De pgp-encryptie om versleuteld emails te versturen zou een groot beveiligingslek vertonen. Dat meldt een groep Europese onderzoekers. Ze adviseren om zo snel mogelijk te stoppen met het verzenden van met pgp beveiligde emails. Ook eerder verzonden e-mails zijn door het lek mogelijk niet voldoende versleuteld.
Details worden dinsdag openbaar gemaakt. De Amerikaanse belangenorganisatie Electronic Frontier Foundation (EFF) heeft het lek wel al ingezien. Ook zij waarschuwt gebruikers om zo spoedig mogelijk te stoppen met het gebruik van pgp. De EFF raadt gebruikers aan om tijdelijk een andere versleutelde vorm van communicatie te gebruiken, zoals de chatdienst Signal, vergelijkbaar met Whatsapp, maar dan beter beveiligd. De EFF spreekt van ‘een tijdelijke noodmaatregel’.
Pgp wordt ook gebruikt voor het versleutelen van bestanden en smartphones. Of het beveiligingslek ook voor deze vorm van communicatie geldt is nog niet duidelijk.
Journalisten
Bedrijven en journalisten, maar ook activisten en criminelen, maken vaak gebruik van pgp om te voorkomen dat de inhoud van e-mails onderschept en uitgelezen kan worden.
De kwetsbaarheden die nu zijn aangetoond richten zich op het pgp-protokol dat wordt gebruikt met e-mailprogramma’s zoals Thunderbird, OSX-mail en Outlook. In bepaalde omstandigheden is het gebruik van de plugin met deze programma’s op pc’s niet veilig. Eén voorwaarde is dat de hackers de hand kunnen leggen op de gehele versleutelde e-mail (zie voor meer details hier).
In hoeverre het pgp-gebruik op andere protokollen die geen mail-programma’s op pc’s gebruiken ook kwetsbaar is dat is de vraag. Eerder bleek de Nederlandse politie op twee manieren versleutelde pgp-e-mails te kunnen lezen. Eén methode richt zich op zwakke plekken op een individuele telefoon. Met de andere methode bleken e-mails op servers in Canada en Costa Rica leesbaar te zijn.
Costa Rica
In het recente verleden is justitie er in geslaagd twee servers van twee verschillende bedrijven te kraken waarop pgp-berichten waren gestald, die met Blackberry-telefoons werden verstuurd. Eerst werden servers van het bedrijf Ennetcom in Canada gekraakt waardoor meer dan 3 miljoen berichten konden worden ontsleuteld. Ook lukte het justitie om servers in Costa Rica te ontgrendelen. Die waren van het bedrijf PGP-Safe. Het leverde honderdduizenden ontsleutelde berichten op. De berichten uit Canada en Costa Rica spelen een belangrijke rol in verschillende strafzaken. Zo werden twee verdachten die in de Amsterdamse Knokkestraat een liquidatie voorbereidden onder andere veroordeeld op basis ontsleuteld pgp-verkeer.
NFI
Naast de gekraakte servers is het NFI er in het verleden in geslaagd om toegang te krijgen tot een aantal afzonderlijke pgp-telefoons. In 2014 slaagde een deskundige van het NFI er bijvoorbeeld in toegang te krijgen tot twee Blackberry’s van een Brabantse drugshandelaar. Hij trof in de toestellen totaal 1063 e-mails aan, waarvan hij er 885 wist te openen. Een jaar later werd de Brabander veroordeeld tot vijf jaar cel. Dat gebeurde mede door de ontsleutelde pgp-berichten.