Algumas mensagens codificadas com algumas versões do PGP poderão cair nas mãos erradas por causa de uma falha de segurança agora detectada.
Foi descoberta uma falha de segurança no PGP, nas versões 5.5.x a 6.5.3, que diz respeito à forma como o PGP lida com ''Additional Decryption Keys'' nas chaves públicas. Para explorar esta falha um ''hacker'' poderia alterar a chave pública de um utilizador e incluir uma Additional Decryption Key (Chave Adicional de Decriptação) na porção não-assinada da chave pública e posteriormente distribuir a chave pública alterada. Quem obtivesse esta chave pública alterada para enviar uma mensagem ao utilizador original da chave estaria, na realidade, a criar uma mensagem que poderia ser descodificada pelo utilizador original e também pelo hacker.
O problema reside no facto das versões 5.5x até à 6.5.3 do PGP não detectarem correctamente que a Additional Decryption Key foi colocada na parte não-assinada da chave pública, quando na realidade ela deveria estar na parte assinada pelo utilizador original.
Esta falha de segurança não é tão grave quanto possa parecer porque o hacker teria que distribuir a chave alterada, os utilizadores que comunicam com a vítima teriam que utilizar a chave alterada e as mensagens enviadas à vítima teriam que ser interceptadas pelo hacker.
A Network Associates, responsável pelas versões comerciais do PGP, já está a trabalhar em ''patches'' para corrigir este bug e está a trocar informações com os seus parceiros que produzem software relacionado com o PGP.
