Krypteringsprogrammet Pretty Good Privacy, PGP, er blandt de mest populære programmer til beskyttelse af e-mail. Men nu har man fundet et hul i det populære software, skriver nyhedstjenesten Slashdot ifølge digi.no.
Problemet kan findes i en ekstra nøgle i programmet, kaldet Additional Decryption Key (ADK). Den ekstra nøgle blev indført, da Network Associates kom med i Key Recovery Allience, og nøglen skulle bruges til at gøre det muligt at finde frem til tredjepartsnøgler.
Normalt vil et PGP certifikat kun indeholde en offentlig nøgle, samt information om, hvem der ejer nøglen. Men version 5 og 6 af PGP gør det muligt at ligge den ekstra ADK-nøgle ind i certifikatet. ADK-nøglen skal kunne bruges af overvågende instanser, som arbejdsgivere eller organisationer, så en krypteret e-mail kan dekrypteres og læses.
I tidligere versioner kunne PGP ikke ligge ADK-nøglen i certifikatet – og det betyder, at nogen i princippet vil kunne tilføje sin egen ADK-nøgle til certifikatet og sprede det rundt i verden. Det er stort set umuligt at se, om certifikatet er modificeret, men enhver der bruger certifikatet, lader automatisk den, der har modificeret certifikat læse med.
I 1998 udtrykte en del kryptografer bekymring for ADK-nøglen, og disse har nu fået bekræftet sine mistanker.
(Kilde: Digi.no)
