RIM: We kunnen BlackBerry zelf niet eens afluisteren

In een officiële reactie op het Indiase ultimatum stelt RIM dat het zich coöperatief wil opstellen bij redelijke verzoeken van regeringen. Maar het stelt tegelijk klanten gerust met de formulering van 4 principes waaraan het zich houdt bij de samenwerking met regeringen:

1. Toegang zal alleen verleend kunnen worden binnen de wettelijke kaders en de bepalingen van het beveiligingsbeleid van het land in kwestie;
2. Maatregelen om toegang te krijgen moeten leveranciersneutraal zijn; voor de BlackBerry mogen geen zwaardere inspecties worden uitgevoerd of meer maatregelen gelden dan voor vergelijkbare andere diensten;
3. RIM zal geen wijziging aanbrengen in de beveiligingsarchitectuur die het wereldwijd voor zijn BlackBerry Enterprise Server heeft geïmplementeerd; dat impliceert dat de sleutels van zijn klanten veilig zijn: RIM is in de huidige opzet zelfs niet in staat die te achterhalen;
4. RIM sluit geen afzonderlijke deals om bepaalde landen meer faciliteiten te verlenen.

Deze principes bevatten op zich weinig nieuws; RIM had ze al eerder uitgesproken. Wel is de nadruk op de onmogelijkheid van ontsleuteling opmerkelijk. RIM weerspreekt daarmee ook met zoveel woorden (‘contrary to any rumors’) dat het berichten van zijn klanten kan ontcijferen.

De bewering dat RIM de sleutels niet heeft die nodig zijn om communicatie te ontcijferen, wil er bij beveiligingsexperts namelijk niet in. De bekende expert Bruce Schneier stelt dat de encryptie wordt uitgevoerd door RIM, en dat kan alleen als RIM ook toegang heeft tot de leesbare tekst. In een nadere analyse komt Jonathan Zittrain tot de conclusie dat RIM’s bewering wel waar kan zijn, maar dan alleen voor de communicatie tussen medewerkers van een en hetzelfde bedrijf. RIM’s reactie bevat geen inhoudelijke argumenten die de stellingen van Schneier en Zittrain ontkrachten.

De hardheid van het vierde principe wordt door experts ook ernstig in twijfel getrokken. Analisten vragen zich hardop af hoe RIM toestemming heeft gekregen om in Rusland en China te opereren, als het de autoriteiten daar geen methode heeft verschaft om toegang te krijgen tot de correspondentie tussen BlackBerry’s. China staat niet bekend om zijn voorliefde voor vrijheid van meningsuiting. En in een artikel in Forbes stelt auteur Jeffrey Carr zelfs, dat toegankelijkheid van communicatie voor de veiligheidsdienst in Rusland een wettelijke voorwaarde is bij het aanbieden van telecommunicatieapparatuur.

Ook Amerika heeft altijd veel waarde gehecht aan en energie gestoken in het monitoren van communicatie, zoals begin deze eeuw nog bij de commotie over het Echelon-afluisternetwerk duidelijk werd. Dat de Amerikaanse veiligheidsdiensten geen toegang zouden hebben tot BlackBerry-conversaties, wil er bij veel commentatoren ook niet in.

RIM’s eis dat maatregelen leveranciersneutraal moeten zijn, geeft overigens ook minder garanties dan het lijkt. In India wordt al openlijk gesproken over vergelijkbare maatregelen tegen Skype en Googles Gmail, meldt de Financial Times.