Hoe onkraakbaar is PGP (‘Pretty Good Privacy’)? Een boeiend dossiertje

“Er is wat ophef over pgp ontstaan.  Ik kreeg dit dossier doorgemaild. Het leuke aan het pgp- verhaal is dat zowel de pgp-verkoper alsmede justitie er een belang bij hebben dit zo stil mogelijk te houden. Dit specifieke geval gaat over een ennetcom.com telefoon, maar ik heb al van meerdere collega’s vernomen dat er ook diverse andere leveranciers ‘veilig communiceren’ verkopen terwijl dit toch niet veilig is, ook niet als je je aan alle voorwaarden houdt, zoals een ingewikkeld wachtwoord gebruiken en twee verschillende wachtwoorden. Ik vermoed dat er nog heel wat rechtzaakjes op deze manier tot een veroordeling gaan komen.’

Aldus iemand. Volgens ennetcom klopt dit overigens niet: de vier blackberry’s die zijn ‘leeggedronken’ waren niet van ennetcom, de enige die wel ‘leeggedronken’ is, is die van de vrouw. En die was niet van ennetcom. Waarvan akte.

Uit de reacties blijkt dat de meningen verschillen over de veiligheid. En dat er een vermoeden is dat in deze zaak er niet zorgvuldig genoeg is omgegaan met de wachtwoorden.

pgp-1b

 

 

pgp-2b

pgp-3b

pgp-4b

 

 

 

pgp-5b

pgp-6b

15 Reacties

  1. Koos Koets
    24 december 2015 - 10:39

    Ik vermoed dat dit met name een lek is op de telefoon, ik durf mijn handen in het vuur te steken dat PGP onkraakbaar is, ik vermoed dat in het proces van het ontsleutelen van het bericht er “sporen” achter blijven waarbij de key uitgelezen kan worden. Alleen om die reden gebruik ik voor mijn belangrijke berichten ook een losstaand operating system wat bij een shutdown volledig vernietigd word. Met andere woorden, bij elke boot krijg ik een volledig schoon systeem, elke operatie vind in memory plaats en word er niets naar een harde schijf geschreven, tjah je moet er wat voor doen, maar dan ben je ook echt veilig.

    Reply
  2. Mattman
    24 december 2015 - 10:55

    In het betreft-veld van het eerste bestand staan nog 2 namen voluit.

    Fijne dagen!

    Reply
  3. Jaap Aap
    24 december 2015 - 11:44

    PgP draait op een server dus = per definitie zwak. OTR wordt nu al real time gevolgd, iedereen die denkt dat ze stil zitten in Israël maakt een grote vergissing. Moraal van het verhaal: de tijd van gezellig een bakkie doen is weer aangebroken, of je moet die op het politieburo lekkerder vinden. P.s. fijne feestdagen voor jou & je familie.

    Reply
  4. hakki
    24 december 2015 - 11:45

    hun hadden gewoon het standaard wachtwoord hoezo hebben ze al die pgp’s van gwennete martha dan niet kunnen uitlezen en al die andere strafzaken van criminelen die gepakt zijn met pgp

    Reply
  5. ikke
    24 december 2015 - 12:50

    gwennete had no1bc, dat systeem werkt vanaf eenmicro sd kaart die zwaar encrypt is
    dus in de blackberry staat niks, pgp is onkraakbaar alleen is de key nu terug te vinden in blackberrys, android pgp is veiliger, maar er zijn nog echte veilige telefoons en die maken geen reclame en zijn alleen via via tekoop en al in vele zaken opgestuurd naar nfi en nasa zonder succes!

    Reply
  6. 24 december 2015 - 13:15

    Hey misdaadjournalist

    Als je iets publiceert moet je wel goed je huiswerk doen. Je roept dat dit een ennetcom bb zou zijn. We hebben het dossier in handen zonder de weggestreepte namen.
    4 blackberry’s zijn leeggedronken. Niet die van ennetcom! Moet je maar lezen bij de namen. Die ennetcom pgp was van de vrouw. En die is NIET leeggedronken. We snappen dat je je laat manipuleren door adverteerders. Bij geen rectificatie zullen wij stappen ondernemen. Omdat ze de blackberry van de man hebben leeggtrokken die zelf GEEN ennetcom pgp had toestel hebben ze het email dialoog met zijn vrouw inzichtelijk gemaakt.

    Beste Ennetcom,

    De reactie kwam voor zover mij bekend niet van een adverteerder, maar ik zal ernaar kijken.

    Hendrik Jan

    Reply
  7. Wil
    24 december 2015 - 14:44

    Nou misschien zou er iemand gedegen onderzoek moeten doen. NFI bellen, advocaat en of verdachte. Allemaal wat roepen is vrij simpel. Gwenneth Martha is trouwens al enige tijd dood en dat onderzoek is zelfs nog veel langer geleden. Die telefoons die ze gebruiken van blackberry worden zelfs niet eens meer geproduceerd die draaien op OS7 met uitzondering van enkele andere providers die wel met hun tijd meegegaan zijn.

