Bug in Pretty Good Privacy

Ein deutscher IT-Fachmann entdeckte im Shareware-Sicherheits-Tool PGP (Pretty Good Privacy) einen Bug, der es Drittpersonen ermöglicht, private Mails zu lesen. Das Leck entstand, nachdem Network Associates dem Tool eine Chiffriertechnologie hinzufügen musste, die es einer Firma oder der Regierung erlaubt, versendete Botschaften zu entschlüsseln. Das neue Feature fügt einer Botschaft zwei Verschlüsselungen zu, eine private und eine öffentliche. Beim Empfang der Message werden automatisch beide Keys decodiert. Zudem werden bei jeder neuen Verschlüsselung noch zusätzliche Keys beigefügt, sogenannte ADKs (Additional Decryption Keys). Ein Hacker kann nun den privaten Schlüssel eines Users nehmen und seinen eigenen Key als ADK definieren, womit er Zugriff zu jeder versendeten Message erhält. Dieses Sicherheitsloch zu stopfen, wird für Network Associates nicht ganz einfach werden, da ein allfälliger Bugfix nicht nur vom Sender, sondern auch von allen Empfängern installiert werden müsste. (mw)