Programista z Sun Microsystems odkrył lukę w systemie bezpieczeństwa starszych wersji oprogramowania szyfrującego Pretty Good Privacy (PGP). Problem dotyczy mechanizmu odczytywania liczb losowych, który może spowodować, że wykorzystywane przez program klucze kryptograficzne mogą nie zapewniać bezpieczeństwa. Luka została wykryta w kodzie źródłowym PGP 5.0 w wersjach przeznaczonych dla Linuxa i OpenBSD. Błąd nie dotyczy oprogramowania w wersji 2.x i 6.5. Problemów nie stwierdzono również w przypadku innych platform.

Zdaniem autora odkrycia, który twierdzi, że nie występuje w imieniu swojego pracodawcy, PGP w pewnych okolicznościach tworzy pary kluczy prywatnych i publicznych, korzystając ze zbyt małej liczby liczb losowych lub w ogóle bez stosowania przypadkowości.

Najpoważniejsze objawy błędu można zauważyć w przypadku nowo zainstalowanej wersji PGP 5.0 na systemie unixowym, z ustawionym w specyficzny sposób mechanizmem tworzenia liczb losowych, pozwalającym na tworzenie par kluczy szyfrujących jedynie z poziomu linii poleceń.

Odkrywca błędu uspokaja jednak, że większość użytkowników wykorzystuje wersje PGP dla Windows lub PGP 6.5, które nie są wadliwe. Użytkownikom wadliwych poleca ponowne wygenerowanie kluczy za pomocą poprawnych wersji.

***

Rząd amerykański zgodził się na eksport oprogramowania szyfrującego PGP