'E-fail': Beveiligde berichten mogelijk toch te kraken

ANP XTRA
Een waarschuwing van beveiligingsonderzoekers: er is een kwetsbaarheid ontdekt waardoor anderen misschien toch versleutelde berichten en e-mails zouden kunnen lezen. Ook oude berichten van jaren geleden kunnen dan toegankelijk worden. Het gaat onder meer om een gat in de beveiligde dienst PGP (Pretty Good Privacy). De Duitse en Belgische ontdekkers noemen het 'e-fail'. Het gat is nog niet gedicht. Het is niet bekend of de kwetsbaarheid al is misbruikt.

Diensten als PGP versleutelen de verstuurde berichten. Alleen de afzender en de ontvanger hebben een speciale code, de sleutel, waarmee ze het bericht kunnen ontgrendelen. Anderen zien alleen ruis. Maar onder bepaalde omstandigheden is het mogelijk om de inhoud van het bericht, de tekst, uit de ruis te filteren.

Het is wel de vraag hoe groot het lek precies is. De Electronic Frontier Foundation, die opkomt voor privacy online, roept PGP-gebruikers op om die dienst voorlopig niet te gebruiken en over te stappen op andere manieren om veilig te chatten, zoals de app Signal. Anderen zeggen dat het lek meevalt en dat zulke adviezen overtrokken zijn.

De Duitse overheidsdienst voor cyberveiligheid, de BSI, heeft ook gekeken naar de bevindingen. PGP en de andere diensten zijn veilig te gebruiken, zolang ze goed zijn ingesteld, zegt de organisatie. "Goed versleutelde communicatie is een belangrijke en goede manier om de veiligheid van informatie te verbeteren", zegt de organisatie.

Diensten als PGP worden gebruikt door mensen die in het geheim willen communiceren. Dat kunnen mensenrechtenactivisten en oppositieaanhangers in dictatoriale landen zijn, maar ook zakenmensen, criminelen en onschuldige burgers.




1 reactie

Je naam en voornaam verschijnen bij je reactie
Door het plaatsten van een reactie, ga je akkoord met de gedragsregels


  • Marnick L'Eau

    PGP is geen "dienst", het is algoritmes en theorie, en (doorgans vrije) crypto software die op basis van die wetenschap gemaakt wordt. Als je dat een dienst noemt, lijkt het alsof een je bij een of ander bedrijf een account moet maken en je dan toegang krijgt of zo... Ophouden met alle IT concepten compleet verkeerd voor te stellen zodat jan met de pet zou kunnen volgen aub. De gemiddelde leek is al onwetend genoeg, het moet niet nog erger worden.