Philips bouwde decennialang codeerapparaten met NSA-software

Ingelijfd door de NSA

Vanaf 1977 fungeerde Philips-dochter USFA als onderaannemer van de NSA, blijkt uit archiefonderzoek van De Groene. Codeermachines en beveiligde telefoons voor de Europese markt werden voorzien van geheime software. Bouwden de Amerikanen een ‘achterdeur’ in?

Medium 42 50755594

Eind 1977 reist een medewerker van NV Philips Gloeilampenfabrieken te Eindhoven naar Fort Meade, Maryland, even buiten Washington. Hij vervoegt zich bij het hoofdkantoor van de National Security Agency. Het is een uniek moment in de geschiedenis van het Nederlandse elektronicaconcern. Een interne notitie uit dat jaar meldt trots: nooit eerder heeft de nsa direct gesproken met een buitenlandse fabrikant. De supergeheime Amerikaanse dienst houdt zich bezig met het verzamelen en analyseren van elektronische buitenlandse inlichtingen. Ze ontwerpt ook cryptografische machines voor het versleutelen en ontcijferen van top secret militaire en diplomatieke communicatie en schrijft daarvoor veel cruciale computerprogrammatuur. Philips’ dochter Ultra Sonore Fabricage Afdeling (usfa), sinds begin dat jaar gevestigd in een nieuw pand aan de Meerenakkerweg te Eindhoven, maakt ook van die apparaten, maar op veel kleinere, commerciële schaal.

Het blijft niet bij één bezoek uit Eindhoven. Na 1977 reizen regelmatig medewerkers van Philips usfa naar Fort Meade, zo vertelt een van hen in een anoniem gesprek in 2013. Het waren spannende reisjes. ‘Binnen de nsa was de beveiliging extreem hoog. Bezoekers kregen een rode sticker op, zodat iedereen kon zien dat ze niet bij de nsa hoorden. Er hingen lampen in de gangen die op rood sprongen, waarna vervolgens alle deuren dicht klapten, zodra er bezoekers van buiten de nsa langsliepen. Allemaal om te voorkomen dat per ongeluk informatie naar buiten zou lekken.’ De bezoeken markeren een rolwisseling. Philips usfa is opgezet omdat Nederland in de defensie-elektronica wereldwijd een woordje mee wil spreken en niet afhankelijk wil zijn van de Amerikanen. Maar na 1977 wordt het dochterbedrijf stap voor stap ingelijfd als hun onderaannemer en moet het meer en meer voldoen aan de eisen van de machtige nsa.

usfa heeft in 1977 niet alleen professionele maar ook zakelijke redenen om blij te zijn met de uitnodiging uit Fort Meade. De rond driehonderd medewerkers maken nachtzichtapparatuur (infraroodcamera’s), elektronische ontstekingen voor explosieven en militaire batterijen en cryptografische machines voor het versleutelen van telexverkeer. De omzetten wisselen sterk, en de ontwikkeling van nieuwe technologie vergt veel geld en inspanning. usfa moet het hebben van leveranties aan het Nederlandse leger, de Nederlandse overheid en Navo-landen. Vooral in de cryptogroep is het hollen of stilstaan. Komt er een order, dan is het alle hens aan dek. Het jaar daarop kan de productie vrijwel volledig stilliggen, in afwachting van een volgende opdracht. De Navo bepaalt welke bedrijven de cryptografische apparaten mogen leveren die de strijdkrachten en autoriteiten van het Atlantisch bondgenootschap moeten beschermen tegen meeluisterende oren uit het Oostblok. Het gaat om een klein maar hoogwaardig groepje concurrenten. De voorgaande decennia heeft zich in deze supergespecialiseerde bedrijfstak een revolutie voltrokken. Vóór de Tweede Wereldoorlog werkten cryptografische apparaten – met als beroemdste de Duitse Enigma – nog elektromechanisch. Via gecompliceerde combinaties van verspringende letterschijven verhaspelden ze gewone taal tot onleesbare tekst. Alleen wie de juiste instelling van de schijven kende – die dagelijks veranderde – kon die tekst leesbaar maken. Na de Tweede Wereldoorlog heeft de elektronica haar intrede gedaan en in de jaren zestig is de cryptografische industrie uitgegroeid tot een voorpost van de digitale revolutie. Het ambitieuze Philips is met dochter usfa in 1954 op dit terrein actief geworden, naast Britse, Duitse (Siemens, aeg), Noorse (stk), Zweeds/Zwitserse (Hagelin) en uiteraard Amerikaanse bedrijven. Ten tijde van het eerste bezoek aan Fort Meade blaakt Philips van technologisch zelfvertrouwen. Terwijl consumenten zich in de elektronicawinkels aan de eerste primitieve videorecorders vergapen, werkt usfa in diep geheim al aan een apparaat voor de versleuteling van high speed data voor (digitaal) telefoonverkeer, videoconferenties en satellietcommunicatie. Het is prachtige, futuristische technologie, op een transmissiesnelheid (acht Megabit per seconde) die gewone burgers pas een kwart eeuw later tot hun beschikking zullen krijgen. Maar hoe mooi ook, de ontwikkelingen gaan hard en het ontwikkelteam van usfa telt maar zeven à acht man. Philips loopt met deze Satcolex achter op de grote en sterke National Security Agency. Die heeft de KG-81 ontwikkeld, een high speed data-encryptie-apparaat dat met twintig Mbps liefst tweeënhalf keer zo snel is.

