Nieuw beveiligingslek ontdekt in PGP-encryptie e-mails Nieuw beveiligingslek ontdekt in PGP-encryptie e-mails

De PGP-encryptie die vaak wordt gebruikt om e-mails beveiligd te versturen, zou kwetsbaar zijn door een onlangs ontdekte beveiligingslek.

De Duitse professor Sebastian Schinzel, zegt op Twitter dat er “ernstige kwetsbaarheden” zijn gevonden in de gebruikelijke versleutelmethode van PGP. Bij het implementeren van html-code in een PGP-bericht zou het probleem zich voordoen. Volgens Schinzel kan de tekst van een versleutelde e-mail alnog worden weergegeven.

Belangenorganisatie Electronic Frontier Foundation (EFF) heeft het lek al ingezien en waarschuwt gebruikers om zo spoedig mogelijk te stoppen met het gebruik van PGP. Volgens de EFF is het risico te groot om e-mails met PGP te lezen en te versturen. Ze raden gebruikers aan om tijdelijk een andere versleutelde vorm van communicatie te gebruiken.

PGP staat voor Pretty Good Privacy en gold voor lange tijd als veilig. Meerdere aanbieders van beveiligde e-mails maken gebruik van PGP-encryptie. Bij de encryptiemethode wisselen de ontvanger en verzender van mails unieke digitale sleutels uit. Alleen de bezitters van deze sleutels kunnen dan de inhoud van een e-mail lezen.

Ennetcom
Het Nederlandse OM heeft eerder al 3,6 miljoen versleutelde berichten van het Nederlandse bedrijf Ennetcom leesbaar kunnen maken. Bij Ennetcom werd ook PGP gebruikt voor de versleuteling van e-mails. Toen ging het niet om het kraken van PGP zelf.

De politie had de encryptiesleutels op de server van Ennetcom kunnen bemachtigen en kon de berichten met de aangetroffen sleutels ontsleutelen. Er was daarna nog wel wat puzzelwerk nodig om de sleutels te kunnen gebruiken, maar dat was anders dan het kraken van PGP zelf.

Het nieuws van vandaag gaat verder dan het vinden van de sleutels. PGP-encryptie zou vanwege het lek nu ook zonder de noidge sleutels gekraakt kunnen worden.

Opvallend is dat volgens de onderzoekers ook oudere e-mails leesbaar gemaakt kunnen worden vanwege dit lek. Het is niet uit te sluiten dat het OM vanwege dit lek nu ook oude bewaarde onderschepte PGP-berichten kan kraken die voorheen niet te kraken waren.