To kryptografer, Bruce Schneier, daglig leder i Counterpane Systems Inc., og Jonathan Katz fra University of Maryland, har oppdaget en metode som gjør det mulig å endre en kapret PGP-kryptert melding. Mottakeren merker ingenting før hun prøver å dekryptere meldingen. Da får hun bare en rekke tegn i tilsynelatende vilkårlig rekkefølge. Det forskerne videre har oppdaget, er at dersom kapreren får tak i meldingen slik mottakeren har prøvd å dekryptere den, vil de være i stand til å knekke beskyttelsen, og lese den opprinnelige meldingen.
Selv om det kreves en fantasifull iscenesetting for en kaprer å ordne dette i det virkelige liv, betraktes svakheten, ifølge Wall Street Journal, som alvorlig. Poenget er at dekrypteringsprogrammet ikke skal kunne lures til å dekryptere noe som ikke er en ekte, umodifisert kryptert melding.
PGP - Pretty Good Privacy - inngår siden mars i år i en serie produkter under varemerket McAfee, etter at eierselskapet Network Associates ga opp å videreføre dem under datterselskapet PGP Inc. Network Associates har i skrivende stund ikke kommentert sårbarheten.
Les også
PGP videreføres også i åpen kildekode for private brukere, av OpenPGP Alliance. En talsperson for denne alliansen sier at det er utviklet en fiks som tetter hullet oppdaget av Schneier og Katz.