Encryptie

E-mailversleuteling PGP soms onveilig

14 mei 2018 om 12:41
Laatste update: 14 mei 2018 om 14:05

Duitse beveiligingsonderzoekers raden sterk af om sommige e-mailprogramma's te gebruiken die berichten beveiligen met het encryptietechnologie PGP. Onder meer voor Outlook, Apple Mail en Thunderbird zijn er populaire plug-ins om PGP te gebruiken die volgens de onderzoekers beter uitgezet kunnen worden.

Een van de onderzoekers, de Duitse professor Sebastian Schinzel, zegt op Twitter dat er 'ernstige kwetsbaarheden' zijn gevonden in de versleutelmethode. Daardoor kan de tekst van een e-mail worden weergegeven, ook al is hij versleuteld. Het probleem zou zich voordoen bij het implementeren van html-code in een PGP-bericht.

PGP staat voor Pretty Good Privacy en wordt onder andere gebruikt door mensenrechtenactivisten, onderzoekers en journalisten om veilig versleuteld te communiceren zonder dat iemand mee kan lezen.

Zij maken gebruik van diensten zoals OpenPGP. Ook klokkenluider Edward Snowden zei in de tijd van het NSA-lek de voorkeur te geven aan communicatie via PGP.

Inhoud lezen

Op dit moment zijn er geen updates of reparaties beschikbaar, zegt Schinzel. Samen met de Amerikaanse burgerrechtenorganisatie Electronic Frontier Foundation (EFF) raadt hij dan ook af om van sommige PGP-diensten gebruik te maken.

Het probleem zit niet in het PGP-protocol zelf, maar in de manier waarop de plug-ins worden gebruikt door de e-mailprogramma's. In hele specifieke omstandigheden is het mogelijk om e-mails te infecteren en vervolgens de inhoud te lezen.  

Plug-ins

Volgens de onderzoekers zijn de onveilige plug-ins plug-ins GPGTools voor Apple Mail, Gpg4win voor Outlook en Enigmail voor Thunderbird. De EFF adviseert om de plugins uit te zetten totdat er een oplossing is gevonden.

De EFF adviseert als alternatief voor veilige communicatie de chatapp Signal te gebruiken. Ook geeft de organisatie handleidingen voor het uitzetten van de plug-ins. Meer over het lek is te vinden op efail.de.

Kritiek

Tegelijkertijd zijn er ook beveiligingsexperts die zeggen dat het lek wel meevalt. Zo zegt PGP-ontwikkelaar Robin Hansen dat gebruikers 'niet moeten panikeren' en 'de hype niet moeten geloven'.

Ook de Bundesamt für Sicherheit in der Informationstechnik (BSI), het orgaan van de Duitse overheid dat zich bezighoudt met computerbeveiliging, analyseerde het lek. De BSI stelt dat er weliswaar een probleem is, maar dan wel in zeldzame gevallen.

"Volgens de BSI kunnen deze e-mailversleutelingsstandaarden echter nog steeds veilig worden gebruikt als ze op de juiste manier worden geïmplementeerd en veilig worden geconfigureerd."

De Grote Privacyshow

Meer weten over online privacy en de impact van de nieuwe privacywet AVG? Kijk dinsdagavond om 20:30 naar De Grote Privacyshow van RTL Z. Meld je hier aan.