Det svenske selskapet WKit har oppdaget en sikkerhetsbrist i PGPs Desktop Security 7.0. Svakheten berører kun "delt nøkkel"-funksjonaliteten, men gjør til gjengjeld denne ubrukelig.
Om man ønsker å beskytte en maskin ekstra godt, har man muligheten til å benytte såkalt delt nøkkel, slik at man må ha autentisering fra to eller flere for å åpne for eksempel en database.
Men på grunn av mellomlagring / caching-funksjonaliteten i PGP 7.0 - et element som er lagt til for brukervennlighetens skyld - så kan en ondsinnet bruker omgå dette, og sende e-post eller åpne databaser som om vedkommende hadde innhentet autentisering fra alle nøkkelholderne, skriver WKit i en pressemelding.
Så lenge "Cache passphrase while logged on" er påslått i kontrollpanelet, kan en av nøkkelholderne operere på vegne av alle sammen, og for eksempel sende ut en offisiell, digitalt signert pressemelding på vegne av hele selskapet.
PGP, eller Pretty Good Privacy, startet som en gratis krypteringsprogramvare for alle som ønsket å kommunisere trygt over nettet. Så ble selskapet kjøpt opp av Network Associates, som har utviklet pakken til et komplett sikkerhetsprodukt med brannmur, innbruddsvarsling, diskkryptering, digitale signaturer og kommunikasjons-sikkerhet.
WKit understreker at sikkerhetsbristen ikke har noe med PGPs kryptering å gjøre - den er like sikker som før.