Philips haalt dan ook haar Satcolex uit de biedingsrace bij de Navo. Alleen de KG-81 blijft over, waarvan de nsa zowel de hardware als het elektronische versleutelingsprogramma, een zogenaamd stream cipher algoritme met de naam Walburn, heeft ontworpen. De Amerikanen tonen zich dankbaar. In ruil mag Philips de KG-81 in licentie gaan produceren voor de Europese markt. Dochter usfa levert vanaf rond 1980 honderden van die apparaten aan de Navo. Daar blijft het niet bij. Nu Philips eenmaal aan de leiband van de nsa loopt, krijgt het concern aanzienlijk méér grote opdrachten voor cryptografische apparatuur. De omzet schiet omhoog – het zal een tijdelijke sprong blijken, maar daarover later meer.

Medium walburn 1

De ironie wil dat Philips usfa juist is ontstaan uit de Nederlandse behoefte om aan de dominantie van het machtige Amerikaanse defensie- en inlichtingenapparaat te ontsnappen. Al tijdens de Tweede Wereldoorlog waren er aanwijzingen dat de VS de Nederlandse codes wilden breken. In maart 1944 noteerde het hoofd van de militaire inlichtingendienst in Nederlands-Indië (die na de Japanse invasie van maart 1942 vanuit Australië opereerde) uit de mond van een medewerker dat ‘minstens één onzer bondgenoten de Nederlandse codetelegrammen nu reeds verzamelt’. De militair in kwestie was kolonel J.A. Verkuijl. Deze topcryptoloog had vanuit Nederlands-Indië jarenlang Japanse codes ontcijferd. Belangrijker: tussen voorjaar 1942 en najaar 1943 had hij in de VS rondgelopen bij de Signal Intelligence Service, dé centrale cryptologische unit van het War Department en een van de voorlopers van de National Security Agency. De Amerikanen hadden hem na anderhalf jaar weggestuurd omdat hij naar hun smaak wel genoeg had gezien. Wat ze niet vermoedden, was dat een van de medewerkers van de sis voor hem als ‘mol’ bleef fungeren. Verkuijl wist kortom waarover hij sprak. Als hij het over ‘een onzer bondgenoten’ had, ging het vrijwel zeker over de VS en/of Engeland (die toen al veel inlichtingen met elkaar deelden). Tijdens bovengenoemde bespreking met zijn chef, in maart 1944, waarschuwde hij: ‘Indien bij de thans in gebruik zijnde codeermiddelen niet de grootste voorzichtigheid betracht wordt, is het bij die bondgenoot voorhanden zijnde (telegrafisch – mm) materiaal voldoende om tot een spoedig “breken” der codes te kunnen geraken.’

