Nieuws Privacy

Gevoelige mails zijn ondanks versleuteling gewoon te lezen door lek in PGP

Privacyexperts liepen er tot nu toe mee weg: PGP, oftewel Pretty Good Privacy. Deze technologie om veilig mail uit te wisselen zonder pottenkijkers blijkt nu lek. 

Encryptie Foto ANP Foto

Een groep gerenommeerde Europese beveiligingsonderzoekers gooiden zondagavond de knuppel in het hoenderhok: er zit een groot lek in PGP en in andere technieken om mail versleuteld te versturen, zoals S/MIME. De details van dit lek worden dinsdagochtend pas vrijgegeven, maar nu al wordt aangeraden het gebruik van PGP binnen mailprogramma’s voorlopig te deactiveren. Voorlopig zou er namelijk nog geen oplossing voor het lek zijn. PGP is een veelgebruikte methode om de inhoud van e-mail te beveiligen, niet alleen door journalisten en activisten, maar ook door criminelen. 

Ook de Electronic Frontier Foundation (EFF) ontraadt het gebruik van PGP-plug-ins in combinatie met de mailprogramma’s Thunderbird, Outlook of AppleMail. De non-profitorganisatie, die ijvert voor vrijheid van meningsuiting en privacy, stelt dat de ontdekte kwetsbaarheden ‘een onmiddellijk risico’ vormen. Concreet betekent dit dat kwaadwillenden de inhoud van gevoelige mailtjes kunnen lezen, ook al zijn ze versleuteld. Ook de inhoud van in het verleden ontvangen versleutelde mails zou op deze manier voor vreemde ogen toegankelijk worden. Het risico zou met name in het lezen van versleutelde mails zitten, maar de EFF vindt het ook onverstandig om PGP te gebruiken voor het verzenden, in ieder geval zolang er nog geen oplossing is.

In plaats van PGP raadt EFF alternatieve end-to-endcommunicatiekanalen aan zoals de app Signal. WhatsApp wordt niet door EFF aangeraden, maar ook WhatsApp gebruikt end-to-end-encryptie. De waarschuwing geldt overigens niet voor PGP in combinatie met een webmaildienst als Gmail. Dat gebruik is gewoon veilig. 

Süddeutsche Zeitung heeft inmiddels meer informatie gepubliceerd. De Duitse krant kreeg, samen met de omroepen NDR en WDR, vorige maand al een demonstratie van de onderzoekers van het lek. Ze gebruikten twee verschillende methodes om de versleutelde mails te kraken. ‘Tot nu toe werden beide procedures als veilig beschouwd, zelfs door inlichtingendiensten’, schrijft de krant. Met grote gevolgen: ‘Eén ding is zeker: wat de onderzoekers hebben ontdekt, is zo verwoestend dat het vertrouwen in versleutelde e-mails waarschijnlijk verloren zal gaan, in ieder geval in de nabije toekomst.’ Onderzoeker Sebastian Schinzel, hoogleraar cryptografie aan de Hogeschool Münster, gaat tegenover de krant nog een stap verder door te stellen dat e-mail ‘niet langer een veilig communicatiemiddel’ is. Overigens moeten de versleutelde mails wel aan een aantal voorwaarden voldoen om door derden te kunnen worden ingezien, zo schrijft Süddeutsche-journalist Hakan Tanriverdi op Twitter. Zo moet html in het mailprogramma zijn ingeschakeld, zowel door verzender als ontvanger. 

PGP (en de open source-variant GPG) werkt met zogenoemde asymmetrische encryptie, oftewel twee verschillende sleutels. De publieke (openbare) sleutel wordt gebruikt voor het versleutelen van een bericht, terwijl de geheime sleutel nodig is om dit bericht weer leesbaar te maken. Zonder zo’n sleutel ziet de ontvanger alleen een reeks tekens. PGP-software neemt dit werk uit handen, maar gebruikers die hechten aan hun privacy moeten nog altijd meer moeite doen om hun mail op deze wijze te beveiligen dan bijvoorbeeld bij chatapps als Signal of WhatsApp het geval is. Hier zit de versleuteling standaard ingebouwd: alleen de ontvanger kan de inhoud lezen. Geheime diensten kunnen niet meelezen, maar ook WhatsApp (of Signal) zelf niet. 

De encryptie zelf is nog nooit gekraakt. Wel slaagde de Nederlandse politie er vorig jaar in om zich toegang te verschaffen tot 3,6 miljoen versleutelde berichten van criminelen. Dit lukte doordat justitie de sleutels zelf in handen kreeg. 

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.