Purtroppo nemmeno PGP ha resistito alle sempre più pesanti pressioni del governo degli stati uniti, da sempre contrario alla diffusione della cosiddetta crittografia forte. Senza troppa pubblicità, nelle versioni dalla 5.5 alla 6.5.3 sia freeware che commerciali, la Network Associates aveva implementato un sistema per il "key escrow", una funzione che permette di creare e archiviare chiavi crittografiche aggiuntive per permettere ad una terza parte di poter decifrare i documenti in caso di necessità.
Ufficialmente si parla del capo di un'azienda quando l'oggetto cifrato contiene materiale necessario al proseguimento del lavoro, ma molto probabilmente si pensava ad un agente di governo. Questa chiave aggiuntiva comunque poteva essere inserita solo col consenso del proprietario della chiave pubblica, e questa sembrava una soluzione accettabile, se non fosse che la funzione in esame, chiamata anche Additional Decryption Keys (ADK), non è affatto sicura in PGP, visto che il software sembra incapace di distinguere fra una chiave aggiuntiva inserita in una chiave pubblica in modo legittimo (col consenso del proprietario) da una inserita in modo fraudolento.
L'allarme è stato lanciato da un esperto tedesco in algoritmi crittografici, il ricercatore Ralf Senderek, che ha pubblicato un documento dove dimostra come sia possibile ingannare il sistema di gestione delle chiavi di PGP e leggere email o documenti cifrati con le versioni dalla 5.5 alla 6.5.3. Network Associates, proprietaria di PGP Security, ha voluto rassicurare gli ormai più di 7 milioni di utenti PGP affermando che questa falla di sicurezza può essere sfruttata solo in particolari circostanze e attraverso procedimenti molto complessi, alla portata solo di pochissimi esperti e ha poi rilasciato di una patch (disponibile sul sito di PGP).
Quello che più fa pensare di tutta questa storia è il fatto che la funzione per il key escrow è stata introdotta dietro forti pressioni del Governo USA ed implementata in PGP compromettendo la proverbiale sicurezza di un software che si propone di difendere la privacy degli utenti. Per questo, ma non solo, Phil Zimmermann, che si è sempre battuto per la diffusione della crittografia tanto da essere accusato di violazioni delle leggi federali, ha deciso di lasciare nell'aprile 2001 la Network Associates per passare a nuovi progetti con la Hush, un'azienda che si occupa di sicurezza nella telefonia e che ha già brevettato un motore di crittografia per la posta davvero molto simile a PGP.
