Dit is een met AI gegeneerde afbeelding van WordPress.com

In mei 2015 is het Team High Tech Crime van de Landelijke Eenheid en het Landelijk Parket een onderzoek gestart naar een bedrijf die cryptotelefoons leverde onder de merknaam ‘PGP Safe’. Het betrof speciale software waarmee versleuteld gecommuniceerd kon worden via BlackBerry telefoons. Het opsporingsonderzoek kreeg de naam ‘26Sassenheim’.

Volgens dit persbericht en dit persbericht viel het doek voor PGP Safe op 9 mei 2017. In Nederland, Costa Rica, Duitsland en Oostenrijk vonden er gelijktijdig doorzoekingen plaats en werd bewijs veiliggesteld, waaronder de sleutels om de PGP-berichten te ontsleutelen. In het persbericht van 2017 is verder te lezen dat gegevens veiliggesteld van de technische infrastructuur die door PGP Safe gebruikt werd om de versleutelde PGP-berichten te versturen. In deze data werden meer dan 700.000 versleutelde berichten gevonden, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar waren gemaakt.

Veiligstellen van PGP Safe berichten

In een uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) is meer te lezen over het veiligstellen van de berichten op een server in Costa Rica. Ook het arrest van het Hof Den Haag van 2 juli 2024 (ECLI:NL:GHDHA:2024:1104) leverde nog interessante informatie op.

In het onderzoek 26Sassenheim heeft de officier van justitie op 4 april 2017 een rechtshulpverzoek gedaan aan de bevoegde autoriteiten in Costa Rica voor een doorzoeking en het veiligstellen en kopiëren van een server die zich bevond in een datacentrum van het bedrijf ‘Rack Lodge S.A.’.  Op deze server bevond zich de infrastructuur voor het routeren en versleutelen van e-mailberichten van gebruikers van PGPSafe.net (hierna: ‘PGPSafe-berichten’).

Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. Omdat de Costa Ricaanse autoriteiten de doorzoeking gingen beëindigen, is niet alles gekopieerd. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten.

In de perioden dat het kopiëren van de gegevens zonder de aanwezigheid van de Costa Ricaanse autoriteiten werd voortgezet zijn de serverkasten door de rechter verzegeld. De verzegeling is bij voortzetting van de doorzoeking steeds door de Costa Ricaanse autoriteiten gecontroleerd, waarbij geen doorbreking van de verzegeling is vastgesteld. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en door de Costa Ricaanse rechter verzegeld.

Op 12 juni 2017 is van de Costa Ricaanse autoriteiten een pakket ontvangen met daarin een verzegelde reiskoffer en een enveloppe met de uitvoeringsstukken van het rechtshulpverzoek. In de reiskoffer bevonden zich harde schijven, te weten een Synology NAS met acht harde schijven en een losse harde schijf.

Van de losse harde schijf is een forensische kopie gemaakt, waarvan de integriteit softwarematig is vastgesteld. De bestanden die zich op de NAS bevonden zijn eveneens naar het onderzoeksnetwerk van de politie gekopieerd. Van die bestanden zijn de hashwaardes berekend. De hashwaardes van de bron (de NAS) en de kopie van het onderzoeksnetwerk kwamen overeen.

Met behulp van het door het Nederlands Forensisch Instituut (hierna: NFI) ontwikkelde forensische systeem Hansken zijn uit de Costa Rica data emailberichten ontsloten.

Aanpak van facilitators

In 2017 zei het OM over de zaak:

“De politie en het Openbaar Ministerie treden hard op tegen mensen die criminelen/criminele organisaties (digitaal) ondersteunen of faciliteren. Deze zogenoemde facilitators worden vervolgd en hun criminele vermogen wordt afgepakt.

De PGP BlackBerry’s zoals door de verdachten in onderzoek 26Sassenheim werden verkocht, zijn vooral in gebruik bij criminelen.”

