakter van de operatie goed zien.

Bron: infographic ‘Take down of Matrix’ by Europol, 3 December 2024, europol.europa.eu

MATRIX had minstens 8000 gebruikers wereldwijd, maar de gebruikers bevonden zich grotendeels in Zuid-Europa. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. Deze verdachte is aangehouden op verzoek van de Nederlandse autoriteiten in het Spaanse Marbella.

Geheimhouders

De politie vermeld op hun website:

Matrix had mogelijk ook gebruikers die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken. Zij kunnen dit melden door hun gebruikersgegevens te delen met de politie via geheimhouders@om.nl De politie zal dit controleren en indien gegrond, de gegevens verwijderen.

JJO: Dit bericht wordt geüpdated aan de hand van beschikbare nieuwsberichten en jurisprudentie over de operatie (meest recent op 19 december 2024).

Meer duidelijkheid over de Ironchat-operatie

jjoerlemans

Bron afbeelding: https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Zie ook dit NOS-artikel voor meer informatie over IronChat.

Werking IronPhone en IronChat

In de uitspraak (ECLI:NL:RBGEL:2024:6732) van de rechtbank Gelderland van 12 september 2024 staan in r.o. 2.1.4-2.1.6 interessante details over de cryptotelefoons. Om gebruik te maken van de communicatiemethode diende men een abonnement af te sluiten. Op een prijslijst die beschikbaar is uit de kopie van de server van het bedrijf staan de volgende kosten voor een abonnement:

  1. Telefoon (model Wileyfox Swift2) met als kosten voor een abonnement: per zes maanden € 800,- voor Europa en € 1000,- voor wereldwijd;
  2. Telefoon (model Samsung S8) met als kosten voor een abonnement: per zes maanden € 1.500,- voor Europa en € 1.750,- voor wereldwijd;
  3. Laptop (model HP Folio 9470m) met als kosten voor een abonnement: € 2.250,- per jaar.

Bij een aantal telefoons die zijn onderzocht in het kader van andere strafrechtelijke onderzoeken is opgevallen dat de telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Een getuige heeft verklaard dat de camera’s en microfoons werden verwijderd uit de telefoons wanneer verdachte dat wilde. Volgens de bewijsstukken gebeurde ongeveer in de helft van de gevallen.

Encryptiemethode

In de gebruiksaanwijzing van ‘communicatiemethode 2’ (uit 2015), staat omschreven dat gebruik wordt gemaakt van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. In de gebruikersaanwijzing worden de volgende voordelen opgesomd van het gebruik van OTR ten opzichte van andere “veilige communicatie”:

  • [communicatiemethode 2] laat geen digitale handtekeningen achter in berichten waardoor het achteraf niet valt te bewijzen dat er communicatie heeft plaatsgevonden;
  • communicatiemethode 2] werkt alleen als beide contacten online zijn, er wordt niets van berichten op servers opgeslagen. (…);
  • Gesprekken via [communicatiemethode 2] vallen achteraf niet meer te ontsleutelen, ook niet als de datalijnen getapt worden. (…);
  • [communicatiemethode 2] beschikt over een wis & sluit functie waarbij alle berichten direct worden gewist en encryptiesleutels direct komen te vervallen;
  • [communicatiemethode 2] heeft een PANIC modus waarbij u met één druk op de knop uw gehele [communicatiemethode 3] wist en ontoegankelijk maakt.

Overige functionaliteiten

Daarnaast is het mogelijk om de inhoud van een chat op beide telefoons helemaal te verwijderen door een codewoord in te voeren en te versturen naar degene waarvan men wil dat de inhoud van die chat verdwijnt. Men voert dan in: “CRASHME!34”.

Ook staat in een proces-verbaal dat de communicatie-app voor de buitenwereld er uitziet als een medische app. Sommige landen verplichten bij de douane het wachtwoord van telefoons te verstrekken, maar medische gegevens mogen dan niet worden ingezien.

Onderzoek naar een leverancier Ironchat

In het onderzoek ‘Orwell’ werd een in Nederland gevestigd bedrijf onderzocht in verband met de verdenking dat dit bedrijf encrypted communicatiemiddelen faciliteerde voor onder andere criminele organisaties. Dit Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk.

Middels een Europees Onderzoeksbevel kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. Uit digitaal onderzoek bleek dat de server werd gebruikt voor het versturen van versleutelde berichten en belangrijke informatie bevatte, die zicht gaf op onder andere verschillende chataccounts, chatnamen en de NN (op dat moment anonieme)-gebruikers van de producten van het Nederlandse bedrijf.

In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland.

Onderzoek naar de gebruikers van IronChat en opvolgende onderzoeken

De telecommunicatie werd vervolgens ter beschikking gesteld aan het onderzoek ‘Goliath’. Dit onderzoek, dat op 30 mei 2018 is ingesteld door de politie Oost-Nederland, richtte zich naar “criminele NN-gebruikers” van zogenaamde encrypted telefoons die de chatapp Ironchat gebruikten.

