Af Dorte Toft, IDG Online & IDG News Service
Den kyndige hacker fik i sidste uge hjælp til at gå til angreb på det kendte krypterings-system PGP (Pretty Good Privacy) fra Network Associates. To europæiske forskere offentliggjorde nemlig detaljer om en sikkerhedsbrist i PGP, der kunne gøre det muligt for den ihærdige hacker at ændre offerets offentlige PGP-nøgle og dermed læse enhver besked, som blev krypteret med det ændrede certifikat.
Network Associates udviklede allerede samme dag software, der lukker hullet. Denne software skal downloades fra enten pgp.com eller nai.com.
Ifølge IDG News Service har hullet eksisteret siden 1997, hvor ophavsmanden bag PGP, Phil Zimmermann, lavede en tilføjelse til softwaren som led i kommercialiseringen af produktet. Tilføjelsen skulle betragtes som en sikkerhed for, at en virksomhed har en måde at kunne dekryptere data, som en medarbejder har krypteret.
Funktionen gør det muligt for en autoriseret tredjepart at få adgang til data krypteret med brugerens PGP-certifikat. Problemet er, at funktionen åbnede mulighed for, at en ?angriber? kunne tilføje yderligere en nøgle til brugerens offentlige nøgle-certifikat, og denne ekstra nøgle kan bruges til dekrypteringen, oplyser Mike Jones, PGP-ansvarlig hos Network Associates.
Firmaet købte softwaren i 1997. Kildekoden er lagt ud på nettet til et såkaldt ?peer review?, der indebærer, at sikkerhedseksperter kan foretage et eftersyn med det formål at forbedre softwaren. Tidligere var dette ikke muligt, idet den amerikanske lovgivning på krypteringsområdet ikke tillod online-udgivelse. På daværende tidspunkt kunne PGP-kildekoden kun købes i Palo Alto syd for San Francisco i den legandariske Printer?s Ink-boghandel. Koden fylder 42-bind med i alt 65.000 sider.
Læs mere om PGP, om problemet og løsningen på PC World Online:
Ekstranøgler prikker hul i PGP-sikkerheden
