Hoe Philips een Nederlandse zaktelex ‘afluisterbaar’ maakte voor de NSA

Versleuteld, maar niet voor Amerika

Inlichtingendiensten vrezen dat China dankzij ingebouwde achterdeurtjes in Huawei-apparatuur toegang krijgt tot onze geheimen. Amerika heeft die deurtjes al lang. Zo maakte Philips eind vorige eeuw een lastig te kraken zaktelex ‘afluisterbaar’ voor de NSA. Een reconstructie.

Voorjaar 2014. In een familierestaurant in de bossen rond Eindhoven treffen we een bron, laten we hem ‘Frank Molenaar’ noemen. De zaak waarover hij ons informatie gaat verschaffen, speelde medio jaren tachtig. Toch wil hij nog altijd anoniem blijven. Het gesprek vindt plaats in een private dining room, zonder pottenkijkers of meeluisteraars. ‘Waar we het over hebben was indertijd staatsgeheim’, legt hij uit, ‘op het openbaar maken stond gevangenisstraf.’ Is dat nog steeds zo? De Algemene Inlichtingen- en Veiligheidsdienst (aivd) vindt in ieder geval dat de kwestie ook ruim dertig jaar na dato geheim moet blijven. Zij wijst een verzoek tot openbaarmaking af. Toenmalig plaatsvervangend directeur Marc Kuipers schrijft: ‘Een van de (…) weigeringsgronden is dat de verstrekking van de gevraagde gegevens de nationale veiligheid niet mag schaden. (…) De aivd moet zijn bronnen, zijn werkwijze (…) en zijn actuele kennisniveau geheim kunnen houden.’

Dit antwoord maakt het verhaal van ‘Frank Molenaar’ des te fascinerender. Het gaat over de nsa en over hoe die Amerikaanse afluisterdienst Philips inschakelde om een versleutelde zaktelex van de markt te halen. Die zaktelex – een sms-apparaatje avant la lettre – was ontwikkeld door het Nederlandse bedrijfje Text Lite. Het versleutelingsprogramma dat Text Lite had ingebouwd, was zelfs voor de nsa lastig te kraken. Daar moest iets aan worden gedaan, vonden de Amerikanen.

Wat de kwestie extra boeiend maakt, is dat het anc de zaktelex zou hebben gebruikt om geheime berichten van Nelson Mandela – die toen nog gevangen zat op Robbeneiland – vanuit Zambia naar Londen over te brengen. De Nederlandse activiste Connie Braam had het ding aan het anc gegeven. Daarmee wordt de vraag: heeft Philips de nsa geholpen om Mandela af te luisteren?

Philips had al langer contact met de nsa. Dochterbedrijf usfa – een afkorting voor Ultra Sonore Fabricage Afdeling – bouwde cryptografische apparaten die bestemd waren voor het verzenden en ontvangen van versleutelde diplomatieke en militaire communicatie. Maar de ontwikkelkosten waren hoog en de verkopen buiten Nederland bleven beperkt. In 1977 veranderde dat. Dat jaar reisde een usfa-medewerker naar het hoofdkantoor van de nsa in Fort Meade, niet ver van Washington. Wat hij besprak, is niet bekend. Wat wél vaststaat is dat het niet bij dit ene bezoek bleef en dat Philips-usfa sindsdien aan de leiband van de nsa liep.

Behalve met afluisteren hield de nsa zich ook bezig met de ontwikkeling en bouw van cryptografische machines en de bijbehorende software. Kort na het bezoek van de usfa-medewerker koos de nsa Philips als onderaannemer. Het Nederlandse concern mocht in licentie een nsa-apparaat voor versleutelde datatransmissie gaan bouwen voor de Europese Navo-landen. Uiteraard zat in dat apparaat een door de nsa zelf ontwikkeld versleutelingsprogramma, het zogenoemde Walburn-algoritme. Philips installeerde bovendien een andere nsa-versleuteling (Saville, ontwikkeld door de nsa en de Britse gchq) in haar nieuwe communicatieapparatuur voor het Nederlandse leger.

