PGP-Update stopft Sicherheitsloch (Update)
Ein Update auf die Version 6.5.8 der VerschlĂĽsselungssoftware Pretty Good Privacy (PGP) steht ab sofort zur VerfĂĽgung.
Ein Update für die Verschlüsselungssoftware Pretty Good Privacy (PGP) des Herstellers NAI/PGP Security steht ab sofort unter www.pgpi.org für Windows und Mac OS zum Download bereit. Für die kommerziellen Varianten sind ebenfalls Hotfixes erhältlich. Die Version 6.5.8 war nötig geworden, nachdem ein Sicherheitsloch in den öffentlichen Schlüsseln für einige Aufregung gesorgt hatte.
Das Update beseitigt einen Fehler in den Versionen 5.5.x und 6.x von PGP beim Umgang mit so genannten Additional Decryption Keys (ADKs). Angreifer konnten für den Anwender unbemerkt einen solchen ADK in den öffentlichen Schlüssel einfügen, sodass sie bei Zugriff auf die E-Mail diese als Klartext lesen können. Dadurch hätte der Anwender so gut wie nicht bemerken können, dass eine E-Mail auch an jemanden anders als den eigentlichen Adressaten entschlüsselt werden konnte.
Sowohl die neue PGP-Version von NAI/PGP-Security als auch der NAI/PGP-eigene Key-Server erkennen nach Angaben des Herstellers auf diese Weise manipulierte Schlüssel, die weiteren Key-Server werden danach so schnell wie möglich nachziehen. Auch die verschlüsselte Kommunikation mit PGP 6.5.8 und Schlüsseln direkt vom NAI/PGP-Server kann also wieder als sicher gelten.
GnuPG ist und war nach Informationen seines Programmierers Werner Koch in der Tat nicht von dem Sicherheitsproblem betroffen, da GnuPG in einem SchlĂĽssel eventuell enthaltene Informationen ĂĽber ADKs nicht verarbeiten kann. Selbst ein manipulierter SchlĂĽssel bliebe also ohne Wirkung.(pmo/c't) (jk)
