Web

 

PGP hat schwerwiegende Sicherheitslücke

25.08.2000

Eine massive Sicherheitslücke haben zwei Sicherheitsexperten in Deutschland in der Kryptografiesoftware "Pretty Good Privacy" (PGP) entdeckt. Das Loch tut sich in den Versionen 5.5 bis 6.5.3 auf. Der PGP-Anbieter, das amerikanische Unternehmen Network Associates Inc. (NAI), gibt den Fehler zu und gelobt Besserung. Ein Patch soll in Kürze verfügbar sein.

Trickreichen Angreifern ist es durch den Bug laut Ralf Senderek und Stephen Early möglich, den öffentliche Zertifizierungsschlüssel eines Anwenders zu ändern und dann jede Nachricht an das "Opfer" mit diesem modifizierten Schlüssel zu lesen. Ralf Senderek beschreibt auf seiner Site die Details des Problems, das bereits seit 1997 existiere, jedoch nicht publik wurde. Der Fehler sei jetzt bekannt geworden, da der PGP-Sourcecode erst seit kurzem online verfügbar sei. Vorher hätten die Verschlüsselungsbestimmungen der amerikanischen Behörden es nicht zugelassen, Sourcecode von Kryptografiesoftware online zu veröffentlichen, meint Mike Jones, PGP-Manager bei NAI. Für die gedruckte Version hat sich wohl niemand interessiert: Das Buch umfasst 43 Bände mit insgesamt 65.000 Seiten.

PGP wurde von dem US-Mathematiker Phil Zimmermann entwickelt und später auch mit einem eigenen Unternehmen vermarktet, das NAI dann 1997 übernahm. Zimmermann meldet sich nun auch selbst zu Wort ((http://www.pgp.com/other/advisories/ adk.asp)) und "bedauert diesen schwerwiegenden Fehler". NAI will noch heute eine Problemlösung auf seiner Website zum Download bieten.