Krypteringsprogrammet PGP er verdens mest populære program for å sikre seg mot uautorisert tilgang til filer og e-post. Populariteten skyldes at det er gratis og at det en stund var antatt tilnærmet umulig å knekke. Nå er det oppdaget at sikkerheten lider.
Da Network Associates ble med i The Key Recovery Alliance modifiserte de PGP for å gi tilgang til å finne frem tredjepartsnøkler. For å få dette til innførte de noe som ble kalt Additional Decryption Key (ADK), skriver nyhetstjenesten Slashdot.
Normalt vil et sertifikat inneholde en offentlig nøkkel, samt informasjon om hvem den tilhører. PGP versjon 5 og 6 lar brukeren legge til ekstra ADK-er i sertifikatet. Når en person krypterer en melding til den brukeren vil PGP automatisk bruke både den offentlige nøkkelen og ADKen. Meningen er at ADKen hører til overvåkningstjenesten, arbeidsgiveren eller en organisasjon - og de kan dekode meldingen og lese den.
Sikkerhetshullet ligger i at noen versjoner av PGP ikke nødvendig vis trenger ADK-er i den signerte delen av PGP-sertifikatet. Dette betyr noen kan ta et PGP-sertifikat, , legge til sin egen ADK og spre det rundt i verden. Denne versjonen av PGP-sertifikatet vil være umulig å merke for noen som ikke gransker kodene direkte, og enhver som har den versjonen som er tuklet med vil automatisk, og "usynlig", dekryptere alle meldinger til den som eier sertifikatet.
I 1998 uttalte en del kryptografer at å legge til Key Escrow ville medføre sikkerhetsproblemer, og disse har nå fått bekreftet mistankene sine.