Nu Philips aan de leiband van de NSA loopt, krijgt het veel meer opdrachten voor cryptografische apparatuur

Het was niet Verkuijls eerste waarschuwing. Een maand eerder had hij minister-president Gerbrandy geschreven dat de Hagelin-machines, waarmee de Nederlandse marine en diplomatieke dienst hun berichten codeerden, gemakkelijk door de Amerikanen konden worden gekraakt. Mogelijk bij gebrek aan een alternatief schafte de Nederlandse landmacht na de Tweede Wereldoorlog toch weer nieuwe Hagelins aan (voor kenners: de BC-543 en de C-446A). De regering was kennelijk toch niet helemaal gerust over deze keuze, want in diezelfde tijd zocht ze contact met Philips over het opzetten van een eigen defensie-industrie. Het concern had tijdens de oorlog apparatuur en onderdelen aan de Amerikaanse en Britse strijdkrachten geleverd (onder meer op radargebied) en de top had in het diepste geheim samengewerkt met de Amerikaanse militaire inlichtingendienst. Philips wist dus het een en ander van geheime communicatie en spionageactiviteiten. In november 1946 ontmoetten de ministers van Oorlog en Marine en stafchef generaal Kruls enkele leden van de concerndirectie. Othon Loupart, een van Philips’ hoofddirecteuren, bracht te berde dat de VS, Engeland en Canada in een security ring vertrouwelijke technische kennis met elkaar deelden – sinds rond 2000 weten we dat die ring later is uitgebreid met Australië en Nieuw-Zeeland tot de groep van ‘Five Eyes’. ‘Om tot die ring door te dringen moet Nederland zelf hoogwaardige kennis ontwikkelen’, vond Loupart. Dat kon door speciale defensielaboratoria op te zetten en door de industrie – lees Philips – opdrachten te geven voor militair onderzoek. Die opdrachten kwamen. Diezelfde maand nog gaf de staat Philips geld om een infraroodcamera voor nachtzicht te ontwikkelen. Zelf werkte het bedrijf al aan proximity fuses (elektronische ontstekingen voor bommen en granaten). Er volgden opdrachten voor militaire communicatieapparatuur en najaar 1948 benoemde het concern een coördinator defensiezaken.

Philips brainstormde rond die tijd intern ook over een ‘geheimtelegraaf’, maar het onderzoekslaboratorium van de ptt, toen nog een machtig staatsbedrijf voor post, telefonie en telegrafie, was op dit gebied verder en had daarvoor al technologie ontwikkeld. Mogelijk in de hoop te kunnen toetreden tot de ‘security ring’ bood Nederland deze technologie eerst aan de VS aan. Dat aanbod had geen resultaat, waarom is onbekend. Rond 1954 wendde de regering zich vervolgens tot Philips met de vraag of zij met de ptt-technologie een geheimtelex kon bouwen. De onderhandelingen met de staat over de licentie duurden zo lang dat de productie van de Ecolex, zoals het apparaat werd gedoopt, pas eind 1957 van start kon gaan. De telex werkte met een unieke codesleutel, een one time pad, vastgelegd op een dubbele ponsband. Eén exemplaar was bestemd voor de versleuteling van een bericht, het tweede ging naar de ontvanger voor de ontcijfering. Het was een omslachtig systeem, omdat voor elk bericht weer een nieuwe sleutel werd gegenereerd die per koerier of per diplomatieke post naar de ontvanger moest worden vervoerd. Philips produceerde in 1959 en 1960 rond de honderdvijftig exemplaren van de Ecolex I en II.

usfa kampte in de hoogtechnologische ratrace voor cryptografische apparatuur met twee handicaps. De ministeries van Oorlog en Marine eisten dat ze, als de samenwerking in de Navo dat vereiste, ook buitenlandse cryptografische apparatuur konden blijven aanschaffen. Een binnenlands afzetmonopolie zat er dus niet in. Het concern werd bovendien gehinderd door een conflict tussen de staat en de belangrijkste cryptografische onderzoeker van de ptt, dr. ir. Maarten Oberman, hoogleraar elektrotechniek aan de Technische Hogeschool van Delft én hoofdingenieur bij de ptt. Details ontbreken, maar het conflict ging waarschijnlijk over het recht van de staat om Philips licentie te verlenen op cryptografische patenten, die Oberman als zijn persoonlijk eigendom beschouwde. Beide probeerden de eigenzinnige hoogleraar te apaiseren, de staat bood hem een eigen ontwikkelcentrum, Philips een persoonlijke royalty voor het gebruik van zijn vindingen. Maar hij wees beide voorstellen af, en liet Philips verontwaardigd weten dat hij overwoog een adviseurschap bij een (ander) groot concern te aanvaarden – kennelijk had hij dat van Philips verwacht.

