Antwort auf die Schlüsselfalle
Johannes Zarl
jzarl at fsfe.org
Fr Feb 27 12:24:48 UTC 2015
On Friday 27 February 2015 12:23:58 Nicolai Parlog wrote:
> Zum Inhaltlichen:
>
> PGP und GnuPG haben unbestreitbar wichtiges geleistet und werden das
> auch in Zukunft machen. Nichtsdestotrotz fehlen ihnen einige
> Eigenschaften, die im Kontext verschlüsselter Kommunikation heutzutage
> benötigt werden:
Ich glaube kaum, dass die Anforderungen "heutzutage" so homogen sind, dass man
allgemeingültig sagen kann „Verschlüsselungssoftware muss Feature X
unterstützen“. Außerdem ist nicht alle Verschlüsselung im Kontext von
Kommunikation zu sehen.
> * z.B. eben Abstreitbarkeit und insbesondere Forward Secrecy
Abstreitbarkeit ist strenggenommen teil von OpenPGP - man muss eine Nachricht
nicht signieren, und eine an den eigenen Schlüssel verschlüsselte Nachricht
kann mir ohne meine Zustimmung geschickt worden sein.
Forward-Secrecy ist für viele Anwendungsfälle wünschenswert, aber für manche
absolut widersinnig. Von gpg Forward-Secrecy zu fordern ist in etwa so
stimmig, wie von TextSecure Dateiverschlüsselung zu fordern.
> * Verschlüsselung der gesamten Kommunikation (nicht nur des
> übertragenen Textes wie bei Email+GPG)
Es stimmt schon: Das Metadatenproblem wird von gpg momentan weitgehend
ignoriert, und wird wohl auch nie im Rahmen von OpenPGP gelöst werden können.
Mir ist jetzt allerdings auch keine Alternative bekannt, die das Problem
skalierbar und benutzerfreundlich löst.
> * von jedem (!) benutzbar (dass das geht zeigen z.B. Apps wie TextSecure)
Das ist sicher eine der großen Stärken von neueren Ansätzen wie TextSecure.
Mit gpg kann man halt nicht das nächste WhatsApp implementieren (will man auch
nicht).
> Das ist kein Vorwurf an PGP oder GPG oder deren Entwickler. Es ist
> aber eine Kritik daran, sich nicht mit den technischen Mängeln
> auseinanderzusetzen und diese auch offen zu diskutieren.
Diskussionen sollte man sicher nie bekämpfen. Wenn ich auf die gnupg
Mailingliste rüber schaue, herrscht dort allerdings auch eine relativ gute
Diskussionskultur.
Die von Marlinspike angesprochenen Probleme mit mailpile/python und gpg-
Scripting fallen eindeutig unter "technische Mängel". Forward-Secrecy und
Schlüsselmanagement eher nicht.
Ebensowenig hilfreich fand ich den Kommentar "14k Wörter in einer man-Page
sind zu viel". mplayer hat z.B. 30k, git in Summe 195k(!). Trotzdem finde ich
diese man-pages wichtig und hilfreich. Selbstredend sollte niemand, der
OpenPGP über eine GUI benutzt, gezwungen sein, die man-page zu lesen.
> Meiner Meinung nach ist die Situation relativ klar: Verschlüsselte
> Kommunikation kann und muss besser funktionieren als mit Email + GPG.
> Sofern wir jetzigen GPG-Nutzer bereit sind umzusteigen, profitieren
> wir direkt vom technischen Fortschritt und indirekt von der größeren
> Nutzerbasis.
Sollte irgendwann dieses magische Einhornprogramm kommen, das gpg vollständig
ersetzt, werde ich gerne umsteigen. Bis dahin werde ich sinnvolle Ergänzungen
(und als solche empfinde ich Apps wie TextSecure o.Ä.) *ergänzend* einsetzen.
lg,
Johannes
Mehr Informationen über die Mailingliste FSFE-de