Sicherheits-Hotfixes für PGP auch auf Deutsch erhältlich

Nach dem Bekanntwerden eines sicherheitsrelevanten Fehlers in der Verschlüsselungssoftware Pretty Good Privacy (PGP) stehen jetzt auch deutsche Versionen des Hotfixes für die Versionen 6.5.3 für Windows und 6.5.2a für Macintosh auf www.pgpinternational.com zum Download bereit. Besitzer der Versionen 5.5 bis 6.5.2a für Windows müssen zunächst die Version 6.5.3 installieren, wenn sie weiterhin eine deutsche Version einsetzen wollen. Ansonsten wird der komplette Download der erneuerten Version 6.5.8 empfohlen. (Download unter www.pgpi.org, bisher aber nur in englischer Sprache.) Der Hotfix, der nur den Fehler in der Behandlung von so genannten Additional Decryption Keys (ADKs) behebt, ist auch für die kommerziellen PGP-Produkte sowie für Key-Server erhältlich.

In einem persönlichen Beitrag äußerte sich auch PGP-Gründer Phil Zimmermann noch einmal zu dem Problem und verteidigte die Implementierung der ADKs in PGP. Da bei dieser Methode sowohl Absender als auch Empfänger einer Nachricht der Verschlüsselung an einen weiteren Schlüssel zustimmen müßten, sei sie bei korrektem Funktionieren auch aus Sicherheitsgründen nicht zu beanstanden. Firmen, die zahlenden Kunden von PGP, hätten diese Funktion gewollt, und man sei aufgrund der sicheren Implementierung darauf eingegangen. In dem Freeware-Produkt für Privatpersonen sei die Funktion sowieso nicht enthalten gewesen, da private Nutzer sie nicht nachfragten.

Ohne ADKs könne man PGP nicht verkaufen, meinte Zimmermann, und die weite Verbreitung von PGP habe mit Sicherheit auch dazu beigetragen, dass in den USA die Exportbestimmungen für Verschlüsselungssoftware, die unter ein Kriegswaffenkontrollgesetz fiel, Anfang dieses Jahres komplett aufgehoben wurden. Er versicherte, dass Network Associates (NAI) niemals darauf gedrängt habe, beispielsweise Regierungsstellen oder anderen Dritten auf irgendeine Weise durch eine "back door" in dem Programm Zugang zu Schlüsseln zu verschaffen.

PGP sei aus einer Menschenrechtsbewegung entstanden. Und sollte von der Muttergesellschaft jemals gefordert werden, beispielsweise eine "back door" einzuführen, könne man sicher sein, dass die PGP-Programmierer öffentlichkeitswirksam die Firma verlassen würden. (pmo)