Over het opsporingsonderzoek met de naam ‘Goliath’ overweegt de rechtbank Gederland in (ECLI:NL:RBGEL:2024:6732) dat in de periode van 3 oktober 2018 tot en met 2 november 2018 de communicatieapplicatie is geïntercepteerd. Tijdens deze interceptiefase is 24/7 chatverkeer onderschept, gelezen, geduid, veredeld en geanalyseerd. Er is binnen onderzoek Goliath gewerkt met, onder andere, zoekwoorden (topics). Dit waren zoekwoorden die te relateren zijn aan diverse vormen van criminaliteit. Voorbeelden van dergelijke woorden zijn: ‘drugs’, ‘coke’, ‘slapen’, ‘pipa’s’, ‘AK’ of ‘wapens’. Deze topics waren beschikbaar in diverse talen. Als er in chatberichten woorden voorkwamen die op deze topiclijsten stonden, werden alle chatberichten van de conversatie zichtbaar in de chatmodule. Gedurende de interceptieperiode is niet vastgesteld dat anderen, waaronder politici, artiesten en de gewone man met bijvoorbeeld een geheime relatie, gebruik hebben gemaakt van de communicatiemethode, zoals de verdediging stelde.

Volgens ECLI:NL:RBOVE:2020:1558 werd door de officier van justitie overeenkomstig artikel 126dd Sv toestemming gegeven voor het gebruik van de overgedragen onderzoeksgegevens ten behoeve van het onderzoek ‘Metaal’, dat zich richtte op het achterhalen van de identiteit van de (NN-)gebruikers. In dit onderzoek kwam vervolgens een account naar voren dat kon worden gekoppeld aan de verdachte.

De rechtbank Overijssel overweegt in ECLI:NL:RBOVE:2020:1558 dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’.

Ontvankelijkheid OM

De rechtbank Overijssel en Limburg overwegen in hun uitspraken dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen’. De rechtbank Overijssel overweegt simpelweg dat ‘niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

De rechtbank Limburg overweegt dat de onderzoekshandelingen waarvan de uitvoering plaatsvond onder verantwoordelijkheid van het Verenigd Koninkrijk. De taak van de Nederlandse strafrechter is volgens de rechtbank ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dat onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM.

Het behoort volgens de rechtbank niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek in het buitenland is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels. Er dient, op grond van het vertrouwensbeginsel, dan ook van de rechtmatigheid van de verkrijging van deze gegevens te worden uitgegaan. De verdediging heeft in zijn geheel niet onderbouwd dat er bij de verkrijging van de gegevens sprake is van een onrechtmatigheid en op welke wijze deze zou zijn ontstaan en onder wiens verantwoordelijkheid. Niet is gebleken dan ook van enige schending van het recht op een eerlijk proces.

Voor wat betreft het gebruik van de verkregen resultaten in verschillende onderzoeken in Nederland, overweegt de rechtbank Limburg dat op grond van artikel 126dd Sv de officier van justitie bevoegd is om die gegevens te verstrekken aan een ander onderzoek. Een beschikking van de rechter-commissaris is niet vereist. Het verweer wordt dan ook verworpen. De officier van justitie is ontvankelijk in de vervolging.

Dit bericht is geüpdated op 4 november 2024 naar aanleiding van nieuwe jurisprudentie.

Meer duidelijkheid over de SkyECC-operatie

jjoerlemans Een reactie plaatsen

‘SkyECC’ is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een SkyECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren.

Vanaf medio februari 2021 konden opsporingsdiensten live meekijken met de berichten die op SkyECC-telefoons werd verstuurd. In 2021 had het bedrijf wereldwijd 170.000 gebruikers. Volgens het Openbaar Ministerie zijn tijdens operatie ‘Argus’ honderden miljoenen berichten (!) van de SkyECC app uitgelezen tijdens de operatie. Belgische media, zoals HLN.be, spreken van het onderscheppen van 1 miljard (!!) berichten, waarvan er 500 miljoen zijn ontcijfert (RTL Nieuws).

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief. Samen met Sofie Royer heb ik het volgende artikel over de Sky ECC operatie geschreven: Oerlemans, J.J., & Royer, S. (2023). The future of data driven investigations in light of the Sky ECC operationNew Journal of European Criminal Law14(4), 434-458. https://doi.org/10.1177/20322844231212661. Verder is bijvoorbeeld de docu ‘The Crime Messenger‘ via ZDF.de te bekijken.

In dit blogbericht zet ik de feiten uit de rechtspraak over de operatie en de Nederlandse rol daarbij op een rijtje. De informatie is met name afkomstig uit proces-verbalen en een brief van 2 juni 2022 van het Openbaar Ministerie over de SkyECC operatie die worden geciteerd in vonnissen. Daarbij zijn met name de uitspraken ECLI:NL:RBAMS:2022:6816 van de rechtbank Amsterdam van 21 november 2022 en ECLI:NL:RBGEL:2022:7425 en ECLI:NL:RBGEL:2022:7440 van de rechtbank Gelderland van 20 december 2022 belangrijk.

Sky telefoon

SkyECC bood meerdere modules voor de telefoons aan die functionaliteiten boden voor e-mail, instant chats, instant groepchats, notities, voicemail, beelden en berichten die na bepaalde tijd automatisch worden vernietigd. Ook beschikten de telefoons over verschillende kenmerken waaronder een ‘distress wachtwoord’ en een ‘remote wipe’ waarmee het mogelijk is om (op afstand) alle data op het toestel te wissen. Bellen is met een ‘Skytelefoon’ niet mogelijk.De telefoons werden volledig anoniem en enkel tegen contante betaling verhandeld.

Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

Onderzoek ’13Yucca’

Het onderzoek begon in Nederland op 30 oktober 2018 met het onderzoek ‘13Yucca’. Uit meerdere strafrechtelijke onderzoeken bleek dat door personen die zich bezighielden met het beramen en plegen van zware criminaliteit, in de periode vanaf augustus 2015 gebruik maakten van SkyECC telefoons om versleuteld te communiceren. Het onderzoek ‘13Yucca’ was erop gericht om de criminele samenwerkingsverbanden inzichtelijk te krijgen en zicht te krijgen op gepleegde en nog te plegen strafbare feiten.

Door Nederlandse opsporingsambtenaren reeds vastgesteld dat de servers van SkyECC zich in Frankrijk bevonden. Nederland was ermee bekend dat ook België voornemens was om een strafrechtelijk onderzoek naar de onderneming SkyECC te starten. Aangezien de servers van SkyECC zich bij hostingbedrijf ‘OVH’ in de Franse plaats Roubaix bevonden, hebben de Nederlandse en Belgische autoriteiten contact gezocht met Frankrijk en heeft op 9 oktober 2018 een verkennend overleg plaatsgevonden. Het doel van dit overleg was om toelichting te geven op de aanstaande EOB’s van Nederland en België en helderheid te verkrijgen over de vraag of Frankrijk de onderzoeken zou kunnen verrichten.

Nederland heeft vervolgens op 6 december 2018 een Europees Onderzoeksbevel (EOB) naar Frankrijk verzonden met het verzoek om een image te maken van de servers. Met een image kon de technische inrichting van de servers kon worden onderzocht met het oog op nader onderzoek, zoals het tappen en ontsleutelen van de via die servers gevoerde communicatie, en zodat inzicht kon worden verkregen in de organisatie van SkyECC. Verder werd verzocht om informatie te verstrekken ten aanzien van historische en toekomstige klantgegevens van SkyECC, alsmede het verstrekken van technische gegevens van de server.

Voordat dit EOB werd verzonden, is door de officier van justitie aan de rechter-commissaris om een machtiging gevraagd om een vordering ex artikel 126ug lid 2 Sv te kunnen doen. De rechter-commissaris verleende die machtiging op 30 november 2018 en gaf toestemming voor het maken van een image, maar met de uitdrukkelijke restrictie dat de vergaarde informatie uitsluitend mocht worden aangewend voor het onderzoek naar de technische mogelijkheden voor het tappen en de ontsleuteling. De inhoud van de eventueel op de servers aan te treffen berichten mocht niet zonder uitdrukkelijke voorafgaande toestemming van de rechter-commissaris worden gebruikt in een strafrechtelijk onderzoek. België heeft eerder op 21 november 2018 een soortgelijk EOB naar Frankrijk gezonden.

Frankrijk heeft uitvoering gegeven aan de EOB’s en heeft de architectuur van de servers geanalyseerd. Uit het onderzoek bleek dat er twee servers werden gehost bij OVH, te weten een hoofdserver die rechtstreeks met het internet verbonden was en een back-upserver. Deze twee servers communiceerden onderling met elkaar via een intranet-netwerk dat binnen OVH overeenkwam met de handelsnaam ‘vRack’. Deze vRack-technologie is ontwikkeld door OVH en maakt het mogelijk om compatibele OVH-producten binnen een of meer privénetwerken te verbinden, isoleren of verdelen.

Naar aanleiding van dat onderzoek besloot de Franse officier van justitie bij de rechtbank van Lille op 13 februari 2019 een opsporingsonderzoek te openen naar SkyECC. Binnen dat onderzoek heeft de Franse officier van justitie toestemming gevraagd aan de Franse rechter om over te gaan tot interceptie, opname en transcriptie van de communicatie tussen de SkyECC servers, welke toestemming op 14 juni 2019 is verleend.

Op 24 juni en 26 juni 2019 zijn vervolgens IP-taps geplaatst op de twee servers. Nederland was niet aanwezig bij het plaatsen van de IP-tap. Op 8 juli 2019 is Nederland hierover geïnformeerd en op 11 juli 2019 zijn de data van de IP-tap beschikbaar geworden voor Nederland. In het tweede EOB van Nederland aan Frankrijk staat dat Nederland formeel het verzoek doet om die verkregen data te verstrekken aan Nederland. Voorts blijkt uit een ‘bericht van overdracht’ van 20 augustus 2019 dat de geïntercepteerde data door de rechter-commissaris van de rechtbank Lille uit eigen beweging op grond van artikel 26 van het Cybercrimeverdrag en artikel 7 van het Rechtshulpverdrag zijn overgedragen aan twee officieren van justitie van het parket Rotterdam. Daarbij is verzocht om de bevindingen naar aanleiding van de data weer terug te koppelen aan Frankrijk.

Onderzoek ’26Werl’

Op 1 november 2019 is opsporingsonderzoek ‘26Werl’ opgestart, waarbij de verdenking was gericht jegens het bedrijf SkyECC. Op 13 december 2019 hebben Nederland, België en Frankrijk een JIT-overeenkomst gesloten. Onderzoek Werl maakte deel uit van het JIT. Vanaf dit moment zijn de door Frankrijk geïntercepteerde data aan het gemeenschappelijke onderzoeksteam verstrekt en op die wijze gedeeld met Nederland en België.