    Reply
  8. george forest
    24 december 2015 - 14:56

    @Koos,noem het beestje gewoon bij het naampje Tails of The Amnesic Incognito Live System https://en.wikipedia.org/wiki/Tails_%28operating_system%29 mooi systeem voor reizigers maar voor thuisgebruik af te raden wegens teveel lekken waardoor je traceerbaar bent als tails gebruiker en dat is al teveel.Vergeet bovendien niet dat als je volledig uit ram draait je systeem te achterhalen beter maar langzamer is direct van usb.Ook zul je een persitent drive aan moeten maken anders heb je er helemaal niets aan,en die is weer afhankelijk van je wachtwoord sterkte.Ook dit helpt je niets mocht de stick gevonden worden omdat je dan kan zien dat er ruimte ontbreekt op de stick en je dus opslag erop hebt.

    En volgens de huidige wetten moet je dat afgeven hebben ze gemaakt na die babyneuker.Encryptie ligt sowieso onder vuur onder het mom van terror terror terorristen die altijd net toeslaan tijdens een grootscheepse oefening,ook in parijs helaas. https://www.youtube.com/watch?v=ilp2NOydmJs .

    Reply
  9. Whocares
    24 december 2015 - 15:48

    Het is niet de eerste BB die is uitgelezen, dit gebeurd al jaren
    Zoals eerder gezegd ligt dat aan de Blackberry en gebruik

    Tot nu word er nergens uit op gemaakt dat het bij deze zaken anders is

    Zwak/sterk wachtwoord lol heb er meerderen voorbij zien komen die er vanuit gingen dat ze een sterk wachtwoord hadden
    Er zijn meerderen software en website waar je de sterkte van je WW kan bekijken ik verwijs altijd door naar de volgende software bftcal.xls
    Simpel via een google search te vinden

    BB opschonen en vooral niet het WW onthouden
    Het is de bedoeling dat het WW bij lezen en verzenden elke keer weer ingegeven moet worden

    Reply
  10. Koos Koets
    24 december 2015 - 15:54

    @Jaap Aap nee PGP draait niet noodzakelijk op een server, dat kan, maar dan heb je alleen het voordeel dat je bericht “onderweg” niet gelezen kan worden, maar dat hoeft dus niet, hele idee van PGP is juist dat je tussen de zender en ontvanger een private key hebt waarmee je het bericht kunt ontcijferen. Ik vermoed dat er op deze blackberry (die al behoorlijk outdated was) een fout zat waarbij de private key ergens leesbaar is achtergebleven. Trouwens waarom je uberhaupt op BB beveiliging zou terugvallen is me een raadsel, het bedrijf heeft in verleden al vaker samengewerkt met overheidsdiensten.

    Reply
  11. 24 december 2015 - 16:03

    Beste Hendrik Jan,

    Bedankt voor je reactie. Als je me je email adres geeft dan stuur ik je de stukken zonder doorhalingen van teksten van het dossier. Dan zie je hoe het zit. Recht is Recht krom is krom. Wij van Ennetcom doen dit al heel lang en weten exact hoe de vork in de steel zit. Ennetcom BB’s legen het flash geheugen elke minuut. Dat weten onze gebruikers en vertegenwoordigers. Maar als onze reputatie door zulke verdraaide verslaglegging schade lijdt is het logisch dat wij stappen zullen ondernemen.

    Beste Ennetcom,

    Ik had al een mailtje gestuurd, er kwamen nog wat kritische reacties binnen over Ennetcom, die wilde ik eerst even voorleggen, maar het mailadres dat jullie opgeven klopt niet. Mijn mailadres (staat ook op de site): misdaadjournalist@outlook.com

    Hendrik Jan

    Reply
  12. joop
    24 december 2015 - 17:09

    wachtwoord zat achter op de BB geplakt en luide geheimgeheim

    Reply
  13. @joop
    24 december 2015 - 18:36

    Zijn 4 tels in beslag genomen en alle 4 gedecrypt staat in dossier. Dus alle 4 die mensen hadden een zwak wachtwoord?

    Reply
  14. hr
    24 december 2015 - 22:43

    er is ook een tijjd geweest dat er pgp’s aangeboden werden met keyloggers van overheid! weet waar je wat koopt!

    Reply
  15. Koos Koets
    25 december 2015 - 05:04

    @George je kunt natuurlijk nog wat verder gaan, ik draai het systeem niet op mijn eigen machine maar op een virtual gehost in IJsland :)

    Reply

Reageer

Het e-mailadres wordt niet gepubliceerd.