Medium spendex 50 8610

Door dit conflict moest Philips een eigen afdeling voor cryptografische research development opzetten en kwam dochter usfa ten opzichte van de buitenlandse concurrentie meteen op achterstand. De Ecolex I en II geheimtelexen waren net afgeleverd, toen de afzet in 1960 weer vrijwel stilviel. Philips gaf niet op, usfa schroefde de r op en won twee jaar later een Navo-bieding met een verbeterde Ecolex IV. Dat was knap werk en in februari 1962 kon de usfa-directie Philips’ raad van bestuur trots melden dat de Navo en het Nederlandse leger 718 stuks daarvan hadden besteld voor vierenhalf miljoen gulden (twaalf miljoen euro nu).

Tijd om op adem te komen was er echter niet. De Navo-order was nog niet binnen of andere fabrikanten kwamen al met een nieuwe generatie geheimtelexen, van het zogenoemde trol-type. Deze genereerden hun eigen elektronische codesleutels op basis van willekeurige getallenreeksen en maakten de omslachtige dubbele telexband per bericht overbodig. Philips ontwierp een losse sleutelgenerator voor haar Ecolex IV en meldde die aan voor Navo-selectie. Maar door de blokkade op de Oberman-patenten leverde de ontwikkeling van dit apparaat technische problemen op en de Navo-selectiecommissie gaf het een lage score. Even gloorde hoop. Omdat ook twee Franse trol-geheimtelexen een lage score kregen en Frankrijk daartegen protest aantekende, kreeg de competitie een politieke lading. De Navo-raad, het hoogste politieke niveau in de verdragsorganisatie, benoemde een nieuwe selectiecommissie. Die koos in 1967 echter een klassieke uitweg, ze schoof zowel de Siemens-machine – die het hoogst scoorde – als de Franse machines terzijde en nam een derde, Britse. De usfa-inzending verdween definitief uit (Navo)-beeld.

Philips had al tijdens de oorlog in het diepste geheim samen­gewerkt met de Amerikaanse militaire inlichtingendienst

Kort voor deze verloren race was hetzelfde apparaat ook al afgewezen door de Nederlandse luchtmacht. Even ontstond een felle briefwisseling tussen de raad van bestuur en minister Piet de Jong van Defensie, maar Philips wilde de zaak niet te hoog opspelen. Defensie was een grote afnemer van usfa’s nachtzichtapparatuur en elektronische ontstekingen, en het concern leverde vanuit andere dochters communicatieapparatuur (pti), radar en vuurgeleidingsapparatuur (Holland Signaal). Van haar kant liet Defensie de cryptografische activiteiten van usfa zeker niet helemaal vallen. Zo kreeg de Philips-dochter zes ton om een digitale geheimtelex met integrated circuits (de eerste chips) te ontwerpen en een opdracht voor de ontwikkeling van digitale spraakversleuteling via radioverbindingen. De verwikkelingen rond de trol-telex lieten zien dat usfa weinig zekerheid van haar belangrijkste cryptografieklanten – Nederland en de Navo – te verwachten had. Plannen om de wereldmarkt op te gaan kwamen niet van de grond en in 1970, dertien jaar na de eerste productie, had Philips slechts vijftien miljoen gulden aan deze activiteit verdiend (nu een kleine dertig miljoen euro).

De verwachtingen waren echter nog steeds hoog gespannen, want in de elektronische avant-garde, waar de cryptogroep opereerde, was veel gaande. De usfa-ontwikkelaars werkten onder meer aan miniaturisatie, deltamodulatie (eenvoudige digitalisering), versleuteling van spraak over vaste telefoonlijnen, van datatransmissie en van televisiesignalen, en versleuteling van faxberichten. De usfa-directie richtte zich vooral op spraak- en dataversleuteling, zo laten haar notities en jaarverslagen zien. Haar optimisme bleek echter op drijfzand te rusten, na een goed begin van het decennium (1972 en 1973) raakte de cryptogroep in het rood. Een medewerker die in die tijd in dienst kwam, herinnert zich: ‘We zijn toen samenwerking gaan zoeken om sterker te staan tegenover de Engelsen en de Amerikanen.’

