Dat zegt Phil Zimmerman, de maker van de encryptiesoftware die wereldwijd door miljoenen computeraars wordt gebruikt om hun e-mailverkeer te beveiligen. Het Tsjechische ICZ bracht deze week een persverklaring uit waarin het melding maakte van een ernstige fout in PGP. Door de fout zou een aanvaller de digitale handtekening van een PGP-gebruiker kunnen vervalsen om vervolgens berichten onder zijn of haar naam te verzenden. Zimmerman reconstrueerde de aanval zoals ICZ die beschreef en concludeerde dat het met het gevaar van de fout wel meevalt. De PGP-ontwikkelaar bevestigde dat de digitale handtekening te vervalsen is, maar benadrukte dat de versleuteling van de e-mailboodschappen niet in gevaar komt. ICZ had dat zelf ook al aangegeven, maar volgens het bedrijf was niettemin sprake van een serieus probleem. Zimmerman trekt dat in twijfel. Een aanvaller zou ten eerste in de computer van een doelwit moeten inbreken. Dan zou de private sleutel moeten worden gevonden en gewijzigd. Daarna moet een aanvaller nog een bericht zien te achterhalen dat met de gewijzigde sleutel is verstuurd. "Alleen als je roekeloos omgaat met je private sleutel ben je kwetsbaar voor deze aanval. En we waarschuwen gebruikers altijd dat ze die goed moeten beschermen", zo zei Zimmerman tegen Wired. De private sleutel is de code waarmee de gebruiker zijn e-mail versleutelt. Volgens Zimmerman is de geschetste aanval niet reëel. "Als iemand eenmaal zo ver is gekomen, kan hij nog veel ergere dingen doen." Zimmerman liet niettemin weten dat toekomstige versies van PGP aangepast zullen worden zodat het gemelde gat gedicht is. Network Associates, eigenaar van PGP, was verontwaardigd dat ICZ met haar bevindingen de publiciteit heeft gezocht alvorens het bedrijf te waarschuwen. Het is de tweede keer dat het bedrijf dat overkomt. In augustus vorig jaar ontdekten twee Duitse beveiligingsexperts een andere bug in de software. Ook zij stapten eerst naar de pers. Zimmerman vertrok overigens in februari bij moederbedrijf Network Associates uit onvrede over het gevoerde beleid.

Eerdere relevante berichten:
Bedenker Pretty Good Privacy vertrekt bij NAI (22 februari 2001)
Top Network Associates stapt op na onverwacht verlies (27 december 2000)
Beveiligingslek in encryptiesoftware PGP (25 augustus 2000)