Is het gebruik van PGP nog veilig?

Onlangs waarschuwden onderzoekers en de Amerikaanse burgerrechtenbeweging EFF voor de EFAIL-aanval, die gericht is tegen versleutelde e-mails.

Het zou in sommige gevallen mogelijk zijn geweest om de met PGP versleutelde HTML e-mailberichten leesbaar te maken. De EFF gaf vervolgens het advies om voorlopig te stoppen met het gebruik van PGP.

PGP-ontwikkelaar Phil Zimmermann vindt berichtgeving en advies over de EFAIL-aanval zeer misleidend en potentieel gevaarlijk.

“PGP is niet kapot”, zo stellen de vier ontwikkelaars Zimmermann, Andy Yen, Patrick Brunschwig en Thomas Oberndorfer.

“Als open standaard kan iedereen PGP implementeren en het is geen verrassing dat sommige implementaties kwetsbaarheden bevatten. Dat wil niet zeggen dat PGP zelf kapot is”, aldus hun verklaring.

Ennetcom
Meerdere nieuwssites legden ook een link met Ennetcom, het bedrijf dat aangepaste Blackberry-telefoons verkocht waarmee gebruikers, veelal criminelen, hun e-mailberichten met PGP versleutelden.

Het Nederlandse OM kraakte afgelopen jaar 3,6 miljoen versleutelde berichten van Ennetcom. De politie had op een niet nader genoemde wijze de encryptiesleutels bemachtigd.

In het geval van Ennetcom is het de vraag of de berichten gekraakt konden worden zonder de vondst van de encryptiesleutels die op de server werden aangetroffen. Ook hier is de implementatie verkeerd geweest, omdat de PGP-sleutels nooit op de server mochten zijn.

Conclusie
PGP is nog steeds veilig zolang de implementaties geen kwetsbaarheden bevatten.

25 Reacties

  1. PGP is gewoon veilig. Danny van Ennetcom is een prutser, je gaat toch geen PGP sleutels op de server laten.

      • Het was gewoon makkelijk om het te geloven. Alles wordt veel makkelijker als je zo kan communiceren, dus geoven ze graag dat het niet te kraken is. Ik denk dat de meeste criminelen nu wel wakker zijn geworden.

    • Ik zou me maar goed verstoppen als ik die Danny was. Denk dat hij heel wat mensen kwaad heeft gemaakt.

      • Ja daar ben ik ook benieuwd naar. Maar het zou ook een chat kunnen zijn, Sky of Encro, want alles wordt nu PGP genoemd.

  2. PGP is zeker nog veilig. De meeste mensen die beweren dat PGP gekraakt is die weten niet waarover ze praten.

  3. Dus als ik het goed begrijp heeft het NFI niet de PGP berichten gekraakt maar zaten de sleutels gewoon op de Canadese server? Als dat echt zo is dan is het Ennetcom wel heel kwaleijk te nemen.

    • Juist. Die sleutels hoorden niet op de server en lagen dus voor het oprapen. Het ging Ennetcom waarschijnlijk alleen maar om geld te verdienen.

  4. Soms denk ik dat dat hele Ennetcom gebeuren bewust is opgezet door justitie om grote criminelen te kunnen pakken. Waarom zijn de berichten bewaard op de server? Bewust gedaan alsof het wissen niet proefessioneel was gegaan?

    • Nee lijkt me sterk. Ik denk gewoon dat Ennetcom niet voldoende kennis in huis had en er ook niet in investeerde.

    • Alles is te kraken. De vraag is hoe ver gaan ze en hoeveel budget is er beschikbaar voor.

  5. Die criminelen hadden beter whatsapp kunne gebruiken dan waren ze er nog mee weggekomen mischien. Nieuwe telefoon om de paar weken en niks is terug te traceren. Anders dan Ennetcom die alles bleef opslaan.

    • Haha op straat naar elkaar schreeuwen wat ze gaan doen zou al beter zijn geweest dan Ennet. Wordt tenminste niet opgeslagen en met geluk heeft niemand je gehoord. ­čÖé

  6. Verschilt per aanbieder. Er zijn veel toestellen nog steeds niet gekraakt. Dat Ennetcom berichten zijn gekraakt komt doordat Ennetcom de prive-sleutels op de server liet opslaan.

  7. Het is nog afwachten wat het Hof gaat zeggen over PGP bewijs. Het zou zomaar kunnen dat het bewijs daarvan onbruikbaar is.

    • Het hof gaat dat ook als geldig verklaren. Anders gaan te veel grote zaken naar de klote.

  8. PGP is veilig als je een goede wachtwoord hebt. Het platform zelf is kwetsbaar. Wat heb je aan PGP als iemand je telefoon kan hacken en screenshots maakt? We moeten accepteren dat niets veilig is, tenzij je de batterij eruit haalt en niet gebruikt.

Reacties zijn gesloten bij dit onderwerp.