Sinds de alliantie met de nsa deed usfa het commercieel beduidend beter. Dus toen de Amerikanen zich aandienden met een speciaal verzoek, stond Philips daar wel open voor. Volgens ‘Frank Molenaar’ – die in een niet nader te beschrijven rol bij de zaak betrokken was – vond in december 1984 ergens in Nederland een geheime bijeenkomst plaats waarbij medewerkers van zowel Philips als de nsa aanwezig waren. De voertaal was Engels. Het onderwerp: een nieuw versleutelingsprogramma voor de PX-1000, de zaktelex die Text Lite in 1983 op de markt had gebracht.

Het was de Philips-cryptografen snel duidelijk dat de nieuwe versleuteling zwakker was dan de versleuteling die Text Lite in het apparaatje had ingebouwd, en dus gemakkelijker door de Amerikanen te kraken zou zijn. De reden daarvoor begrepen ze ook: een afluisterdienst moet kunnen afluisteren, en heeft er dus geen belang bij dat burgers en bedrijven apparaten gebruiken die dat al te moeilijk maken.

De PX-1000 mat ongeveer twintig bij tien centimeter en was voorzien van een klein display en een toetsenbordje. Je kon berichten intikken en die als pieptoontjes via een gewone telefoonlijn naar een andere PX-1000 sturen, die er dan weer tekst van maakte – mits de eigenaar de juiste codeersleutel had. Het apparaatje kostte rond de duizend gulden en zou nu zo’n 860 euro waard zijn. Tegen de tijd dat de nsa er lucht van kreeg, had Text Lite er al aardig wat van verkocht, onder meer aan het Turkse leger, in het Midden-Oosten en aan Israël.

Het bedrijfje was nog jong, het was in 1981 opgezet als producent van lichtkranten – lichtbalken met lopende reclameteksten. De PX-1000 was een idee van technisch directeur Hugo Krop. Krop had op eigen initiatief ‘een heel stoute feature’ aan de PX-1000 toegevoegd, vertelde hij een paar maanden voor zijn dood, in 2018. ‘Niet omdat iemand erom vroeg, maar gewoon omdat het kon.’ In een hackersblaadje uit de VS had hij gelezen ‘hoe je de officiële Data Encryption Standard uit Amerika kon maken in ongeveer 1 K (1000 bits)’. Op de chip van de PX-1000 was nog net ruimte voor zo’n mini-bestandje.

Het des-algoritme bood indertijd de beste versleuteling ter wereld. Het was ontwikkeld door een Duitse immigrant en in de VS geïntroduceerd in 1976. Op aandrang van de nsa was het al afgezwakt. Niettemin konden er nog altijd honderd miljard verschillende versleutelingen mee worden gegenereerd. Daarmee bleef het voor vrijwel iedereen onbreekbaar. De nsa zelf kon het met haar supercomputers wel aan, maar ook die had tijd nodig om met des versleutelde berichten te ontcijferen – te veel tijd om bijvoorbeeld op acute dreigingen te reageren.

Krops mededirecteur Arie Hommel herinnerde zich hoe Text Lite na de introductie van de PX-1000 signalen kreeg dat men in veiligheidskringen niet blij was met hun mooie apparaat. ‘Af en toe kwam iemand vanuit Engeland over van Scotland Yard om te vragen waarom en aan wie wij die dingen verkochten. Zij hadden er schijnbaar last van, omdat ze ze niet konden afluisteren. En ze waren niet de enige.’

Ook de nsa was niet happy. De Amerikanen zochten niet zelf contact met Text Lite, maar schakelden voor dat klusje Philips in. Hommel noch Krop herinnerde zich de datum van het telefoontje uit Eindhoven, maar dat moet ergens in 1984 zijn geweest, vóór Text Lite naar de beurs ging (dat gebeurde in december, via een notering aan de Amsterdamse parallelmarkt). Hommel: ‘We werden gevraagd naar een Van der Valk-hotel in de buurt van Utrecht te komen. Daar zeiden de Philips-mensen keihard: u heeft een product waar een encryptie in zit en dat willen wij van de markt af hebben.’

