De wereld van staatsgeheim geheim

Nederland behoort tot de landen die er traditioneel hun eigen crypto-industrie op na houden. Sinds kort wordt de hardware voor versleutelde gesprekken en dataverkeer echter geleverd door een Zweeds bedrijf: Sectra Communications. Niet iedereen mag het apparaatje, de Tiger XS, zomaar kopen.

Een land dat zijn cryptografische apparatuur in het buitenland bestelt, weet natuurlijk nooit of de desbetreffende overheid een achterdeurtje heeft ingebouwd om stiekem mee te kunnen luisteren. Dan blijft er weinig geheim aan de staatsgeheimen. Wie daartoe in staat is – en dat zijn wereldwijd een stuk of tien landen – bouwt daarom zijn eigen encryptie.

In Nederland was het jarenlang Philips Crypto dat de benodigde apparatuur maakte en software schreef. Het kleine dochterbedrijf van Philips legde in 2003 echter het loodje, omdat het noch sense noch simplicity produceerde. De Nederlandse overheid kon nog een poosje teren op de voorraad, maar cryptografische procedures moeten voortdurend vernieuwd worden, dus een nieuwe fabrikant was broodnodig. In Nederland bestond die echter niet.

Het Nationaal Bureau voor Verbindingsbeveiliging (NBV), een onderdeel van de inlichtingendienst AIVD, wierp daarom een blik over de landsgrenzen. Dat het oog daarbij op Zweden viel is niet verwonderlijk. Nederland en Zweden hebben weinig tegenstrijdige belangen, politiek noch commercieel, dus er is weinig reden om elkaar te wantrouwen. Zweden had met Sectra bovendien een goed cryptobedrijf in huis. Sectra leverde al aan andere Europese landen en aan de Navo. Dat laatste is een hele prestatie, omdat Zweden geen lid is van de verdragsorganisatie.

Enveloppen

Een leverancier van cryptografische apparatuur moet meer in huis hebben dan de juiste hardware, vertelt ir. Jeroen de Muijnck, manager van de Nederlandse tak van Sectra: “Alle medewerkers worden gescreend, niet alleen van Sectra, maar ook van bedrijven waar we de productie aan uitbesteden. De Tiger XS wordt in Nederland gemaakt, maar ik kan niet zeggen bij welk bedrijf. Bovendien zijn er regels voor het doen van projecten. We kunnen niet zomaar aan iedereen leveren, ook klanten worden gescreend. De exportvoorwaarden zijn stringent.”

Om leverancier te worden moest Sectra een stevige procedure doorlopen. “Je moet je product inleveren bij het NBV en dan hoor je na enkele maanden of het geschikt is of dat er nog dingen aan veranderd moeten worden”, vertelt De Muijnck. “Als je na een half jaar te horen hebt gekregen dat je product is goedgekeurd, mag de vlag uit.”

Sectra’s Tiger XS kreeg in oktober 2006 het groene licht. Daarmee heeft het Zweedse bedrijf een de facto monopolie in handen: het is de enige door het NBV aanbevolen leverancier van dit soort mobiele crypto-apparatuur aan de Nederlandse overheid. De Muijnck legt uit: “Het NBV hanteert verschillende categorieën van confidentialiteit. Ons product is goedgekeurd voor ‘staatsgeheim geheim’, het hoogst mogelijke voor versleutelde gesprekken over een commercieel netwerk.” Daarboven bestaat overigens nog een categorie ‘staatsgeheim zeer geheim’, maar daar komen geen openbare communicatiekanalen aan te pas.

Mankementen

De Nederlandse Tiger XS is overigens niet dezelfde als degene die aan andere landen geleverd wordt (er komt ook een commerciële versie op de markt, op basis van het AES-algoritme). Het NBV heeft namelijk zelf nog aanpassingen gedaan. Welke dat zijn kan De Muijnck uiteraard niet zeggen, al was het maar omdat Sectra de gemodificeerde apparaten nooit in handen krijgt. Bij mankementen worden de specifieke Nederlandse componenten eruit verwijderd voor hij zijn weg terug vindt naar de fabrikant.

In ieder geval gebruikt Nederland zijn eigen versleutelingsalgoritmen, het hart van alle crypto-apparatuur. De Muijnck: “Overigens is dit de eerste keer dat Sectra met een andere dan de Zweedse overheid nauw heeft samengewerkt om aanpassingen mogelijk te maken.”

Wie de klanten precies zijn, laat De Muijnck in het midden, behalve dat er nogal wat bij het ministerie van Defensie zitten. “Maar je kunt ook denken aan hoge ambtenaren. De Tiger XS werkt niet alleen op mobiele of vaste netwerken, maar ook met de satelliet. Je mag denken aan ambassades, maar ook aan commando-unit in Afghanistan. Bij de commerciële variant gaat het om bedrijven met grote belangen, zoals de vliegtuigindustrie of oliemaatschappijen.”