Sicherheitsleck bei Pretty Good Privacy

Verschlüsselungsprogramm kann über Public Key geknackt werden

Santa Clara (pte011/25.08.2000/11:05)

Das E-Mail-Verschlüsselungsprogramm Pretty Good Privacy (PGP) http://www.pgp.com des Softwareunternehmens Network Associates http://www.networkassociates.com weist ein Sicherheitsleck auf. Nach einer Mitteilung des Unternehmens wurde der Bug erst kürzlich entdeckt. Betroffen sind Versionen von PGP 5.5 und höher. Eine entsprechende Warnung wurde auf der Security-Mailingliste Bugtraq bei SecurityFocus http://www.securityfocus.com veröffentlicht. PGP wird weltweit von mehr als sieben Millionen Menschen benutzt.

Nach Ansicht von Nick Wallach, dem Vorstandsvorsitzenden von Network Associates, kann das Sicherheitsloch allerdings nur von sehr kompetenten Angreifern ausgenutzt werden. "Das ist ein ziemlich esoterischer Angriff", meinte Wallach. "Es ist unwahrscheinlich, dass jemand ohne spezialisierten Wissen das tun könnte." Bisher ist kein erfolgreicher Angriff bekannt. Laut Wallach arbeitet Network Associates gerade an einen Sicherheitspatch für das Problem.

Pretty Good Privacy wird mit Hilfe von zwei Primzahlen verschlüsselt. Der Sender verwendet eine Zahl, den Public Key, den er von dem Empfänger erhält. Um die E-Mails erfolgreich entschlüsseln zu können, muss der Angreifer seinen eigenen Public Key, die meistens auf frei zugänglichen Servern gespeichert werden, in die Übertragung einschleusen. Wenn eine E-Mail mit dem veränderten Public Key verschlüsselt wird, kann sie vom Angreifer ebenfalls entschlüsselt werden. (Ende)