Wat was begonnen als een poging om Amerikaans meeluisteren te voorkomen, was geëindigd in cryptologische afhankelijkheid van diezelfde Amerikanen

Volgens Krop waren hun gesprekspartners medewerkers van usfa. Hij bevestigde Hommels beschrijving van het gesprek: ‘Zij meldden zich met een voorstel: a) hoeveel geld wilt u hebben, b) wilt u alle apparaten opsporen en terugkopen en c) wij zullen u een nieuwe, minstens zo goeie encryptiesleutel geven en dan gaan wij dat apparaat distribueren. En tussen haakjes: dit is niet een aanbod dat u kunt weigeren. U moet het gewoon doen.’ Volgens Arie Hommel was niet duidelijk dat dit aanbod door de nsa was geïnspireerd, maar Hugo Krop vermoedde het wel. Tijdens een gesprek met het radioprogramma Argos liet hij zich spontaan ontvallen: ‘Ja, als de nsa iets wil, dan krijgen ze dat altijd voor elkaar.’

De Text Lite-directeuren gingen akkoord – mede gelokt door een bedrag dat volgens Hommel ergens tussen de dertig en veertig miljoen gulden lag. Philips nam de PX-1000 over en probeerde zoveel mogelijk onverkochte exemplaren te traceren. Het is niet bekend of er ook exemplaren zijn teruggehaald die al verkocht waren. In 1990 bezette de antimilitaristische actiegroep Onkruit het usfa-complex en maakte daarbij interne documenten buit. Daaruit bleek dat Philips twaalfduizend PX-1000s, samen met nog eens twintigduizend chips met het des-algoritme, doorverkocht aan het Amerikaanse bedrijf Reynolds – dat niet meer te achterhalen valt en volgens diverse anonieme bronnen vermoedelijk een dekmantel van de nsa is geweest. De verkoopprijs lag op rond 16,5 miljoen gulden – wat zo ongeveer overeenkomt met de winkelwaarde.

Het was een treurig moment in de Philips-geschiedenis. Het concern had usfa ooit opgezet op verzoek van de Nederlandse regering. Die was in 1944 door haar topcryptoloog kolonel J. A. Verkuijl gewaarschuwd dat de VS bijna het punt hadden bereikt waarop ze de Zwitserse Hagelin-codeerapparaten, die door Nederland werden gebruikt, kon kraken. Direct na de oorlog had Philips de regering geadviseerd om zelf cryptografische apparaten te bouwen. Dat zou de kans op Amerikaanse hacks verminderen. Door zelf hoogwaardige cryptografische technologie te ontwikkelen, zou Nederland bovendien kans maken om toegelaten te worden tot het exclusieve clubje landen dat geheime inlichtingen met elkaar deelde: de VS, het Verenigd Koninkrijk en Canada (deze club is later uitgebreid met Australië en Nieuw-Zeeland en raakte bekend onder de bijnaam Five Eyes).

usfa – dat behalve cryptografische apparaten ook nachtzichtapparatuur en ontstekingsmechanismen voor granaten (proximity fuses) maakte – was van begin af aan een moeizaam project geweest. Door traagheid van de regering, die voor ontwikkelopdrachten moest zorgen, was de Philips-afdeling pas in 1954 daadwerkelijk van de grond gekomen. De ontwikkeling van de cryptografische apparaten was aanvankelijk sterk gehinderd door een octrooidispuut met een hoogleraar die voor het technische laboratorium van de ptt werkte.

De eerste geheimtelex was pas in 1957 productierijp geweest. In 1962 had usfa met haar Ecolex IV telex een Navo-bieding gewonnen, zodat het succes dan toch binnen bereik leek. Maar de concurrentie van Duitse (Siemens, aeg), Britse, Zweeds/Zwitserse (Hagelin), Noorse (stk) en Amerikaanse zijde was groot. Het had geduurd tot 1977 – het jaar van de nsa-alliantie – voor usfa opnieuw een Navo-bieding won, deze keer met de geheimtelex Aroflex. Wat was begonnen als een poging om Amerikaans meeluisteren te voorkomen, was geëindigd in cryptologische afhankelijkheid van diezelfde Amerikanen.