De IP-tap data zijn geanalyseerd en verwerkt en tijdens de analyse is gebleken dat de getapte IP-communicatie versleutelde communicatie bevat. Sommige informatie was niet versleuteld. Zo werd in de loop van juli 2019 inzicht verkregen in de onderwerpregels van sommige groepsgesprekken en de SkyECC-ID’s van de deelnemers aan deze groepsgesprekken. Ook werd uit de interceptie op dit netwerk inzicht verkregen in de nicknames van SkyECC-gebruikers en bleek dat berichten om andere gebruikers als contactpersoon uit te nodigen niet versleuteld werden verstuurd. Op 15 november 2019 is gebleken dat een deel van de groepsberichten mogelijk kon worden ontsleuteld en is bij wijze van test een eerste groepsbericht succesvol ontsleuteld. De JIT-partners hebben besloten om de groepsberichten tot nader order niet te ontsleutelen, omdat deze mogelijke dataset beperkt en zeer incompleet zou zijn en daardoor onvoldoende mogelijkheden zou bieden om onderzoek te verrichten. Met uitzondering van enige testberichten zijn er overeenkomstig het besluit van het JIT tot aan de aanloop van de live fase geen groepsberichten ontsleuteld.

Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. Op 14 mei 2020 en 3 juni 2020 heeft Frankrijk die ontwikkelde techniek ingezet. Deze techniek is op 18 november 2020 aangesloten en geactiveerd, nadat de Franse adviescommissie, die een oordeel moet vellen over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim, hier een vergunning voor heeft verleend.

In de brief van het Openbaar Ministerie van 2 juni 2022 met als onderwerp ‘Franse vertaalde processtukken gevoegd in Belgische strafzaken’ staat hierover het volgende:

Gedurende dit gezamenlijke onderzoek werd in Nederland een techniek ontwikkeld om een kopie van het werkgeheugen van één van de servers van Sky ECC te maken. Het doel hiervan was om versleutelingselementen en/of wachtwoorden te verkrijgen die gebruikt worden om de verbinding tussen toestellen en de Sky ECC servers te kunnen ontcijferen en de Sky ECC servers later forensisch te kunnen onderzoeken. In november 2019 zijn Nederlandse en Belgische rechercheurs er in geslaagd een deel van de groepsberichten te ontsleutelen.

en

Binnen het gemeenschappelijke onderzoeksteam zijn Nederlandse rechercheurs en technici er uiteindelijk in november 2020 in geslaagd een techniek te ontwikkelen om met behulp van een zogeheten Man in the Middle (MITM) de versleutelingselementen te verkrijgen die zijn opgeslagen op elke telefoon die de Sky ECC-applicatie gebruikte. De techniek is gedeeld met de Fransen, zodat zij de techniek konden gebruiken, indien en voor zover de techniek paste binnen de voorwaarden die de Franse wet stelt aan de door hen gekozen vorm van interceptie. Teneinde aan de voorwaarden van de Franse wet te voldoen is voorafgaand aan de Franse machtiging van 17 december 2020 tot inzet van dit middel door Frankrijk een vergunning aangevraagd. Het betreft een vergunning die moet worden aangevraagd waarbij de techniek wordt getoetst. De vergunning is vervolgens afgegeven door de Franse adviescommissie die een oordeel moet vellen over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim (artikel r.226-2 van de Code Pénal)

(§ 3.4.1 Brief van het Landelijk Parket van 2 juni 2022. O.a. in het vonnis van Rb. Gelderland, 20 december 2022, ECLI:NL:RBGEL:2022:7425 en Rb. Gelderland 11 april 2023, ECLI:NL:RBGEL:2023:2011 wordt uit de brief geciteerd).

Huib Modderkolk heeft op 13 oktober 2023 in de Volkskrant een achtergrondartikel over de operatie en de ontwikkeling van een hacking-tool gepubliceerd.

Naar verwachting is heeft dus het grootste deel van de interceptie plaatsgevonden vanaf de toestemming door een Franse rechter vanaf 18 december 2020 tot 9 maart 2021, de dag dat de operatie publiek werd.

Onderzoek ’26Argus’

Op 11 december 2020 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC (een ‘Titel V-onderzoek’). Het onderzoek had onder meer tot doel “het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC“.

De rechtbank Amsterdam legt nog in ECLI:NL:RBAMS:2022:6816 uit dat 26Argus een onderzoek is waarin onderzoek wordt gedaan naar een crimineel verband en de rol die verschillende personen bij dat verband spelen. Bij enkele in titel V geregelde bevoegdheden, namelijk het opnemen van telecommunicatie en het opnemen van vertrouwelijke communicatie, is de kring van personen beperkt tot personen ten aanzien van wie een redelijk vermoeden bestaat dat zij betrokken zijn bij het in georganiseerd verband beramen of plegen van ernstige misdrijven. Zij behoeven geen verdachte te zijn in de zin van artikel 27 Sv, maar zij dienen wel een meer dan toevallige betrokkenheid te hebben bij het criminele handelen van de groepering, die bijvoorbeeld blijkt uit meer dan incidentele contacten met de criminele organisatie of haar leden.

