End-to-End Encryption - by Ennetcom PGP Blackberry

http://thehackernews.com/2017/03/decrypt-pgp-encryption.html

Hatósági túlkapás és biztonsági gyakorlat szempontájból riasztó jelek sorakoznak az Ennetcom PGP BlackBerry-t érintő ügy körül.

A Holland Belügyminisztérium lefoglalta az Ennetcom PGP BlackBerry teljes infrastruktúráját Kanadában, miután egy személyt pénzmosás és a cég eszközeinek feketepiacon történő értékasítés gyanújával vád alá helyeztek. A rendőrségi vizsgálat során kiderült, hogy az End-to-End titkosítást valójában nem az eszközökön, hanem az Ennetcom szerverein előállított (és a kliensekre feltöltött a PGP szoftverrel előre feltöltött) tanúsítványokkal végezték. Így mivel a kulcsok rendelkezésre álltak, a hatóság kibontotta az egész 7 TB-nyi lefoglalt adatbázist - 3.6 millió elküldött üzenetet - és azokban szisztematikusan bűncselekményre utaló nyomokat kezdett keresni az Ennetcom összes érintett (kb. 40 000) ügyfelénél.

Az Ennetcom szűkszavú nyilatkozata alapján a szerver csak az lefoglalást megelőző 48 óra kommunikációját tartalmazta, és (nem túl hihető) nyilatkozatuk alapján a kulcsokat a hatóság nem a cég szervereiről, hanem a Symantectől szerezte meg.