Pretty Good Privacy (PGP) wordt op grote schaal gebruikt om elektronische berichten te coderen. Het veilig geachte pakket heeft echter flinke averij opgelopen.

De fout in PGP 5.0 is ontdekt door Germano Caronni, een onderzoeker bij computermaker Sun Microsystems. Het programma staat bij deskundigen bekend als 'niet te kraken'. Opvallend is dat de fouten in de software zich voordoen in de code van de Linux- en OpenBSD-uitvoeringen van het programma. Linux wordt algemeen beschouwd als een zeer goed beveiligd besturingssysteem.

De fout doet zich voor in de code waarmee het programma de cryptografische sleutels genereert. Hierdoor zijn de sleutels onveilig. Nieuwere versies van het programma, en de uitvoeringen bestemd voor andere besturingssystemen, zijn echter wel veilig. Volgens cryptografie-onderzoeker Lenny Foner wordt het nu lastig om boodschappen die zijn versleuteld met PGP als veilig te beschouwen. De ontvanger moet nu eerst weten met welke versie van PGP er is gewerkt. "De enige veilige optie is dan om de afzender te bellen, en te vragen met welke versie de sleutel is gemaakt", aldus Foner.

Caronni is verbaasd dat hij de fout heeft aangetroffen. De betreffende versie is namelijk al meer dan een jaar beschikbaar. Open Source software zoals PGP wordt juist als zeer veilig beschouwd, omdat iedere programmeur de code kan bekijken en wijzigingen kan voorstellen.