In het onderzoek 26Argus heeft het Openbaar Ministerie op 14 december 2020 een vordering ingediend bij de rechters-commissarissen om een machtiging te verstrekken voor een bevel op grond van artikelen 126t en 126t, zesde lid Sv. Op 15 december 2020 hebben de rechters-commissarissen deze machtiging verleend. Op 5 en 11 februari 2021 heeft het Openbaar Ministerie een (aanvullende) vordering ingediend bij de rechters-commissarissen op grond van artikel 126uba Sv, welke machtigingen op 7 en 11 februari 2021 zijn verleend.

In een proces-verbaal van bevindingen van de rechters-commissarissen hebben zij inzicht gegeven in de gang van zaken en hun afwegingen en beslissingen. Aangezien de wet geen procedure kent voor dit soort gevallen, hebben de rechters-commissarissen zich allereerst afgevraagd of er wel een machtiging van hen vereist was en waarop hun bevoegdheid in dat geval was gebaseerd. Zij concludeerden dat hoewel op voorhand niet vaststaat dat een beslissing van de Nederlandse rechter-commissaris noodzakelijk is voor de rechtmatigheid van het gebruik van de SkyECC-data, een toetsing van de proportionaliteit door de rechter-commissaris toch aangewezen is, met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkenen. De rechters-commissarissen hebben afwegingen gemaakt en voorwaarden gesteld, om op die manier de privacy schending zoveel mogelijk in te kaderen en zogenaamde ‘fishing expeditions’ te voorkomen.

De voorwaarden die de rechters-commissarissen aan de uitvoering van de machtiging hebben gesteld luiden als volgt:

  1. De vergaarde en ontsleutelde informatie mag slechts worden onderzocht met toepassing van vooraf aan de rechter-commissaris voorgelegde zoeksleutels, zoals:
    – informatie over SkyECC-gebruikers (en hun tegencontacten en eventueel daar weer de tegencontacten van) uit lopend onderzoek naar criminele samenwerkingsverbanden;
    – zoektermen (steekwoorden) en/of afbeeldingen die naar hun aard wijzen op ernstige criminele activiteiten in georganiseerd verband;
  2. Het onderzoek met de zoeksleutels moet zo worden ingericht dat desgewenst achteraf reproduceerbaar en verifieerbaar is voor de rechtbank en verdediging welke resultaten/dataset de zoekslag heeft opgeleverd, en dus welke gegevens ter beschikking zijn gesteld voor het desbetreffende opsporingsonderzoek;
  3. Er wordt bij het onderzoek recht gedaan aan het verschoningrecht van geheimhouders waaronder advocaten. Voor zoveel mogelijk wordt geheimhouderscommunicatie actief uitgefilterd;
  4. De rechter-commissaris wordt inzage gegeven in de onderliggende Franse rechterlijke beslissingen;
  5. De vergaarde informatie wordt na het onderzoek zoals hiervoor omschreven voorgelegd aan de rechter-commissaris om de inhoud en omvang te controleren, en de relatie tot concrete vermoedelijke strafbare feiten te beoordelen;
  6. De vergaarde informatie zal pas na uitdrukkelijke toestemming van de rechter-commissaris aan het Openbaar Ministerie of de politie ter beschikking worden gesteld ten behoeve van (verder) opsporingsonderzoek. Daarbij moet (gelet op voorwaarde 2) duidelijk zijn op welke gegevens de toestemming ziet, en welke gegevens aan het onderzoeksteam worden verstrekt;
  7. De vergaarde informatie zal slechts ter beschikking worden gesteld voor onderzoeken naar strafbare feiten die naar hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, dan wel misdrijven met een terroristisch oogmerk.

(zie Rb. Amsterdam 24 november 2022, ECLI:NL:RBAMS:2022:6803 in onderzoek ’26Zenne’)

In de verlenging van de machtiging ex artikel 126t Sv van 11 januari 2021 zijn de voorwaarden waaronder aanvullende toestemming kan worden verkregen voor het gebruik van de data nader uitgewerkt. De aanvragen zijn onderverdeeld in vier categorieën en steeds is bepaald wat de omvang is van de SkyECC-data waarvoor toestemming werd gegeven en van welke kaders de communicatie mocht worden ingezien en gebruikt.

Late informatievoorziening en prejudiciële vragen

Bovenstaande feiten staan in overwegingen van uitspraken, omdat advocaten het Openbaar Ministerie verwijten dat zij onvolledig en onjuist zijn geïnformeerd over de wijze waarop SkyECC-data is verkregen. Ook zou Nederland een zeer belangrijke en bepalende rol gehad in de verkrijging van de data, onder andere omdat Nederland de interceptietools heeft ontwikkeld. Hierover zijn prejudiciële vragen gesteld aan de Hoge Raad.

Arrest Hoge Raad

De Hoge Raad heeft deze prejudiciële vragen op 13 juni 2023 in een arrest (ECLI:NL:HR:2023:913beantwoord. Kortgezegd maakt de Hoge Raad (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen. Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken.

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.

Zie ook uitgebreid hierover ons artikel: J.J. Oerlemans & B.W. Schermer, ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘, NJB 2023/2244, afl. 31, p. 2610-2618.