In het persbericht van 7 december 2021 staat dat 5 jaar gevangenisstraf wordt geëist tegen de leveranciers van de PGP Safe-cryptotelefoons.

Uitspraak leverancier cryptotelefoons

 In de uitspraak van de rechtbank Rotterdam van 20 januari 2022 (ECLI:NL:RBROT:2022:363) is te lezen dat de verdenking aanvankelijk was dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte werd verdacht tezamen met anderen een eigen BlackBerry Enterprise Server (BES) in gebruik te hebben waaraan hij te verkopen BlackBerry’s koppelde om zo versleutelde en te wissen communicatie mogelijk te maken. BES is software waarmee een centraal te beheren datacommunicatiearchitectuur opgezet en onderhouden kan worden. Deze BlackBerry’s en de daarbij behorende abonnementen werden – volgens de verdenking – verkocht aan criminelen, die hiermee veilig en buiten het bereik van politie en justitie onderling konden communiceren.

De rechtbank overweegt dat ‘het gronddelict is het in strijd met de Telecommunicatiewet op de markt brengen van gemodificeerde, niet gekeurde PGP-encrypted BB’s. Met dat op de markt brengen werden inkomsten gegenereerd die uit dat misdrijf afkomstig waren.’ Maar de rechtbank ‘ziet niet in dat met deze overtreding crimineel geld kan zijn verdiend zoals in de tenlastelegging onder de feiten 1 en 2 is opgenomen en daarvoor is ook geen enkele aanwijzing te vinden in het dossier. Het causaal verband tussen de ten laste gelegde geldbedragen en dit gronddelict ontbreekt daarom’. De verdachte wordt van deze overtreding vrijgesproken. De rechtbank overweegt ook dat voor het de overtreding van de Telecommunicatiewet voor de hand had gelegen de met bestuursrechtelijke handhaving belaste instanties in te schakelen voor de verdere beoordeling en afdoening hiervan, in plaats van deze strafrechtelijke weg te bewandelen. De rechtbank verklaart de officier van justitie om deze redenen niet-ontvankelijk in de strafvervolging van overtreding van de Telecommunicatiewet en de Wet op de economische delicten.

De rechtbank overweegt ook dat het bedrijf de enige distributeur van de PGP-encrypted BlackBerry’s met de bijbehorende abonnementen. De PGP-software die op deze BlackBerry’s was geïnstalleerd bevatte een applicatie (genaamd Emergency Wipe) om zelf alle op de BB aanwezige gegevens te wissen. Daarnaast verleende de organisatie als aanvullende dienst ook ‘beheer op afstand’. Dit hield onder meer in dat de inhoud van een BB op verzoek van de klant, door tussenkomst van [naam rechtspersoon], op afstand kon worden gewist (een zogenaamd ‘wipe- of kill-verzoek’). Na onderzoek van in beslag genomen PGP-encrypted BlackBerry’s van de medeverdachte en de daarop aangetroffen e-mailcorrespondentie is een groot aantal van deze wipe- of kill-verzoeken aangetroffen. Deze mailwisselingen zijn vergeleken met gegevens in de politiesystemen en ook met de naar aanleiding van een rechtshulpverzoek aan de Costa Ricaanse autoriteiten verkregen en ontsleutelde data van de BlackBerry Enterprise Server (BES) van de Canadese leverancier die zich bevond in Costa Rica.

