Onderzoekers: versleutel voorlopig geen e-mails met PGP

Er is een lek in de beveiliging ontdekt en dat is nog niet snel te dichten, zeggen Europese experts.

Foto iStock

Een groep Europese onderzoekers ontraadt voorlopig het gebruik van PGP om de inhoud van e-mails te versleutelen omdat er een lek zit in de beveiliging. Ook twee vergelijkbare technieken, S/MIME en GPG, zijn onveilig, waarschuwen de Fachhochschule Münster, de Ruhr-Universität en de KU Leuven maandag. Details over het lek worden pas dinsdag naar buiten gebracht.

PGP (Pretty Good Privacy) wordt onder meer door activisten en journalisten gebruikt om te voorkomen dat de inhoud van e-mails onderschept en uitgelezen kan worden. De onderzoekers hebben echter een “kritieke fout” ontdekt, waardoor de beveiliging niet goed functioneert. Ook eerder verzonden e-mails zijn door het lek mogelijk ontoereikend versleuteld.

Een snelle oplossing is er niet, waarschuwt de Duitse onderzoeker Sebastian Schinzel, een van de ontdekkers, op Twitter:

“Als u PGP, GPG of S/MIME gebruikt voor zeer gevoelige communicatie, doet u er goed aan om dat voorlopig in uw e-mailprogramma uit te schakelen.”

‘Tijdelijke maatregel’

Hoewel dinsdag pas details openbaar gemaakt worden, hebben onderzoekers het nieuws maandag al naar buiten gebracht zodat gebruikers hun beveiliging op orde kunnen brengen.

De Amerikaanse organisatie voor digitale burgerrechten Electronic Frontier Foundation (EFF) heeft het rapport van de onderzoekers eerder al mogen inzien en onderschrijft het advies om PGP, GPG en S/MIME voorlopig uit te schakelen, “in het bijzonder” voor het lezen van PGP-versleutelde e-mails. Volgens de EFF is het de bedoeling dat het gaat om een “tijdelijke noodmaatregel voor de zekerheid” tot de beveiligingsproblemen verholpen zijn.

PGP wordt niet alleen gebruikt voor het versleutelen van e-mails, maar ook voor bijvoorbeeld bestanden en smartphones. Voor eventuele gevolgen voor andere communicatiekanalen dan e-mail hebben de onderzoekers maandag niet gewaarschuwd.