JJO: dit bericht is op 12 december 2024 op details geüpdated.

Meer duidelijkheid over PGP Safe-operatie

jjoerlemans

Dit is een met AI gegeneerde afbeelding van WordPress.com

In mei 2015 is het Team High Tech Crime van de Landelijke Eenheid en het Landelijk Parket een onderzoek gestart naar een bedrijf die cryptotelefoons leverde onder de merknaam ‘PGP Safe’. Het betrof speciale software waarmee versleuteld gecommuniceerd kon worden via BlackBerry telefoons. Het opsporingsonderzoek kreeg de naam ‘26Sassenheim’.

Volgens dit persbericht en dit persbericht viel het doek voor PGP Safe op 9 mei 2017. In Nederland, Costa Rica, Duitsland en Oostenrijk vonden er gelijktijdig doorzoekingen plaats en werd bewijs veiliggesteld, waaronder de sleutels om de PGP-berichten te ontsleutelen. In het persbericht van 2017 is verder te lezen dat gegevens veiliggesteld van de technische infrastructuur die door PGP Safe gebruikt werd om de versleutelde PGP-berichten te versturen. In deze data werden meer dan 700.000 versleutelde berichten gevonden, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar waren gemaakt.

Veiligstellen van PGP Safe berichten

In een uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) is meer te lezen over het veiligstellen van de berichten op een server in Costa Rica. Ook het arrest van het Hof Den Haag van 2 juli 2024 (ECLI:NL:GHDHA:2024:1104) leverde nog interessante informatie op.

In het onderzoek 26Sassenheim heeft de officier van justitie op 4 april 2017 een rechtshulpverzoek gedaan aan de bevoegde autoriteiten in Costa Rica voor een doorzoeking en het veiligstellen en kopiëren van een server die zich bevond in een datacentrum van het bedrijf ‘Rack Lodge S.A.’.  Op deze server bevond zich de infrastructuur voor het routeren en versleutelen van e-mailberichten van gebruikers van PGPSafe.net (hierna: ‘PGPSafe-berichten’).

Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. Omdat de Costa Ricaanse autoriteiten de doorzoeking gingen beëindigen, is niet alles gekopieerd. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten.

In de perioden dat het kopiëren van de gegevens zonder de aanwezigheid van de Costa Ricaanse autoriteiten werd voortgezet zijn de serverkasten door de rechter verzegeld. De verzegeling is bij voortzetting van de doorzoeking steeds door de Costa Ricaanse autoriteiten gecontroleerd, waarbij geen doorbreking van de verzegeling is vastgesteld. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en door de Costa Ricaanse rechter verzegeld.

Op 12 juni 2017 is van de Costa Ricaanse autoriteiten een pakket ontvangen met daarin een verzegelde reiskoffer en een enveloppe met de uitvoeringsstukken van het rechtshulpverzoek. In de reiskoffer bevonden zich harde schijven, te weten een Synology NAS met acht harde schijven en een losse harde schijf.

Van de losse harde schijf is een forensische kopie gemaakt, waarvan de integriteit softwarematig is vastgesteld. De bestanden die zich op de NAS bevonden zijn eveneens naar het onderzoeksnetwerk van de politie gekopieerd. Van die bestanden zijn de hashwaardes berekend. De hashwaardes van de bron (de NAS) en de kopie van het onderzoeksnetwerk kwamen overeen.

Met behulp van het door het Nederlands Forensisch Instituut (hierna: NFI) ontwikkelde forensische systeem Hansken zijn uit de Costa Rica data emailberichten ontsloten.

Aanpak van facilitators

In 2017 zei het OM over de zaak:

“De politie en het Openbaar Ministerie treden hard op tegen mensen die criminelen/criminele organisaties (digitaal) ondersteunen of faciliteren. Deze zogenoemde facilitators worden vervolgd en hun criminele vermogen wordt afgepakt.

De PGP BlackBerry’s zoals door de verdachten in onderzoek 26Sassenheim werden verkocht, zijn vooral in gebruik bij criminelen.”

In het persbericht van 7 december 2021 staat dat 5 jaar gevangenisstraf wordt geëist tegen de leveranciers van de PGP Safe-cryptotelefoons.

Uitspraak leverancier cryptotelefoons

 In de uitspraak van de rechtbank Rotterdam van 20 januari 2022 (ECLI:NL:RBROT:2022:363) is te lezen dat de verdenking aanvankelijk was dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte werd verdacht tezamen met anderen een eigen BlackBerry Enterprise Server (BES) in gebruik te hebben waaraan hij te verkopen BlackBerry’s koppelde om zo versleutelde en te wissen communicatie mogelijk te maken. BES is software waarmee een centraal te beheren datacommunicatiearchitectuur opgezet en onderhouden kan worden. Deze BlackBerry’s en de daarbij behorende abonnementen werden – volgens de verdenking – verkocht aan criminelen, die hiermee veilig en buiten het bereik van politie en justitie onderling konden communiceren.