In reactie op de gepolitiseerde Navo-aanbestedingen was Philips eind jaren zestig in gesprek geraakt met de Duitse bedrijven Siemens en aeg (Telefunken). In 1974 besloot het concern om Siemens bij de ontwikkeling van haar nieuwe digitale Aroflex-geheimtelex te betrekken. Ook dit project kampte met problemen – vooral de afscherming tegen elektromagnetische aanvallen en elektromagnetische ‘lekkage’ (de tempest-technologie) kostte hoofdbrekens – en naarmate het decennium vorderde, moest usfa haar voorspellingen voor de cryptogroep steeds weer verlagen of vooruitschuiven.

Tot 1977 dus. Een voormalige usfa-manager zegt: ‘Behalve de VS en Engeland kregen andere landen ook wel kruimels. Dus als je je werk goed deed, dan kwam je wel een keer aan de beurt.’ Vijftien jaren heeft usfa moeten wachten, nu komt het bedrijf in de Navo eindelijk weer aan de beurt. Er moet een opvolger komen van een Amerikaanse codeermachine die al sinds 1952 in gebruik is. De Aroflex-geheimtelex van usfa en samenwerkingspartner Siemens heeft aan het eind van de biedingsprocedure nog maar één concurrent. Er dreigt een patstelling, die eindigt als Philips die concurrent – het Noorse stk – het recht aanbiedt om in zijn apparaat het Aroflex-algoritme (versleutelprogramma) te gebruiken. Nadat de Navo beide machines heeft geaccepteerd, komt een stroom orders voor de Aroflex op gang, die in vijf jaar tijd oploopt naar 2500 en uiteindelijk naar meer dan 4500. De Aroflex blijft tot in de jaren negentig in gebruik. Het is een zeer degelijke geheimtelex. In de jaren tachtig maken de Russische kgb en de Oost-Duitse Stasi er een buit, maar ze weten die niet te kraken en kunnen de berichten alleen lezen dankzij een spion bij de Navo die hen regelmatig van codesleutels voorziet.

Medium spendex 40  8601

Waarom rolt de Aroflex door de Navo-selectie? Zijn Philips en Siemens ‘aan de beurt’? Zorgt hun samenwerking en de bijbehorende Nederlands/Duitse politieke steun ervoor dat ze in de Navo sterker staan tegenover de Amerikanen en de Britten, zoals usfa heeft gehoopt?

Na de acceptatie van de Aroflex krijgt Philips van de NSA de licentie om de KG-81 voor Navo-landen te bouwen

Er is nog een derde mogelijkheid, namelijk dat Philips usfa juist zijn beloond. In dezelfde periode trekt usfa zich namelijk terug uit die andere Navo-biedingsronde, die eerder is beschreven en waar het nsa-apparaat KG-81 voor high speed dataversleuteling als winnaar uitkomt. Het valt op dat die terugtrekking niet alleen het begin vormt van de samenwerking van Philips met de nsa, maar ook het begin van de glorietijd van de Philips usfa-cryptogroep, die vervolgens een decennium aanhoudt. Want wat gebeurt er? Niet lang na de acceptatie van de Aroflex krijgt Philips van de nsa de licentie om de KG-81 voor Europese Navo-landen te bouwen. Het concern verwerft bovendien een opdracht om een grootschalig digitaal communicatienetwerk te bouwen voor het Nederlandse leger. Bij dit project, met de codenaam Zodiac, zijn drie dochterbedrijven betrokken: Philips Telecommunicatie Industrie (pti), Holland Signaal en usfa. Het netwerk omvat vaste en mobiele verbindingen, transmissieapparatuur, telefooncentrales, telefoons en telexen, ter waarde van tweehonderd miljoen gulden (nu rond 165 miljoen euro). usfa moet zorgen voor de cryptografische versleuteling, die in belangrijke mate rust op een versleutelingsprogramma met de codenaam Saville, dat voor de Navo is ontwikkeld door de nsa en haar Britse zusterorganisatie gchq.

