Cryptograaf Jansen doet de uitspraken over Philips in de context van Cryptoleaks, de reeks internationale onthullingen van deze week over Operatie Rubicon. Dankzij deze ‘wereldwijde inlichtingencoup van de eeuw’ konden de Amerikaanse NSA en de Duitse Bundesnachrichtendienst decennia lang meer dan honderd landen afluisteren. De zeer geheime evaluatierapporten van Operatie Rubicon zijn in handen van het onderzoeksplatform Argos.
De cryptoafdeling van Philips heeft meermaals de versleuteling afgezwakt van apparaten die bedoeld waren om veilig te communiceren. Dat zegt topcryptograaf Cees Jansen zaterdag in het programma Argos. Hij paste apparaten aan die bedoeld waren voor NAVO-bondgenoot Turkije. Philips deed dit in opdracht van de BVD, de Binnenlandse Veiligheidsdienst, en de Amerikaanse inlichtingendiensten.
“De Turkse affaire”
Het apparaat dat door Philips werd verzwakt is een Aroflex, een telex die bestemd was voor geheime communicatie tussen NAVO-bondgenoten. De Turkse regering was dusdanig tevreden over het apparaat, dat zij extra exemplaren wilde bestellen voor de communicatie met hun ambassades en interne communicatie van het leger. De Amerikanen wilden een afgezwakte versie leveren, zodat ze toegang konden krijgen tot deze Turkse communicatie. Duitsland weigerde hieraan mee te werken.
‘De NSA heeft zich toen tot Philips gewend, dat meedeed’, staat in het Duitse evaluatierapport van Operatie Rubicon.
Van Aroflex naar Beroflex
Philips produceerde samen met Siemens al een afgezwakte versie van de Aroflex voor de civiele markt. Daarvoor werd intern de term ‘Beroflex’ gebruikt, vertelt cryptograaf Jansen. “Dat stond wel op wat interne documenten, maar dat was niet algemeen bekend.”
Omdat de Turkse regering al bekend was met de Aroflex, zou de Turkse inlichtingendienst het doorhebben als een Beroflex werd geleverd. Jansen: “Dus werd ik geconfronteerd met de vraag om een Aroflex te maken, die eruit zag als een Aroflex maar in werkelijkheid een Beroflex was.” De CIA faciliteerde en boekte overlegruimtes, aldus Jansen. Bijvoorbeeld in het Holiday Inn Hotel in Eindhoven. Bij die ontmoetingen waren ook medewerkers van de NSA. “Die waren uitvoerend cryptografisch”.
Op zijn website vertelt Jansen gedetailleerd hoe Philips ook verzwakte Aroflexen aan China probeerde te leveren
Niet de eerste keer
“Ik keek er in die tijd anders tegenaan dan nu”, zegt cryptograaf Jansen. “Ik deed wat de baas me vroeg, en maakte wat gemaakt moest worden.” Hij zette geen vraagtekens bij de operatie om bondgenoot Turkije te belazeren. “Je moet niet vergeten dat we toen al de PX-1000-exercitie achter de rug hadden.”
In april 2019 onthulde Argos hoe Philips voor het karretje van de NSA was gespannen om de PX-1000 van de markt te halen. Deze pockettelex was begin jaren tachtig ontworpen door het Amsterdamse bedrijf Text Lite. Uitvinder Hugo Krop had de PX-1000 voorzien van “een stoute feature”: DES-versleuteling.
Toenmalig directeur Arie Hommel herinnert zich hoe managers van Philips hem wilden ontmoeten bij een Van der Valk-hotel. “Ze zeiden keihard: u heeft een product waar een encryptie in zit en dat willen wij van de markt af hebben.” De opdracht kwam van de Amerikaanse NSA. De Nederlandse Binnenlandse Veiligheidsdienst (BVD) werkte hieraan mee.
Philips bracht een nieuwe versie op de markt, de PX1000Cr. Uit onderzoek van Argos en het Cryptomuseum Eindhoven bleek dat het versleutelingsalgoritme was afgezwakt van 64 bits naar 32 bits. Duurde het – hypothetisch gezien – aanvankelijk een jaar om de versleuteling te kraken, met het nieuwe algoritme kon dat in minder dan een seconde.
DES was de grootste bedreiging voor de operatie (Rubicon), staat in het geheime CIA-evaluatierapport. Cryptograaf Jansen: “Op het moment dat deze exercitie liep om de PX-1000 uit de markt te halen, kon ik niet vermoeden dat dit onderdeel was van zo’n gigantische operatie als Rubicon.”
Philips weet van niks
Philips kan geen commentaar geven, laat een woordvoerder weten. “Omdat het al zo lang geleden is, hebben we navraag gedaan bij het bedrijfsarchief. Onze archivarissen hebben over deze kwestie echter geen informatie kunnen vinden.”
Arie Hommel laat via zijn advocaat Robin van Iperen weten dat hij claim voorbereidt tegen de Nederlandse Staat. "Dan moet je denken aan een bedrag van 150 miljoen euro", zegt Van Iperen. De zaak namens Text Lite wordt ondersteund door de Stichting Landelijk Register van Financieel Juristen (LFRJ) waarvan Van Iperen de voorzitter is. "Wij staan vaker mensen bij die problemen hebben met de Staat. We verwachten de claim voor eind maart in te dienen."
CRYPTOLEAKS is gebaseerd op bijna driehonderd pagina’s aan geheime documenten van de Amerikaanse inlichtingendienst CIA en de Duitse Bundesnachrichtendienst. Journalist Peter F. Müller kreeg de documenten in handen en deed samen met journalisten van ZDF, The Washington Post, de Zwitserse publieke omroep SRF, het Crypto Museum Eindhoven en het onderzoeksplatform Argos (VPRO/HUMAN) meer dan een jaar onderzoek.