Een versleutelde e-mail, die alleen met een bepaalde sleutel leesbaar kan worden gemaakt.
NOS NieuwsAangepast

Lek in versleuteld e-mailen ontdekt, maar impact wordt betwist

Een beveiligingslek in PGP, een populaire manier om mailtjes te versleutelen, veroorzaakte maandagochtend even paniek, maar inmiddels lijkt de impact ervan mee te vallen. Europese onderzoekers hadden beveiligingsproblemen in het systeem ontdekt, waardoor de inhoud van berichten prijsgegeven zou kunnen worden. Daarvoor moet een aanvaller wel eerst over de versleutelde berichten beschikken.

Het probleem kan worden voorkomen door het bekijken van e-mails met HTML uit te schakelen. Een definitieve oplossing is er nog niet, en kan volgens de onderzoekers nog wel even duren.

PGP husselt de inhoud van e-mails wiskundig door elkaar, op een manier dat alleen de ontvanger de gegevens kan uitlezen. Er is al langer kritiek op PGP, dat jarenlang de standaard was voor versleuteld communiceren, maar tegenwoordig te ouderwets en ingewikkeld wordt bevonden.

Overdreven

De burgerrechtenorganisatie Electronic Frontier Foundation (EFF) waarschuwde dat mensen het beste tijdelijk geen PGP meer zouden kunnen gebruiken vanwege het beveiligingsprobleem, maar dat advies is volgens kenners overdreven.

Onder meer een belangrijke PGP-programmeur vond dat de impact overdreven, omdat de EFF mensen aanraadde om PGP helemaal uit te schakelen.

PGP staat niet standaard aan als je een email stuurt, maar wordt gebruikt om vertrouwelijke berichten te beschermen tegen meelezers. PGP wordt onder meer gebruikt door mensenrechtenactivisten, journalisten en beveiligingsonderzoekers om vertrouwelijk te communiceren. Ook het klokkenluidersplatform Publeaks gebruikt PGP, maar dat platform is niet getroffen.

De onderzoekers waren van plan om de details van het lek morgen vrij te geven, maar na de ophef in de beveiligingswereld besloten ze de de details alvast vrij te geven.

Bestanden versleutelen

PGP kan ook worden gebruikt om bestanden te versleutelen, bijvoorbeeld voor het maken van een back-up. Dat is nog geheel veilig.

Wie PGP niet vertrouwt en toch veilig wil communiceren kan bijvoorbeeld Signal gebruiken, aldus de EFF. Opvallend genoeg kwamen afgelopen week twee beveiligings- en privacylekken in Signal naar buiten.

Dit bericht is bijgewerkt naar aanleiding van de volledige onderzoeksbevindingen, die de onderzoekers laat op maandagochtend vrijgaven.

Deel artikel:

Advertentie via Ster.nl