Rechtsgültigkeit der OpenPGP-Signatur

Fabian Keil freebsd-listen at fabiankeil.de
Di Dez 14 10:46:47 UTC 2021 

"Bernhard E. Reiter" <bernhard at fsfe.org> wrote on 2021-12-14 at 11:03:54:

> OpenPGP mit Behörden erscheint mit zusätzlich sehr sinnvoll, wenn es darum 
> geht, die Vertraulichkeit über Verschlüsselung hoch zu halten oder die 
> Prüfen, dass eine bestimmte Info wirklich von der Behörde kommt (zum Beispiel 
> bei IT-Sicherheitsinformationen).

Das sehe ich natürlich auch so, aber zu beachten ist aus meiner Sicht,
dass manche deutsche Behörden natürlich proprietäre Software einsetzen um
"gefährliche" Mails mit OpenPGP-Signaturen komplett "abzuwehren".

Siehe dazu z.B. den Schriftverkehr unter:
<https://www.fabiankeil.de/blog-surrogat/2014/03/30/demo-am-dagger-complex.html>

Schon aus pädagogischen Gründen sende ich natürlich auch weiterhin
OpenPGP-Signaturen an Behörden und gehe optimistisch erst mal davon
aus, dass die Mails trotzdem empfangen werden können.

Bei der Polizei Köln, mit der ich deutlich häufiger maile als mit der Polizei
in Hessen (Details siehe "Blog"), führen OpenPGP-signierte Mails angeblich zu
einer gefährlich klingenden Warnung beim Empfänger. Diese Information habe
ich aber, wenn ich mich recht entsinne, nur mündlich erhalten und ich habe
die Meldung auch nie selbst gesehen.

Die Spezial-Experten beim Bundesamt für Sicherheitssimulation im Bereich
der Informationstechnik (BSI) haben natürlich keine Angst vor OpenPGP
und schicken laut Presse gelegentlich gleich den privaten Schlüssel mit:

| Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt.
| Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz. 
<https://www.golem.de/news/verschluesselung-bsi-verschickt-privaten-pgp-schluessel-2111-161073.html>

Das halte ich persönlich nicht für sinnvoll aber dazu passt
das Folgende Zitat von Felix von Leitner:

| Auf der anderen Seite erwartet vom BSI ja auch niemand
| faktenbasiertes Risikomanagement oder Security.
| Vom BSI erwartet man Compliance-Gehampel und Security-Theater.
https://blog.fefe.de/?ts=9f6d691f

Fabian
-------------- n�chster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20211214/a2e812a4/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de