Beveiliging, met name van communicatie, staat continue in de aandacht. Recent uitte de AIVD kritiek op de Blackberry. Fabrikant RIM lijkt de discussie te ontwijken.
Jim Balsillie, een van de twee co-ceo’s van Blackberry-maker Research In Motion (RIM), bezocht recentelijk Nederland. Computable vroeg hem naar de kritiek van de AIVD dat de Blackberry niet veilig is, in ieder geval niet genoeg voor het versturen van staatsgeheimen. Hij ontkent in eerste instantie dat er een probleem is: “Bijna een half miljoen van de BlackBerry-gebruikers is werkzaam bij overheden. Wij hebben diverse certificaten, zowel in Amerika als internationaal." Dat betreft onder meer de NATO en de Britse overheid.
Hij nuanceert nog wel: "De veiligheid van staatsgeheimen is een delicate kwestie en iedereen moet dat zelf grondig onderzoeken." Waarna de topman enige twijfel toch in de kiem wil smoren. "In de kern is de BlackBerry niet te kraken. Hij wordt in militaire omgevingen gebruikt en door mensen die ‘undercover’ en voor geheime diensten werken. En hij weerstaat iedere vorm van testen. Ik zou dus niet weten waarom de Nederlandse AIVD vindt dat de BlackBerry niet veilig zou zijn. Veiligheid is onze grootste kracht. De BlackBerry is ontworpen om onkraakbaar te zijn.”
Onduidelijk
Probleem bij deze jubelende woorden over het eigen product is dat niet duidelijk is wat de kritiek van de AIVD nu precies behelst. Persvoorlichter Miranda Havinga van de AIVD kan ook niet vertellen wat het euvel is. “Dat is een kwestie tussen ons en de leverancier. Maar wellicht kunt u zelf verzinnen waarom wij denken dat de BlackBerry niet veilig genoeg is?”
Net vóór Balsillie’s bezoek kwam RIM al met een officiële reactie van twee pagina’s lang. Daarin gaat het niet in op eventuele bezwaren van de AIVD (waar RIM kennis van zou moeten hebben). Het roemt wel de toegepaste beveiligingstechnieken van de BlackBerry, waaronder het gebruik door de BlackBerry Enterprise Server van de Advanced 256-bit Encryption Standard (AES) voor de draadloze verbinding.
Geen eigen variant
Aanvankelijk was ook de reden voor de AIVD-inmenging onduidelijk. “Wij hebben het verzoek gekregen om te onderzoeken of de BlackBerry veilig genoeg is om staatsgeheimen over te versturen”, zegt Havinga. "Dat verzoek kwam van een andere overheidsdienst."
Eerder gingen er berichten rond dat de AIVD zelf werkt aan een beter beveiligde Blackberry-variant. Havinga spreekt dit expliciet tegen, maar zegt dat de AIVD wel naar een alternatieve oplossing zoekt. "Maar we werken niet aan een extra beveiligde Blackberry." Een eerder door het Defensie Telematica Instituut ontwikkelde variant komt ook niet door de 'AIVD-keuring'. De Defensie-variant zou nog teveel een lichte aanpassing van het – niet veilig geachte – origineel zijn.
Toch is de AIVD van mening dat politici nog gewoon mogen communiceren met de BlackBerry “De nadruk ligt op staatsgeheimen. Dat kwam misschien in eerdere publicaties niet duidelijk genoeg tot uitdrukking”, aldus Havinga.
Vrijwel alle hedendaagse ICT-Systemen maken gebruik van zogenaamde block-ciphers. Sommige van deze block-ciphers zijn op zich veilig (bijvoorbeeld zogenaamde feistel block-ciphers). Echter van block-ciphers in z’n algemeenheid kan aangetoont worden dat het onmogelijk is dat deze Informatie-Theoretisch veilig zijn. Deze bewijzen zijn geleverd door bijvoorbeeld de ETH in Zurich en Harvard University.
Dat er ook praktische attack methoden zijn waarvan in de praktijk gebruik gemaakt wordt van deze inherente onveiligheid, is bijvoorbeeld te zien op de URL boris.ryabko.net/ppi-e-05.pdf waar de “Gradient Statistical” attack methode wordt beschreven en een praktisch voorbeeld wordt gegeven.