Lek in beveiliging

Onderzoekers: versleutel voorlopig geen mail met PGP

Een groep Europese onderzoekers ontraadt voorlopig het gebruik van PGP om de inhoud van e-mails te versleutelen: er zit een lek in de beveiliging. Ook twee vergelijkbare technieken, S/MIME en GPG, zijn onveilig, waarschuwden de Fachhochschule Münster, de Ruhr-Universität en de KU Leuven maandag. Details over het lek worden pas dinsdag naar buiten gebracht.

PGP (Pretty Good Privacy) wordt onder meer gebruikt door activisten en journalisten om te voorkomen dat de inhoud van e-mails kan worden onderschept en gelezen. De onderzoekers hebben echter een „kritieke fout” ontdekt, waardoor de beveiliging niet goed functioneert. Ook eerder verzonden mails zijn door het lek mogelijk ontoereikend versleuteld.

Een snelle oplossing is er niet, waarschuwt de Duitse onderzoeker Sebastian Schinzel, een van de ontdekkers, op Twitter. Hoewel dinsdag pas details openbaar gemaakt worden, hebben onderzoekers het nieuws maandag al naar buiten gebracht zodat gebruikers hun beveiliging op orde kunnen brengen.

De Amerikaanse organisatie voor digitale burgerrechten Electronic Frontier Foundation (EFF) heeft het rapport van de onderzoekers eerder al mogen inzien en onderschrijft het advies om PGP, GPG en S/MIME voorlopig uit te schakelen, „in het bijzonder” voor het lezen van PGP-versleutelde mails. Volgens de EFF is het een „tijdelijke noodmaatregel voor de zekerheid” tot de beveiligingsproblemen verholpen zijn.

PGP wordt niet alleen gebruikt voor het versleutelen van e-mails, maar ook voor bijvoorbeeld bestanden en smartphones. Voor eventuele gevolgen voor andere communicatiekanalen dan e-mail hebben de onderzoekers maandag niet gewaarschuwd. (NRC)