De rechtbank overweegt dat ‘het gronddelict is het in strijd met de Telecommunicatiewet op de markt brengen van gemodificeerde, niet gekeurde PGP-encrypted BB’s. Met dat op de markt brengen werden inkomsten gegenereerd die uit dat misdrijf afkomstig waren.’ Maar de rechtbank ‘ziet niet in dat met deze overtreding crimineel geld kan zijn verdiend zoals in de tenlastelegging onder de feiten 1 en 2 is opgenomen en daarvoor is ook geen enkele aanwijzing te vinden in het dossier. Het causaal verband tussen de ten laste gelegde geldbedragen en dit gronddelict ontbreekt daarom’. De verdachte wordt van deze overtreding vrijgesproken. De rechtbank overweegt ook dat voor het de overtreding van de Telecommunicatiewet voor de hand had gelegen de met bestuursrechtelijke handhaving belaste instanties in te schakelen voor de verdere beoordeling en afdoening hiervan, in plaats van deze strafrechtelijke weg te bewandelen. De rechtbank verklaart de officier van justitie om deze redenen niet-ontvankelijk in de strafvervolging van overtreding van de Telecommunicatiewet en de Wet op de economische delicten.

De rechtbank overweegt ook dat het bedrijf de enige distributeur van de PGP-encrypted BlackBerry’s met de bijbehorende abonnementen. De PGP-software die op deze BlackBerry’s was geïnstalleerd bevatte een applicatie (genaamd Emergency Wipe) om zelf alle op de BB aanwezige gegevens te wissen. Daarnaast verleende de organisatie als aanvullende dienst ook ‘beheer op afstand’. Dit hield onder meer in dat de inhoud van een BB op verzoek van de klant, door tussenkomst van [naam rechtspersoon], op afstand kon worden gewist (een zogenaamd ‘wipe- of kill-verzoek’). Na onderzoek van in beslag genomen PGP-encrypted BlackBerry’s van de medeverdachte en de daarop aangetroffen e-mailcorrespondentie is een groot aantal van deze wipe- of kill-verzoeken aangetroffen. Deze mailwisselingen zijn vergeleken met gegevens in de politiesystemen en ook met de naar aanleiding van een rechtshulpverzoek aan de Costa Ricaanse autoriteiten verkregen en ontsleutelde data van de BlackBerry Enterprise Server (BES) van de Canadese leverancier die zich bevond in Costa Rica.

Daarbij is gebleken dat in de vier in de tenlastelegging vermelde gevallen een wipe- of kill-verzoek was gedaan nadat de gebruiker van de betreffende BlackBerry was aangehouden en de telefoon in beslag was genomen. Deze verzoeken zijn dus gedaan om te voorkomen dat de politie belastende informatie uit de telefoons zou kunnen halen. Deze verzoeken zagen op BlackBerry’s met e-mailadressen die eindigen op een bepaalde domeinnaam. Het betreffen dus BlackBerry’s en/of abonnementen die zijn verkocht door de organisatie. Gelet hierop acht de rechtbank bewezen dat de organisatie zich tezamen en in vereniging met elkaar schuldig hebben gemaakt aan begunstiging, zoals strafbaar gesteld in artikel 189, eerste lid onder 3 Sr. Bewezen is dat zij door te voldoen aan genoemde wipe- of kill-verzoeken opzettelijk voorwerpen (in dit geval: de inhoud van de telefoons) die kunnen dienen om de waarheid aan de dag te brengen, aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om de inbeslagneming van die voorwerpen te beletten of te verijdelen. De verdachte heeft, hoewel in hij de positie was om dat te doen, niet verhinderd dat dergelijke verzoeken werden uitgevoerd. De rechtbank is gelet hierop van oordeel dat de verdachte voorwaardelijk opzet heeft gehad op de begunstiging. Niet vereist is dat hij wetenschap heeft gehad van de concrete verzoeken zelf en de uitvoering daarvan.

De verdachte wordt dus veroordeeld voor valsheid in geschrifte en het Nederlandse equivalent van ‘obstruction of justice’ (‘begunstiging’). De rechtbank overweegt nog in de strafbestelling het volgende:

“De handel in de PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons. Door dit ook te doen in zaken waarin de gebruiker van de telefoon door de politie is aangehouden en waarbij de telefoon in beslag is genomen, heeft de organisatie [naam rechtspersoon] hiermee echter strafbaar gehandeld. Daarmee is in de zaken tegen die betreffende gebruikers mogelijk bewijs vernietigd en het onderzoek door politie en justitie bemoeilijkt. De verdachte heeft hieraan feitelijke leiding gegeven en op die manier eraan bijgedragen dat de opsporing van andere strafbare feiten werd gefrustreerd. Het valt de verdachte te verwijten dat hij met deze handel criminelen heeft willen helpen uit handen van politie en justitie te blijven. In het kader van de vaststelling van de op te leggen straf is evenwel relevant dat niet is vast te stellen in welke omvang dit handelen heeft plaatsgevonden.”

De verdachte krijgt 65 dagen gevangenisstraf en een geldboete van 10.000 euro opgelegd. De gevangenisstraf is gelijk aan de dagen die de verdachte reeds in verzekering en voorlopige hechtenis heeft doorgebracht. Ook ontvangt de verdachte een deel van het inbeslaggenomen geld en voorwerpen terug.

