Ein deutscher IT-Fachmann entdeckte im Shareware-Sicherheits-Tool PGP (Pretty Good Privacy) einen Bug, der es Drittpersonen ermöglicht, private Mails zu lesen. Das Leck entstand, nachdem
Network Associates dem Tool eine Chiffriertechnologie hinzufügen musste, die es einer Firma oder der Regierung erlaubt, versendete Botschaften zu entschlüsseln. Das neue Feature fügt einer Botschaft zwei Verschlüsselungen zu, eine private und eine öffentliche. Beim Empfang der Message werden automatisch beide Keys decodiert. Zudem werden bei jeder neuen Verschlüsselung noch zusätzliche Keys beigefügt, sogenannte ADKs (Additional Decryption Keys). Ein Hacker kann nun den privaten Schlüssel eines Users nehmen und seinen eigenen Key als ADK definieren, womit er Zugriff zu jeder versendeten Message erhält. Dieses Sicherheitsloch zu stopfen, wird für Network Associates nicht ganz einfach werden, da ein allfälliger Bugfix nicht nur vom Sender, sondern auch von allen Empfängern installiert werden müsste.
Network Associates' Konkurrenten werden sich freuen. Die deutsch/amerikanische Firma Glück & Kanja
Software AG (Cryptoex) findet, dass ihr Produkt Openpgp nicht von dem Bug betroffen sei, da man den Einsatz von ADKs von Anfang an für unsicher hielt.
Pikant: Cryptoex betont, dass ihre Verschlüsselungs-Software vollständig in Deutschland hergestellt würde. Das haben die Amis nun davon, dass sie unter der Fuchtel des CIA stehen... (PCG / hc)