Twee Duitse beveiligingsexperts vonden een lek in de encryptiesoftware waardoor versleutelde berichten gewoon gelezen kunnen worden. Network Associates heeft de bevindingen van de twee bevestigd en werkt naarstig aan een patch. Volgens het bedrijf is er geen geval bekend van iemand die door het lek getroffen is. Alleen de meer dan gemiddeld ontwikkelde hacker zou van het lek gebruik kunnen maken. Het lek betreft zowel de Unix- als de Windowsuitvoeringen van de versies 5.5 tot 6.5.3. De ontdekkers, Ralf Senderek en Stephen Early, hebben hun bevindingen donderdag op hun website geplaatst. Network Associates was daar niet erg over te spreken. Het bedrijf is van mening dat het eerst geïnformeerd had moeten worden. Het lek ontstaat doordat het mogelijk is het PGP-certificaat van een gebruiker te veranderen. Daarna kunnen alle versleutelde mails van die gebruiker met het veranderde certificaat gewoon worden gelezen. Het PGP-certificaat is software die de identiteit van een gebruiker koppelt aan bepaalde encryptiesleutels. Centraal in het lek staat de toepassing in de software om data te herstellen. Daarmee kan een, geautoriseerde, derde partij toegang krijgen tot de door een gebruiker versleutelde data. Die toepassing is in 1997 door PGP-ontwikkelaar Phil Zimmerman toegevoegd om de software ook aantrekkelijk te maken voor het bedrijfsleven. Bedrijven willen de mogelijkheid hebben om de versleutelde e-mails van werknemers toch te kunnen bekijken. Het donderdag onthulde lek is dus al drie jaar oud. Het blijkt dat iemand een sleutel kan toevoegen aan de decryptiesleutels die een gebruiker in het certificaat heeft staan. Als die sleutels, die veelal op een openbare server worden opgeslagen, eenmaal gewijzigd zijn heeft een 'aanvaller' vrij spel en kan deze alle mails lezen. PGP-software wordt wereldwijd door zo'n 7 miljoen mensen gebruikt. Network Associates heeft een centrale server in Californië, waarop PGP-certificaten staan opgeslagen, offline gehaald tot de patch op de site van PGP is geplaatst. Vrijdag om 12.00 uur was dat nog niet het geval.