Daarbij is gebleken dat in de vier in de tenlastelegging vermelde gevallen een wipe- of kill-verzoek was gedaan nadat de gebruiker van de betreffende BlackBerry was aangehouden en de telefoon in beslag was genomen. Deze verzoeken zijn dus gedaan om te voorkomen dat de politie belastende informatie uit de telefoons zou kunnen halen. Deze verzoeken zagen op BlackBerry’s met e-mailadressen die eindigen op een bepaalde domeinnaam. Het betreffen dus BlackBerry’s en/of abonnementen die zijn verkocht door de organisatie. Gelet hierop acht de rechtbank bewezen dat de organisatie zich tezamen en in vereniging met elkaar schuldig hebben gemaakt aan begunstiging, zoals strafbaar gesteld in artikel 189, eerste lid onder 3 Sr. Bewezen is dat zij door te voldoen aan genoemde wipe- of kill-verzoeken opzettelijk voorwerpen (in dit geval: de inhoud van de telefoons) die kunnen dienen om de waarheid aan de dag te brengen, aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om de inbeslagneming van die voorwerpen te beletten of te verijdelen. De verdachte heeft, hoewel in hij de positie was om dat te doen, niet verhinderd dat dergelijke verzoeken werden uitgevoerd. De rechtbank is gelet hierop van oordeel dat de verdachte voorwaardelijk opzet heeft gehad op de begunstiging. Niet vereist is dat hij wetenschap heeft gehad van de concrete verzoeken zelf en de uitvoering daarvan.

De verdachte wordt dus veroordeeld voor valsheid in geschrifte en het Nederlandse equivalent van ‘obstruction of justice’ (‘begunstiging’). De rechtbank overweegt nog in de strafbestelling het volgende:

“De handel in de PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons. Door dit ook te doen in zaken waarin de gebruiker van de telefoon door de politie is aangehouden en waarbij de telefoon in beslag is genomen, heeft de organisatie [naam rechtspersoon] hiermee echter strafbaar gehandeld. Daarmee is in de zaken tegen die betreffende gebruikers mogelijk bewijs vernietigd en het onderzoek door politie en justitie bemoeilijkt. De verdachte heeft hieraan feitelijke leiding gegeven en op die manier eraan bijgedragen dat de opsporing van andere strafbare feiten werd gefrustreerd. Het valt de verdachte te verwijten dat hij met deze handel criminelen heeft willen helpen uit handen van politie en justitie te blijven. In het kader van de vaststelling van de op te leggen straf is evenwel relevant dat niet is vast te stellen in welke omvang dit handelen heeft plaatsgevonden.”

De verdachte krijgt 65 dagen gevangenisstraf en een geldboete van 10.000 euro opgelegd. De gevangenisstraf is gelijk aan de dagen die de verdachte reeds in verzekering en voorlopige hechtenis heeft doorgebracht. Ook ontvangt de verdachte een deel van het inbeslaggenomen geld en voorwerpen terug.

Toets op betrouwbaarheid PGP Safe data

In de uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) wordt het volgende gezegd over de authenticiteit van de data en betrouwbaarheid van de data:

De authenticiteit van de data

Het is juist dat in Costa Rica bij het kopiëren van de data de data op de server niet zijn gehasht. Die hashwaarde kan dus niet worden vergeleken met de hashwaarde van de data op de door de Costa Ricaanse autoriteiten aan de Nederlandse politie geleverde harde schijven. Dit valt het OM echter niet te verwijten aangezien dit toen geen Nederlandse aangelegenheid is geweest.

Hieraan behoeft echter evenmin een gevolg voor de betrouwbaarheid van die data verbonden te worden, nu van enige manipulatie van die data voordat deze bij de Nederlandse politie is aanbeland niet is gebleken. De rechtbank neemt daarbij in ogenschouw dat met het verbreken van de verbinding tussen de servers en het internet, het verzegelen van de servers op het moment dat de Costa Ricaanse autoriteiten niet aanwezig waren en het verpakken en verzegelen van het gekopieerde materiaal, dat naar Nederland is gestuurd de kans dat die data toen zouden zijn gemanipuleerd uitermate klein kan worden geacht. Het dossier biedt hiervoor ook overigens geen begin van aannemelijkheid.

Na ontvangst van de harde schijven uit Costa Rica zijn de data volgens de regelen der kunst gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Ook hierin ligt geen reden te veronderstellen dat de data niet op forensisch verantwoorde wijze zijn veiliggesteld en ligt hierin geen grond om de data voor het bewijs uit te moeten sluiten.

