Populaire encryptietechnologieën voor e-mail zijn onherstelbaar lek

De twee meest gebruikte methodes voor e-mailencryptie, PGP en S/MIME, zijn kwetsbaar voor hacks die de versleutelde berichten in plaintext kunnen tonen. Dat ontdekten onderzoekers van de University of Applied Sciences in het Duitse Münster. Er is voorlopig nog geen betrouwbare oplossing om het lek te dichten.

“Als je PGP/GPG of S/MIME gebruikt voor zeer gevoelige communicatie, kan je het voorlopig beter in je e-mailclient uitschakelen”, adviseert Sebastian Schinzel, professor in computerveiligheid aan de University of Applied Sciences in Münster, die de kwetsbaarheid mee heeft ontdekt. PGP wordt onder meer gebruikt door journalisten, mensenrechtenactivisten en beveiligingsonderzoekers om op een veilige manier te communiceren.

Ook de Electronic Frontier Foundation, een organisatie die zicht bezighoudt met de bescherming van digitale burgerrechten, raadt gebruikers van de encryptiestandaarden aan om daar voorlopig mee te stoppen. “EFF heeft contact gehad met het onderzoeksteam en kan bevestigen dat deze kwetsbaarheden een direct risico vormen voor degenen die deze hulpmiddelen gebruiken voor e-mailcommunicatie, inclusief de potentiële blootstelling van de inhoud van eerdere berichten”, klinkt het in een blogpost.

De EFF adviseert gebruikers om voorlopig over te stappen op andere beveiligde kanalen, tot er een geschikte oplossing is gevonden. “Gebruikers kunnen beter alternatieve end-to-end beveiligde kanalen, zoals Signal, gebruiken en tijdelijk stoppen met het verzenden en vooral het lezen van PGP-versleutelde e-mail.”

Details volgen

Voorlopig zijn er nog geen details bekend over de precieze aard van het lek. De onderzoekers publiceren dinsdagochtend een paper met meer informatie over de kwetsbaarheid. Ze schatten de risico’s evenwel groot genoeg in om gebruikers van PGP of S/MIME nu alvast te waarschuwen.

Zowel Schinzel als de EFF verwijzen in hun communicatie alleen naar instructies om plug-ins in e-mailclients zoals Outlook, Thunderbird en macOS Mail uit te schakelen. Over specifieke PGP-software, zoals Gpg4win of GnuPG, wordt niet gesproken. Het is nog niet duidelijk of dat ook betekent dat deze tools niet getroffen zijn door de kwetsbaarheden.