Adobe lekt per ongeluk eigen, geheime PGP-sleutel

Abonneer je gratis op Techzine!

Adobe heeft per ongeluk zijn eigen PGP-sleutel gelekt, waardoor e-mails door het bedrijf zelf bedoeld door iedereen in te zien waren. De product security incident response team (PSIRT) plaatste de sleutel namelijk online op zijn eigen blog, iets wat uiteraard niet zo bedoeld was.

Hoewel Adobe de sleutels snel offline haalde, waren er personen bij die een screenshot van het ongeluk maakten. Zo plaatste twitteraar @jupenur de afbeelding op het sociale medium. Ook op Google Cache is een versie van het bericht te zien. Het wordt zo duidelijk dat zowel de publieke als de privé PGP-keys ontwikkeld door het bedrijf online kwamen te staan.

PGP staat voor Pretty Good Privacy en is een systeem dat met OpenPGP gebruikers in staat stelt om versleutelde berichten te versturen. Er wordt hiermee een extra laagje privacy en beveiliging aan de boodschap toegevoegd. Gebruikers kiezen vaak voor deze vorm van communicatie in het geval van privé mail. Hierbij versleutelt de gebruiker het bericht met een publieke sleutel, terwijl opening plaatsvindt met een privé sleutel.

Mogelijke oorzaak

Het bericht ging niet alleen snel offline, maar ook de sleutels werden snel ingetrokken. Hoewel de schade waarschijnlijk beperkt bleef, is het wel opmerkelijk dat uitgerekend PSIRT dit probleem veroorzaakte. Een beveiligingsexpert op Twitter beweert dat de fout mogelijk komt doordat de email client software of de PGP-sleutelsoftware de verkeurde sleutels exporteerde. In zijn theorie is er gebruikgemaakt van een GUI-tool, werd er geklikt op Save key to file en vervolgens toegevoegd aan e-mail.

Een andere beveiligingsonderzoeker geeft in een blog aan dat de sleutels niet gebruikt kunnen worden zonder een eigen, geheime code te gebruiken. Toch laat hij weten dat de PGP’s niet op een dergelijke manier onthuld mogen worden, ook al zijn de e-mails niet te ontgrendelen. Zowel de verzender als de ontvanger kan last ondervinden van een dergelijke fout.