De details van Saville blijven voor vrijwel alle usfa-medewerkers geheim. Zij installeren het – ingebakken in computerchips – in duizenden digitaal beveiligde telefoons van het type Spendex. Zodiac is het grootste cryptografische project dat usfa ooit heeft uitgevoerd. Philips ziet het als een technologisch en commercieel succes. En terecht, het systeem blijft een kwart eeuw operationeel, de laatste delen zijn pas rond 2007 uit dienst gehaald. Maar Zodiac illustreert ook hoe de nsa via de Navo geleidelijk meer toegang heeft gekregen tot de Europese cryptografische industrie. Ook andere fabrikanten – zoals Siemens en stk – zijn in deze decennia Saville gaan gebruiken, vermoedelijk met hetzelfde motief: om Navo-opdrachten te verwerven. gt;

Zodiac is meteen het laatste succes van usfa. Met het einde van de Koude Oorlog, vanaf midden jaren tachtig, zakken de defensie-uitgaven van de Navo-landen in. ‘Toen hebben we gezegd: van defensie moet je het niet meer hebben’, aldus een voormalige usfa-manager. Philips besluit goedkopere uitvoeringen van haar cryptografische apparatuur te ontwikkelen voor grote bedrijven als banken en multinationals, en voor semi-overheden. De Aroflex krijgt een commercieel zusje, Beroflex, en van de cryptotelefoons komen eenvoudiger varianten. Verkoopmedewerkers reizen naar nabije en verre windstreken als Indonesië, Australië, Oostenrijk, Griekenland, Tsjechië. Brazilië, Turkije en de Verenigde Arabische Emiraten. Na zes jaar en investeringen van naar schatting twintig miljoen gulden trekt de leiding van de cryptogroep in 1992 de conclusie dat de Nieuwe Generatie Crypto, zoals het plan tot commercialisering is gedoopt, volledig is mislukt.

usfa is tegen die tijd al ontmanteld. Het aantal medewerkers, eind jaren tachtig nog 450, is teruggelopen naar driehonderd. Philips heeft het dochterbedrijf eerst samengevoegd met Holland Signaal, en dat in 1989 verkocht aan de Franse elektronicagigant Thomson. Op last van de Nederlandse regering heeft Philips de cryptogroep met rond de 120 medewerkers zelf gehouden (en daarvoor van de regering twee miljoen gulden gekregen). Na de afsplitsing glijdt de afgesplitste groep onder de naam Philips Crypto langzaam verder de afgrond in. Het ontwikkelt onder meer een digitale beveiliging van audio-cd’s tegen illegale kopieën, communicatiesystemen voor de Nederlandse politie en veiligheidsdiensten, cryptografische chips en cryptografische modules voor radiocommunicatie. Maar groei blijft uit. In 1997 verwerft Philips Crypto nog een mooi project ter waarde van 17,5 miljoen euro voor ontwikkeling van een Vercijferkaart (V-kaart), een insteekkaart voor versleuteling van dataverkeer tussen personal computers in de departementen Justitie, Binnenlandse Zaken, Buitenlandse Zaken en Defensie. Maar als de eisen van de departementen gaandeweg complexer worden, loopt de groep in dit project in 2001 compleet vast.

In 2003 valt het doek. Philips Crypto telt dan nog zo’n 75 medewerkers, van wie de meeste zich bezighouden met kleinere commerciële projecten. Het concern stoot de overgebleven activiteiten af naar andere bedrijven. Een beveiligingssysteem voor betaaltelevisie gaat naar Irdeto (een Nederlands bedrijf, thans in Zuid-Afrikaanse handen). Fox-IT uit Delft krijgt het verzoek een opvolger voor de mislukte V-kaart te ontwikkelen – dat wordt de Fort Fox File Encryptor (fffe), een insteekkaart die geselecteerde files versleutelt en die nog altijd bij de overheid in gebruik is. Twee van Crypto’s apparaten voor versleuteling van netwerkcommunicatie gaan naar Compumatica in Uden.

Medium ecolex ii
Kon de NSA drie decennia lang berichten en gesprekken van Europese militairen en regeringsleiders ontcijferen?

De naoorlogse Nederlandse wens om door het opbouwen van een eigen defensie-industrie door te dringen tot de security ring van de VS, Groot-Brittannië en Canada, is dan definitief ten grave gedragen. Juist het omgekeerde is gebeurd. Via de Navo heeft de Amerikaans/Britse ring – met de nsa en het gchq in het hart – Philips usfa en andere West-Europese fabrikanten ‘omarmd’ en aangezet tot het overnemen van hun cryptografische hardware en software. Mogelijk waren daar goede technische gronden voor, zeker in een aantal gevallen zijn de nsa-apparaten en programma’s gewoon beter geweest. Men kan zelfs de stelling verdedigen dat Philips’ cryptogroep zonder hulp van de nsa al veel eerder ten onder zou zijn gegaan. Feit is dat de nsa-codeermachines en -programma’s decennialang in de Navo-landen zijn gebruikt (en mogelijk nog altijd worden gebruikt). Voor een inlichtingendienst zijn de kansen die zo’n positie biedt gewoon te mooi om waar te zijn.