Tijdstempels

Het feit dat die verschillen zich kunnen voordoen is al in een eerder stadium door de deskundigen in de binder Ennetcom & PGPSafe onderkend. Echter, daaruit volgt nog niet dat de inhoud van het bericht daarmee onjuist is.

De verdediging heeft voorts gesteld dat de onbetrouwbaarheid van de PGPSafeberichten onder meer blijkt uit de verschillen die zich soms voordoen bij de vermelding van de tijdstippen van verzending en ontvangst die aan die berichten zijn gekoppeld in de lijn van de verzender en die van de ontvanger.

Deze verschillen in tijdstempels kunnen zich bij voorbeeld al voordoen wanneer men zich op dat moment in verschillende tijdzones bevindt, verschillende bestuurssystemen worden gehanteerd, waardoor een doorgestuurd bericht anders wordt getypeerd en/of met een ander tijdstempel (gemodificeerd, benaderd, gecreëerd) wordt opgeslagen op de server of het toestel of de tijdsinstellingen van het toestel zelf anders zijn ingesteld. Hoewel dit meebrengt dat het tijdstip van verzenden respectievelijk ontvangen van een bericht altijd een kritische blik vereist, kan hieruit niet zonder meer en niet zonder nadere specifieke toelichting de onbetrouwbaarheid van (de inhoud van) die berichten afgeleid worden.

Behoedzaamheid

De Rechtbank Amsterdam overweegt in een uitspraak in de zaak Marengo op 27 februari 2024 (ECLI:NL:RBAMS:2024:696) nog het volgende.

Bij het gebruik van de PGP-berichten voor het bewijs past behoedzaamheid. De rechtbank is zich ervan bewust dat veelal sprake is van incomplete PGP-communicatie. Dit komt in de eerste plaats doordat op de servers niet alle communicatie meer te vinden was vanwege het retentiebeleid van de aanbieder van de dienst.

In het geval van PGP-safe geldt bovendien dat niet alle servers zijn gekopieerd, maar dat de keuze is gemaakt voor het kopiëren van de apparatuur uit de serverkast die vanaf 2012 werd gehuurd. De apparatuur die in de vanaf 2016 gehuurde serverkast stond, is dus niet gekopieerd. Het kopiëren bij PGP-safe is bovendien op enig moment door de Costa Ricaanse autoriteiten beëindigd toen die servers nog niet volledig waren gekopieerd. Daar komt bij dat in het dossier die berichten terecht zijn gekomen die het Openbaar Ministerie uit de Marengo-dataset als relevant heeft geselecteerd. Hierbij past overigens de kanttekening dat de verdediging inzage heeft gehad in de Marengo-dataset en zij zelf ook heeft kunnen verzoeken om voeging van berichten die zij relevant vond.

Verder geldt dat de meeste verdachten hebben ontkend de (enige) gebruiker van een bepaald PGP-account te zijn, dan wel zich op hun zwijgrecht hebben beroepen. Slechts enkele verdachten hebben duiding gegeven aan de inhoud van de berichten. In de berichten wordt soms onduidelijk gesproken. In sommige gevallen zijn conversaties onvolledig. In een deel van de conversaties ontbreken zelfs alle berichten van een van de deelnemers. De context van de berichten is dan ook niet steeds duidelijk. Daar staat tegenover dat voor de bewijswaarde relevant is dat personen die een versleutelde berichtendienst gebruikten zich onbespied waanden en vaak openlijk communiceerden over waar ze mee bezig waren, zonder pogingen dit te verhullen. Ook dat weegt de rechtbank mee bij de beoordeling.

Het voorgaande leidt de rechtbank tot de conclusie dat weliswaar met behoedzaamheid naar de PGP-berichten voor het bewijs moet worden gekeken, maar dat het niet zo is dat de PGP-berichten in algemene zin niet of in onvoldoende mate aan het bewijs kunnen bijdragen vanwege hun onvolledigheid.

Dit is bericht op 2 december 2024 geüpdated