BlackPhone: voor wie niemand vertrouwt

Je communicatie versleutelen, wat een gedoe. De BlackPhone van Silent Circle moet bewijzen dat het ook makkelijk kan. KPN breng de veilige smartphone binnenkort uit.

„Zelfs als je KPN niet vertrouwt kun je met deze telefoon veilig bellen en chatten.”

Het is een opmerkelijke aanprijzing uit de mond van KPN-medewerker Oscar Koeroo. Als veiligheidsexpert bij het telecombedrijf test hij nu de BlackPhone, een toestel dat KPN in januari op de Nederlandse markt brengt.

De BlackPhone is een toestel van Silent Circle, het bedrijf van Amerikaan Phil Zimmerman. Hij is grondlegger van Pretty Good Privacy (PGP), een van de meeste gebruikte encryptiemethodes.

Via Silent Circle-apps, ook beschikbaar voor iPhone en Android, kun je voor een tientje per maand (video-)bellen en chatten in een volledig versleutelde omgeving. Voor elk gesprek wordt een nieuwe sleutel aangemaakt die alleen voor de toestellen zelf bekend is. Superveilig, aldus KPN. En nu zojuist Regin is ontdekt, supergeavanceerde spyware die wellicht door een overheid is gemaakt om te spioneren, nóg weer relevanter.

De BlackPhone gaat nog een stapje verder: het is een Android telefoon met Silent Circle-apps die volledig Google-vrij is gemaakt. Dit om te voorkomen dat er – je weet maar nooit – achterdeurtjes van Amerikaanse geheime diensten inzitten. Je kunt zelf besluiten welke apps je installeert. Het idee is dat je belt en chat via één sterk beveiligd toestel dat ook geschikt is voor alledaagse taken als Twitter of Instagram. Een extra gadget om codes te generen is ook niet nodig.

„Security moet pointy-clicky zijn, zo simpel dat iedereen het snapt”, zegt Jaya Baloo, hoofd informatiebeveiliging van KPN. „De Black-Phone kwam in beeld toen we onze eigen bedrijfstop beter wilden beveiligen. Maar ook advocaten, artsen en politici kunnen de BlackPhone gebruiken.” 

De code van Android, de basis van BlackPhone PrivatOS, is open. Kwaadwillenden zouden er kwetsbaarheden in kunnen stoppen, maar die fouten kunnen tenminste gecorrigeerd worden door anderen. Het motto in de beveiligingsindustrie: veiligheid door obscuriteit bestaat niet. Volgens Baloo is het onmogelijk om beveiligingsproblemen te voorkomen. „Het gaat erom of bedrijven een snelle remedie verzorgen. Silent Circle heeft op dat punt een goede reputatie.”

nrc.next kon de BlackPhone al even uitproberen. Het is een up-to-date-toestel dat vanaf het eerste gebruik de nadruk sterk op veiligheid legt: encryptie van data, wissen op afstand, versleuteling van je communicatie. Als extraatje wordt in publieke wifi-netwerken automatisch een veilige VPN-verbinding opgezet. In afwachting van een BlackPhone-appstore word je verwezen naar de Amazon App Store – dit verliep tijdens de test nog niet vlekkeloos.

Als je iemand ‘veilig’ belt zie je een groen icoontje op het moment dat de versleutelde verbinding gelegd wordt – vergelijkbaar met het groene ‘slot’ in de adresbalk van je browser als je met een beveiligde website communiceert. Het voordeel van Silent Cirle is dat er – in tegenstelling tot de browser – geen digitale certificaten tussenzitten. Die zijn kwetsbaar. Er is geen centraal punt waar de verbinding gelegd wordt, alleen een plek waar contactpersoon elkaar vinden.

„Als je elkaar vertrouwt hoef je KPN of Silent Circle niet meer te vertrouwen – de encryptie is sterk genoeg”, zegt Oscar Koeroo. KPN moet van de wetgever het spraak- en dataverkeer monitoren, maar kan alleen maar versleutelde verkeersstromen leveren.

Hoeveel KPN voor de Black-Phone vraagt is nog onbekend, een los toestel kost in de VS 629 dollar.