Dankzij de verhalen van ‘Frank Molenaar’, van enkele andere anonieme bronnen en van de Text Lite-directeuren Krop en Hommel is duidelijk hoe de nsa, met hulp van Philips, de té goed versleutelde PX-1000 van de markt haalde en verving door een nieuwe versie PX-1000Cr. Wat zij niet konden beantwoorden, waren twee andere vragen: hoeveel zwakker was de nieuwe versleuteling van de PX-1000 nu eigenlijk en heeft het anc het apparaatje inderdaad gebruikt in de communicatie tussen Mandela en anc-Londen?

Het duurde vijf jaar voor wij de antwoorden vonden op die vragen. Bij het analyseren van het verzwakte algoritme in de PX-1000Cr kregen we hulp van Marc Simons en Paul Reuvers. Zij zijn eigenaren van een softwarebedrijf in Eindhoven en hebben in hun vrije tijd een virtueel ‘cryptomuseum’ opgezet. Ze verzamelen bovendien zo veel mogelijk oude crypto-apparaten. Simons en Reuvers hadden exemplaren van de oorspronkelijke PX-1000 en van de verzwakte PX-1000Cr. Ze slaagden erin de geheugens uit te lezen en de versleutelingsalgoritmen in beide versies schematisch uit te tekenen.

Bart Jacobs, hoogleraar cybersecurity te Nijmegen, vond een geïnteresseerde student, die alleen al drie maanden nodig had om tot de conclusie te komen dat de oorspronkelijke versie inderdaad het des-versleutelingsalgoritme bevatte. Een tweede student zou het onderzoek voortzetten, maar kreeg nog voor zijn afstuderen een baan aangeboden. De enige man die uitsluitsel zou kunnen geven is Cees Jansen, een wiskundige en cryptograaf die in de jaren tachtig bij usfa werkte. Hij wilde echter niet in detail treden. Na enig aandringen bleek Jansen wel bereid om samen met hoogleraar Bart Jacobs het algoritmeschema van de afgezwakte PX-1000CR, zoals dat door de mannen van het cryptomuseum was gemaakt, nader te bekijken.

In een uitzending van Argos omschreef Jansen dit algoritme als ‘duidelijk zwakker’ en bevestigde hij dat de nsa dit veel sneller moet hebben kunnen kraken dan het des-algoritme in de oorspronkelijke PX-1000. Onze anonieme bron ‘Frank Molenaar’ had ons verteld dat die verzwakking neerkwam op een halvering van het aantal bits per versleutelingsblok: des maakte gebruik van blokken van 64 bits, het nsa-achterdeurtje gebruikte 32-bitsblokken. Hoogleraar Bart Jacobs legt uit dat dit neerkomt op een verzwakking van 2 tot de macht 32, ofwel een factor van ruim vier miljard. Dat is gigantisch. Stel dat de nsa-computer indertijd voor het kraken van een des-bericht een jaar nodig had gehad, dan was die tijd via het verzwakte achterdeurtje teruggebracht naar 0,007 – ofwel zeven duizendste – seconden.

In 2010 wijdde tv-programma Anderetijden een uitzending aan Operatie Vula. Die had het anc medio jaren tachtig opgezet om uitgeweken anc-strijders weer Zuid-Afrika binnen te loodsen en om een communicatielijn met Nelson Mandela op te zetten. Mandela zat toen nog gevangen op Robbeneiland, maar zijn vrijlating werd al wel verwacht (uiteindelijk kwam die pas in 1990). Andere tijden onthulde dat de Nederlandse anti-apartheidsbeweging op allerlei manieren een rol in Operatie Vula had gespeeld.