Daarmee ligt onvermijdelijk de vraag op tafel of de nsa die positie heeft gebruikt voor eigen doelen. Voormalige usfa-medewerkers vermoeden dat de dienst bij het testen van Philips’ cryptotelefoons de onderliggende technologie grondig heeft ‘bestudeerd’ en vervolgens ook heeft gekopieerd in eigen telefoons. Heeft de nsa in haar apparaten en in de Walburn- en Saville-software ook ‘achterdeurtjes’ ingebouwd en zo ruim drie decennia lang vertrouwelijke berichten en gesprekken van Europese militairen, diplomaten, regeringsleiders en zelfs bedrijfsleiders weten te ontcijferen? Bewijs daarvoor ontbreekt tot nu toe en in de cryptografie geldt: wie het versleutelingsprogramma kent, moet de codesleutel ook nog zien te bemachtigen. Het wachten is op nadere onthullingen.

Een interventie van de NSA

In 1980 introduceerde het bedrijfje TextLite uit Amsterdam een handzaam apparaatje voor het verzenden van korte tekstberichten per telefoonlijn. De PX1000 had een toetsenbord, een klein display en een ingebouwd modem. In Nederland werd het onder meer verkocht door Philips. Dit concern bracht ook een versie met een kersvers versleutelingsalgoritme dat in 1976 in de VS was geïntroduceerd onder de naam Data Encryption Standard. DES was ontwikkeld door een Duitse immigrant. In zijn oervorm (toen nog Lucifer genaamd) was het nagenoeg onbreekbaar. Op aandrang van de NSA was het algoritme afgezwakt van 126 naar 64 bit. Daarmee konden nog altijd honderd miljard verschillende codesleutels worden gegenereerd. Voor grote bedrijfscomputers bleef DES daarmee onbreekbaar, maar de NSA zelf kon het met haar supercomputers wel aan.

De PX-1000Cr werd gebruikt door journalisten, bedrijven en de Nederlandse overheid. De anti-apartheidsbeweging gebruikte een aangepaste versie om geheime berichten uit te wisselen met Nelson Mandela in zijn cel op Robbeneiland. Toen het apparaat drie jaar op de markt was, kreeg de NSA het in de gaten. Dat grote bedrijven het DES-algoritme gebruikten, was tot daaraan toe. Maar de dienst wilde kennelijk niet dat ook particulieren hun berichten op dat niveau konden versleutelen. De Eindhovense cryptokenner Paul Reuvers, die de website cryptomuseum.com runt, zegt voor het volgende verhaal te leunen op twee bronnen: een oud-directeur van TextLite en een voormalig medewerker van USFA.

De NSA vroeg TextLite en Philips om het apparaat van de markt te halen en er USFA een eigen, zwakker versleutelprogramma voor te laten ontwikkelen. De vraag was een aanbod dat Philips en TextLite niet konden weigeren. Philips kocht de resterende voorraad van twaalfduizend exemplaren op en leverde die aan een Amerikaans bedrijf, vermoedelijk een dekmantel van de NSA. Met de transactie, die ook de levering van twintigduizend met DES voorgeprogrammeerde geheugenchips omvatte, was naar schatting 16,5 miljoen gulden gemoeid.

In de jaren negentig hadden ook consumentencomputers zoveel aan kracht gewonnen dat DES toch relatief gemakkelijk te kraken bleek. Het is daarna vervangen door het veiliger AES.


Het onderzoek voor dit artikel is mede gefinancierd uit de Huibregtsenprijs voor vernieuwend onderzoek die in 2012 is toegekend aan dr. Bart Jacobs, hoogleraar digitale veiligheid aan de Radboud Universiteit te Nijmegen. Jacobs heeft ook inhoudelijk bijgedragen aan het onderzoek, evenals researcher drs. Tjidde Tempels. Verder is dank verschuldigd aan Paul Reuvers en Marc Simons van cryptomuseum.com en aan Philips Company Archives te Eindhoven.

Een geannoteerde versie van dit artikel is te lezen op groene.nl

beeld: NSA / Handout / Corbis, 2: Foto’s Crypto Museum