Antwort auf die Schlüsselfalle

Nicolai Parlog kontakt at do-foss.de
Fr Feb 27 11:23:58 UTC 2015 

 Hi!

Ich denke, dass Marlinspike sich mehr Glaubwürdigkeit erarbeitet hat
als ihm hier zugeschrieben wird.

Als kleine Referenz: Google Play berichtet von 500.000 - 1.000.000
Installationen von TextSecure, einem GPL-lizensierten Messenger, der
u.a. Abstreitbarkeit und Forward Secrecy implementiert[1, 2]. Die
gleiche Schätzung von Installationen wird für RedPhone angegeben,
einer GPL-lizensierten App für verschlüsselte Telefonate.

Beides wird von Open Whisper Systems entwickelt, einer Firma, die
Marlinspike zu dem Zweck gegründet hat. Er ist auch der wichtigste
Committer der beiden Projekte.

Er ist also mehr als qualifiziert genug, um die Qualität des
Quellcodes von OpenPGP-Implementierungen zu beurteilen. Der Rest
seiner Biografie[4] macht klar, dass man seine Urteile über
Verschlüsselung im Allgemeinen ebenfalls ernst nehmen sollte.
Zumindest soweit, dass man sich *inhaltlich* mit ihnen auseinandersetzt.

Vor dem Hintergrund halte ich solche Aussagen für ignorant:

> Er interessiert mich wenig, weil er destruktiv ist, nicht
> konstruktiv.
Kritik != destruktiv; zu konstruktiv s.o.

> Deshalb hechelt er jetzt auch so - Snowden hat ihm den Rang mal
> sowas von abgelaufen.
Ad-Hominem. Wo bleibt das Gegenargument?


Zum Inhaltlichen:

PGP und GnuPG haben unbestreitbar wichtiges geleistet und werden das
auch in Zukunft machen. Nichtsdestotrotz fehlen ihnen einige
Eigenschaften, die im Kontext verschlüsselter Kommunikation heutzutage
benötigt werden:
* z.B. eben Abstreitbarkeit und insbesondere Forward Secrecy
* Verschlüsselung der gesamten Kommunikation (nicht nur des
übertragenen Textes wie bei Email+GPG)
* von jedem (!) benutzbar (dass das geht zeigen z.B. Apps wie TextSecure)

Das ist kein Vorwurf an PGP oder GPG oder deren Entwickler. Es ist
aber eine Kritik daran, sich nicht mit den technischen Mängeln
auseinanderzusetzen und diese auch offen zu diskutieren.

Meiner Meinung nach ist die Situation relativ klar: Verschlüsselte
Kommunikation kann und muss besser funktionieren als mit Email + GPG.
Sofern wir jetzigen GPG-Nutzer bereit sind umzusteigen, profitieren
wir direkt vom technischen Fortschritt und indirekt von der größeren
Nutzerbasis.

 so long ... Nicolai


[1] https://whispersystems.org/blog/simplifying-otr-deniability/
[2] https://whispersystems.org/blog/advanced-ratcheting/
[3] https://sks-keyservers.net/status/key_development.php
[4] http://en.wikipedia.org/wiki/Moxie_Marlinspike



-- 

Hier schreibt Nicolai, die Privatperson, nicht Nicolai von Do-FOSS.

Mehr Informationen über die Mailingliste FSFE-de