Toets op betrouwbaarheid PGP Safe data

In de uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) wordt het volgende gezegd over de authenticiteit van de data en betrouwbaarheid van de data:

De authenticiteit van de data

Het is juist dat in Costa Rica bij het kopiëren van de data de data op de server niet zijn gehasht. Die hashwaarde kan dus niet worden vergeleken met de hashwaarde van de data op de door de Costa Ricaanse autoriteiten aan de Nederlandse politie geleverde harde schijven. Dit valt het OM echter niet te verwijten aangezien dit toen geen Nederlandse aangelegenheid is geweest.

Hieraan behoeft echter evenmin een gevolg voor de betrouwbaarheid van die data verbonden te worden, nu van enige manipulatie van die data voordat deze bij de Nederlandse politie is aanbeland niet is gebleken. De rechtbank neemt daarbij in ogenschouw dat met het verbreken van de verbinding tussen de servers en het internet, het verzegelen van de servers op het moment dat de Costa Ricaanse autoriteiten niet aanwezig waren en het verpakken en verzegelen van het gekopieerde materiaal, dat naar Nederland is gestuurd de kans dat die data toen zouden zijn gemanipuleerd uitermate klein kan worden geacht. Het dossier biedt hiervoor ook overigens geen begin van aannemelijkheid.

Na ontvangst van de harde schijven uit Costa Rica zijn de data volgens de regelen der kunst gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Ook hierin ligt geen reden te veronderstellen dat de data niet op forensisch verantwoorde wijze zijn veiliggesteld en ligt hierin geen grond om de data voor het bewijs uit te moeten sluiten.

Tijdstempels

Het feit dat die verschillen zich kunnen voordoen is al in een eerder stadium door de deskundigen in de binder Ennetcom & PGPSafe onderkend. Echter, daaruit volgt nog niet dat de inhoud van het bericht daarmee onjuist is.

De verdediging heeft voorts gesteld dat de onbetrouwbaarheid van de PGPSafeberichten onder meer blijkt uit de verschillen die zich soms voordoen bij de vermelding van de tijdstippen van verzending en ontvangst die aan die berichten zijn gekoppeld in de lijn van de verzender en die van de ontvanger.

Deze verschillen in tijdstempels kunnen zich bij voorbeeld al voordoen wanneer men zich op dat moment in verschillende tijdzones bevindt, verschillende bestuurssystemen worden gehanteerd, waardoor een doorgestuurd bericht anders wordt getypeerd en/of met een ander tijdstempel (gemodificeerd, benaderd, gecreëerd) wordt opgeslagen op de server of het toestel of de tijdsinstellingen van het toestel zelf anders zijn ingesteld. Hoewel dit meebrengt dat het tijdstip van verzenden respectievelijk ontvangen van een bericht altijd een kritische blik vereist, kan hieruit niet zonder meer en niet zonder nadere specifieke toelichting de onbetrouwbaarheid van (de inhoud van) die berichten afgeleid worden.

Behoedzaamheid

De Rechtbank Amsterdam overweegt in een uitspraak in de zaak Marengo op 27 februari 2024 (ECLI:NL:RBAMS:2024:696) nog het volgende.

Bij het gebruik van de PGP-berichten voor het bewijs past behoedzaamheid. De rechtbank is zich ervan bewust dat veelal sprake is van incomplete PGP-communicatie. Dit komt in de eerste plaats doordat op de servers niet alle communicatie meer te vinden was vanwege het retentiebeleid van de aanbieder van de dienst.

In het geval van PGP-safe geldt bovendien dat niet alle servers zijn gekopieerd, maar dat de keuze is gemaakt voor het kopiëren van de apparatuur uit de serverkast die vanaf 2012 werd gehuurd. De apparatuur die in de vanaf 2016 gehuurde serverkast stond, is dus niet gekopieerd. Het kopiëren bij PGP-safe is bovendien op enig moment door de Costa Ricaanse autoriteiten beëindigd toen die servers nog niet volledig waren gekopieerd. Daar komt bij dat in het dossier die berichten terecht zijn gekomen die het Openbaar Ministerie uit de Marengo-dataset als relevant heeft geselecteerd. Hierbij past overigens de kanttekening dat de verdediging inzage heeft gehad in de Marengo-dataset en zij zelf ook heeft kunnen verzoeken om voeging van berichten die zij relevant vond.

Verder geldt dat de meeste verdachten hebben ontkend de (enige) gebruiker van een bepaald PGP-account te zijn, dan wel zich op hun zwijgrecht hebben beroepen. Slechts enkele verdachten hebben duiding gegeven aan de inhoud van de berichten. In de berichten wordt soms onduidelijk gesproken. In sommige gevallen zijn conversaties onvolledig. In een deel van de conversaties ontbreken zelfs alle berichten van een van de deelnemers. De context van de berichten is dan ook niet steeds duidelijk. Daar staat tegenover dat voor de bewijswaarde relevant is dat personen die een versleutelde berichtendienst gebruikten zich onbespied waanden en vaak openlijk communiceerden over waar ze mee bezig waren, zonder pogingen dit te verhullen. Ook dat weegt de rechtbank mee bij de beoordeling.

Het voorgaande leidt de rechtbank tot de conclusie dat weliswaar met behoedzaamheid naar de PGP-berichten voor het bewijs moet worden gekeken, maar dat het niet zo is dat de PGP-berichten in algemene zin niet of in onvoldoende mate aan het bewijs kunnen bijdragen vanwege hun onvolledigheid.

Dit is bericht op 2 december 2024 geüpdated