Zo had activiste Connie Braam enkele exemplaren van de oorspronkelijke PX-1000 bemachtigd en aan het anc gegeven. Zijn ze ook gebruikt? De man die hier het fijne van weet is de witte Zuid-Afrikaanse schrijver Timothy Jenkin. Hij was indertijd verantwoordelijk voor de geheime communicatie binnen het anc. Zijn fameuze ontsnapping in 1979 uit een zwaarbewaakte gevangenis te Pretoria wordt op dit moment verfilmd met Daniel ‘Harry Potter’ Radcliffe in de hoofdrol. Jenkin bevestigt per telefoon dat het anc de PX-1000 heeft gebruikt. Maar alleen binnen Europa: ‘Voor communicatie tussen Londen en Amsterdam, en later ook tussen London en Parijs.’ De PX-1000 bleek niet geschikt voor communicatie tussen Zambia en Londen en is dus niet gebruikt voor berichten van Mandela, zegt Jenkin. Om de versleutelde geluidssignalen via de telefoon foutloos over te brengen waren hoogwaardige en storingsvrije lijnen nodig. ‘We testten het. Het werkte goed vanuit een rustige hotelkamer, maar niet vanuit openbare telefooncellen.’

Jenkin zegt dat het anc bovendien vreesde dat des toch niet helemaal veilig was – een vermoeden dat in principe klopte, al zou het kraken van met des versleutelde anc-berichten de nsa dus wel de nodige tijd hebben gekost. In plaats van de PX-1000 ontwikkelde Jenkin zelf een systeem, dat werkte met personal computers en eenmalige codesleutels, die per floppydisk werden verspreid door een Nederlandse klm-stewardess.

Heeft de nsa dan wel de Europese PX-1000-communicatie van het anc afgeluisterd en gekraakt? We weten het niet. Wellicht komt het antwoord ooit nog eens uit gedeclassificeerde nsa-archieven te voorschijn. En heeft de nsa wel baat gehad bij de ‘achterdeur’ die Philips erin aanbracht? Ook dat blijft een mysterie. Niet lang na de overname bracht Philips in 1985 de nieuwe versie van de PX-1000 op de markt met de toevoeging ‘Cr’ (voor crypto) en het nieuwe, zwakkere algoritme. Text Lite verzorgde de productie en ontwikkelde ook nog een opvolger: PX-2000 (1985), die ‘backward compatible’ was met de PX-1000 en vermoedelijk dus ook het achterdeurtje bevatte. De apparaten werden bovendien onder licentie en onder verschillende merknamen (Siemens, Alcatel, Ericsson) verkocht in een aantal Europese landen, zoals Duitsland, Engeland, Frankrijk, Oostenrijk en Zweden. Het is niet duidelijk of de achterdeur daarin zat, het kan zijn dat de betreffende fabrikanten dit hebben vervangen door eigen versleutelingsalgoritmen. Er kwam ook een versie voor de Nederlandse overheid. Daar zat het verzwakte algoritme niet in, de overheid liet er een eigen versleuteling voor ontwikkelen waarvan de details tot heden onbekend zijn.

Hoe dan ook resteert één conclusie: we weten sinds de onthullingen van Edward Snowden uit 2013 dat de nsa zeer ver gaat bij het monitoren van wereldwijde elektronische communicatie. Het verhaal van de PX-1000 is op wereldschaal niet erg belangrijk. Maar het is veelbetekenend dat de nsa ook toen al aardig wat geld en energie uitgaf om ervoor te zorgen dat apparaten voor elektronische communicatie afluisterbaar waren. Er is geen reden om aan te nemen dat de dienst daarmee is gestopt.

Rest nog een laatste vraag: wie heeft dat verzwakte algoritme, die achterdeur in de PX-1000, eigenlijk gemaakt? Aan het eind van het gesprek in het familierestaurant in de bossen nabij Eindhoven buigt ‘Frank Molenaar’ zich naar ons toe. ‘Ik wil toch graag even benadrukken dat dit algoritme niet van Philips kwam’, zegt hij. ‘Het kwam uit Amerika, het kwam van de nsa.’


Met dank aan de redactie van Argos, met name aan Sanne Terlingen en Hansje van de Beek