Nach Angaben des Niederländischen Forensischen Institut (NFI) ist die Forensikabteilung der niederländischen Polizei in der Lage, die Verschlüsselungs-Technik von Blackberry und PGP zu knacken und somit existierende Nachrichten auszulesen und gelöschte wieder herzustellen. Bereits im Dezember hatte der niederländische Blog Misdaadnieuws angeblich als geheim eingestufte Unterlagen veröffentlicht, die zeigen sollen, dass das NFI mit einem speziellen Tool in der Lage ist, Nachrichten zu entschlüsseln. Demnach war es der Forensikabteilung gelungen, für verschiedene Gerichtsprozesse von 325 Nachrichten immerhin 279 zu entschlüsseln.
Bei der PGP-Verschlüsselung handelt es sich um eine von Blackberry zertifizierte Methode, die Drittanbieter einsetzen, um via Smartphone gesendete E-Mails vor dem Versand noch einmal zusätzlich zu verschlüsseln. Blackberry-Smartphones an sich sind nicht ab Werk mit PGP versehen. Laut einem Bericht von Motherboard nutzt das NFI zum Entschlüsseln die Software des israelischen Unternehmens Cellebrite. Mehr Informationen gibt das Forensik-Team allerdings nicht preis, um Kriminellen keine Informationen für mögliche Gegenmaßnahmen zu geben. Wie der Blackberry-Verkäufer SecureMobile in einem Blogpost erklärt, könnte das Verfahren auf einer Brute-Force-Attacke beruhen. Hierbei wird der Chip aus dem Smartphone entfernt und der Hash des Passworts isoliert und dann vom Programm mit einer erschöpfenden Suche "erraten". Für das Verfahren müssen die Ermittler also in den Besitz des Blackberry-Smartphones gelangen - das Abhören ist nicht möglich.
Große Blackberry-PGP-Händler haben auf den Bericht bereits reagiert. So teilt Ghost PGP der Webseite Motherboard mit, dass man nicht betroffen sei und die eigenen Dienste komplett sicher und noch nie kompromittiert worden seien. Der Händler Top PGP sagt, man nutze die neueste PGP-Verschlüsselung, die fast unmöglich zu knacken ist. SecureMobile teilt zwar mit, dass die Geräte der Firma mit Blackberrys BES (Blackberry Enterprise Server) vor der Entfernung des Chips gesichert sind, gesteht aber ein, dass Cellebrite eventuell einen Weg gefunden habe, eine Brute-Force-Entschlüsselung ohne Chip-Entfernung durchzuführen.
Auch Blackberry hat sich mittlerweile über den eigenen Blog zu dem Thema geäußert. Das kanadische Unternehmen gibt an, dass keine Informationen zur Methode und den betroffenen Smartphones vorliegen. Zudem fügt es hinzu, dass die Geräte so sicher und privat wie eh und je seien.
"Blackberry hat keine Details über spezifische Geräte oder die Art und Weise, wie sie konfiguriert, verwaltet oder anderweitig geschützt werden, noch haben wir Details über die Art der Kommunikation, von der behauptet wird, dass sie entschlüsselt wurde." (Übersetzt)
Blackberry teilt weiter mit, dass Faktoren wie Nutzerverhalten, unsichere Anwendungen von Drittanbietern oder unsachgemäßes Verhalten bei Erhaltung der Sicherheitsmaßnahmen die Wiederherstellung erleichtert haben könnten.
Die Abkürzung PGP steht für "Pretty Good Privacy". Bei dieser Verschlüsselung hat jeder Teilnehmer einer Konversation auf dem Smartphone zwei Schlüssel - einen privaten und einen öffentlichen. Der öffentliche Schlüssel wird dabei weitergegeben, damit der Absender seine Nachrichten verschlüsseln kann. Die Nachricht lesen kann aber nur, wer im Besitz des privaten Schlüssels ist, also alleine der Empfänger. Das Verfahren wurde 1991 in den USA erfunden und galt bislang als sehr sicher. PGP bewirbt die Technik unter dem Namen "PGP Support Package for Blackberry" als eine Möglichkeit, auf dem Smartphone befindliche E-Mails, die zwischen PGP-fähigen Sendern und Empfängern ausgetauscht werden, zu schützen.