PGP-lek: snapt er wel iemand wat hiermee wordt bedoeld?

Gisteren op verschillende sites een merkwaardig bericht over een veiligheidslek van belangenorganisatie Electronic Frontier Foundation (EFF). Dat waarschuwt gebruikers om te stoppen met het gebruik van PGP (Pretty Good Privacy). Het zou riskant om e-mails met PGP te lezen en te versturen en raden gebruikers aan om tijdelijk een andere versleutelde vorm van communicatie te gebruiken.

In de meeste berichten wordt dan een link gelegd met Ennetcom, waarvan het Nederlandse OM miljoenen versleutelde berichten kraakte en “waarbij ook PGP werd gebruikt ter versleuteling. De politie had op een niet nader genoemde wijze de encryptiesleutels bemachtigd.”

Kan zijn dat ik het verkeerd begrijp, maar ten eerste is duidelijk hoe de gegevens van Ennetcom zijn achterhaald: door slordigheid van Ennetcom, dat de sleutels op de server bewaarde. Een doodzonde in PGP-land. Enkele andere PGP-telefoons zijn ook gekraakt, maar daarbij was meestal wel duidelijk hoe dat gegaan was. In een paar gevallen had de gebruiker zijn wachtwoord bij de telefoon liggen, anderen hadden zo’n zwak wachtwoord – in strijd met de voorschriften – dat het inderdaad gekraakt kon worden.

De afbeelding boven is van PGP-Safe. Niet voor niks. Ook deze aanbieder kwam net als Ennetcom in de problemen doordat de server (in Costa Rica) werd gekraakt. Via deze ‘kraak’ werd meer bekend over de liquidatie van Hakim Changaci maar er is nog weinig bekend over hoe dat daar is gegaan. 

Gaat dit bericht van EFF wel over PGP-telefoons? Of bedoelen ze een andere manier van communiceren waarbij van PGP gebruik wordt gemaakt? En is er dankzij dit lek al informatie ergens beland waar het niet zou moeten? Ik heb hier en daar wat rondgevraagd, maar niemand heeft een idee wat er echt aan de hand is. Wat overigens standaard is bij PGP: rechters, advocaten, journalisten en gebruikers hebben vaak geen flauw benul van de techniek.

Wiens belangen dient de organisatie? In elk geval niet die van de opsporingsdiensten en de overheid: die zouden er alle belang bij hebben dit lek nog lekker even onder de pet te houden en criminelen in de waan te laten dat ze veilig communiceren…

 

 

7 Reacties

  1. F.
    15 mei 2018 - 09:21

    Het gaat om email clients die ingesteld zijn om remote content automatisch op te halen en automatisch te decrypten. Het protocol is niet gekraakt. De truc is om een al versleuteld bericht van iemand opnieuw naar hem te sturen met een html (img) tag eromheen die naar een door de aanvaller beheerde server wijst. Op het moment dat het slachtoffer die mail opent wordt het bericht automatisch gedecrypt en tevens meegzonden naar die server waar het dan onderschept kan worden. Automatisch remote content laden in email clients is sowieso altijd een slecht idee.

    Reply
    • nietsweter
      15 mei 2018 - 11:57

      Het lijkt of het een grote storm is in een glas water al is er natuurlijk wel iets aan de hand, de clients zullen gewoon downloaden uit moeten zetten (voorlopig) en de HTML in die zin onschadelijk maken. Signal protocol word aangeraden tot de oplossing echt voor handen is, al is er buiten hun methodiek om die als onkraakbaar te boek staat wel een groot nadeel en dat is de aanmelding met tel nr al zal iemand die echt privacy zoekt een weggooier gebruiken met een weggooi telefoon of in bepaalde gevallen kun je bij services nog een mobiel nummer gebruiken die disposable is online.

      Reply
  2. drwx
    15 mei 2018 - 12:31

    Het gaat om de PGP encryptie waar onder andere die toestellen gebruik van maken maar ook gewoon mail verkeer maakt gebruik van PGP dus het geld niet alleen voor telefoons maar elk gebruik van PGP mail.

    Reply
    • drwx
      15 mei 2018 - 12:33

      EFF dient de belangen van d eburger en probeert op te komen voor burger rechten en recht van privacy.

      “The Electronic Frontier Foundation is the leading nonprofit organization defending civil liberties in the digital world. Founded in 1990, EFF champions user privacy, free expression, and innovation through impact litigation, policy analysis, grassroots activism, and technology development. We work to ensure that rights and freedoms are enhanced and protected as our use of technology grows.”

      Reply
  3. Peter
    15 mei 2018 - 20:07

    PGP netwerken zijn al langer in handen van criminelen. Die deze gebruiken om te rippen dan wel weg te tippen om hun eigen vrijbrief te betalen ;)
    Kijk je PGP maar is na, in tegenstelling tot wat ze beweren is de hardware als camera en microfoon niet verwijderd ENNETCOM voorop!!
    Voor een paar duizend euro zet je een netwerk op en heb je inzage op miljoenen transporten, stadjes etc etc ;)

    Reply

Reageer

Het e-mailadres wordt niet gepubliceerd.