PGP-Schlüssel wieder sicher

Die Möglichkeit, dass mit einer der neueren Versionen von Pretty Good Privacy (PGP) verschlüsselte E-Mails von einem versierten Hacker gelesen werden können, hatte für einige Aufregung gesorgt. Nun ist das Loch wieder gestopft. Ein Update (Version 6.5.8) des Herstellers NAI/PGP Security steht unter www.pgpi.org für Windows und Mac OS zum Download bereit.
Das Update beseitigt einen Fehler in den Versionen 5.5.x und 6.x von PGP beim Umgang mit den Additional Decryption Keys (ADK). Diese zusätzlichen Decodierungs-Schlüssel mussten wegen der US-Gesetzgebung vom Hersteller eingefügt werden, damit eine Firma oder die Regierung die Mails entschlüsseln kann.
Angreifer waren in der Folge in der Lage, einen solchen ADK in den öffentlichen Schlüssel einzufügen und die E-Mail so zu entschlüsseln, ohne dass der Anwender etwas davon bemerkt hätte.
Sowohl die neue PGP-Version von NAI/PGP-Security als auch der NAI/PGP-Key-Server erkennen nun solcherart manipulierte Schlüssel, wie der Hersteller mitteilt. Die anderen Key-Server werden so rasch als möglich nachziehen. Die Kommunikation mit PGP 6.5.8 mit Schlüsseln vom NAI/PGP-Server kann also wieder als sicher gelten.