End-to-End Encryption - by Ennetcom PGP Blackberry
írta: sztanozs, 7 éve
http://thehackernews.com/2017/03/decrypt-pgp-encryption.html
Hatósági túlkapás és biztonsági gyakorlat szempontájból riasztó jelek sorakoznak az Ennetcom PGP BlackBerry-t érintő ügy körül.
A Holland Belügyminisztérium lefoglalta az Ennetcom PGP BlackBerry teljes infrastruktúráját Kanadában, miután egy személyt pénzmosás és a cég eszközeinek feketepiacon történő értékasítés gyanújával vád alá helyeztek. A rendőrségi vizsgálat során kiderült, hogy az End-to-End titkosítást valójában nem az eszközökön, hanem az Ennetcom szerverein előállított (és a kliensekre feltöltött a PGP szoftverrel előre feltöltött) tanúsítványokkal végezték. Így mivel a kulcsok rendelkezésre álltak, a hatóság kibontotta az egész 7 TB-nyi lefoglalt adatbázist - 3.6 millió elküldött üzenetet - és azokban szisztematikusan bűncselekményre utaló nyomokat kezdett keresni az Ennetcom összes érintett (kb. 40 000) ügyfelénél.
Az Ennetcom szűkszavú nyilatkozata alapján a szerver csak az lefoglalást megelőző 48 óra kommunikációját tartalmazta, és (nem túl hihető) nyilatkozatuk alapján a kulcsokat a hatóság nem a cég szervereiről, hanem a Symantectől szerezte meg.