Sikkerhedsfirmaet ICZ i Prag har afsløret et sikkerhedshul i OpenPGP-formatet, der bl.a. anvendes i nyere versioner af PGP og GNU Privacy Guard. Hullet betyder at uvedkommende kan underskrive digitale beskeder i dit navn. Phil Zimmermann, PGPs opfinder og direktør for OpenPGP-konsortiet, bekræfter at fejlen eksisterer, men afviser at problemet skulle være alvorligt.
Hullet kan kun udnyttes, hvis angriberen får adgang til din computer. Ved at udskifte den hemmelige nøgle, der typisk ligger gemt i filen secring.skr på den lokale harddisk, med en modificeret version, kan angriberen snyde brugeren til at underskrive en e-mail med den falske nøgle. Hvis angriberen får fat i en e-mail, som er signeret med den ændrede nøgle, kan denne person fremover underskrive beskeder i dit navn.
Fejlen blev fundet af de tjekkiske kryptografi-eksperter Vlastimil Klima og Tomas Rosa. I en kommentar siger Phil Zimmermann, at denne angrebsform ikke er realistisk; hvis det lykkes en hacker at få adgang til din lokale computer, kan det få meget mere alvorlige konsekvenser end blot muligheden for at forfalske din signatur.
(Kilde: Wired)
