Antwort auf die Schlüsselfalle

Johannes Zarl jzarl at fsfe.org
Fr Feb 27 12:24:48 UTC 2015 

On Friday 27 February 2015 12:23:58 Nicolai Parlog wrote:
> Zum Inhaltlichen:
> 
> PGP und GnuPG haben unbestreitbar wichtiges geleistet und werden das
> auch in Zukunft machen. Nichtsdestotrotz fehlen ihnen einige
> Eigenschaften, die im Kontext verschlüsselter Kommunikation heutzutage
> benötigt werden:

Ich glaube kaum, dass die Anforderungen "heutzutage" so homogen sind, dass man 
allgemeingültig sagen kann „Verschlüsselungssoftware muss Feature X 
unterstützen“. Außerdem ist nicht alle Verschlüsselung im Kontext von 
Kommunikation zu sehen.

> * z.B. eben Abstreitbarkeit und insbesondere Forward Secrecy

Abstreitbarkeit ist strenggenommen teil von OpenPGP - man muss eine Nachricht 
nicht signieren, und eine an den eigenen Schlüssel verschlüsselte Nachricht 
kann mir ohne meine Zustimmung geschickt worden sein.

Forward-Secrecy ist für viele Anwendungsfälle wünschenswert, aber für manche 
absolut widersinnig. Von gpg Forward-Secrecy zu fordern ist in etwa so 
stimmig, wie von TextSecure Dateiverschlüsselung zu fordern.

> * Verschlüsselung der gesamten Kommunikation (nicht nur des
> übertragenen Textes wie bei Email+GPG)

Es stimmt schon: Das Metadatenproblem wird von gpg momentan weitgehend 
ignoriert, und wird wohl auch nie im Rahmen von OpenPGP gelöst werden können. 
Mir ist jetzt allerdings auch keine Alternative bekannt, die das Problem 
skalierbar und benutzerfreundlich löst.

> * von jedem (!) benutzbar (dass das geht zeigen z.B. Apps wie TextSecure)

Das ist sicher eine der großen Stärken von neueren Ansätzen wie TextSecure. 
Mit gpg kann man halt nicht das nächste WhatsApp implementieren (will man auch 
nicht).

> Das ist kein Vorwurf an PGP oder GPG oder deren Entwickler. Es ist
> aber eine Kritik daran, sich nicht mit den technischen Mängeln
> auseinanderzusetzen und diese auch offen zu diskutieren.

Diskussionen sollte man sicher nie bekämpfen. Wenn ich auf die gnupg 
Mailingliste rüber schaue, herrscht dort allerdings auch eine relativ gute 
Diskussionskultur.

Die von Marlinspike angesprochenen Probleme mit mailpile/python und gpg-
Scripting fallen eindeutig unter "technische Mängel". Forward-Secrecy und 
Schlüsselmanagement eher nicht.

Ebensowenig hilfreich fand ich den Kommentar "14k Wörter in einer man-Page 
sind zu viel". mplayer hat  z.B. 30k, git in Summe 195k(!). Trotzdem finde ich 
diese man-pages wichtig und hilfreich. Selbstredend sollte niemand, der 
OpenPGP über eine GUI benutzt, gezwungen sein, die man-page zu lesen.

> Meiner Meinung nach ist die Situation relativ klar: Verschlüsselte
> Kommunikation kann und muss besser funktionieren als mit Email + GPG.
> Sofern wir jetzigen GPG-Nutzer bereit sind umzusteigen, profitieren
> wir direkt vom technischen Fortschritt und indirekt von der größeren
> Nutzerbasis.

Sollte irgendwann dieses magische Einhornprogramm kommen, das gpg vollständig 
ersetzt, werde ich gerne umsteigen. Bis dahin werde ich sinnvolle Ergänzungen 
(und als solche empfinde ich Apps wie TextSecure o.Ä.) *ergänzend* einsetzen.

lg,
  Johannes

Mehr Informationen über die Mailingliste FSFE-de