On Friday 27 February 2015 12:23:58 Nicolai Parlog wrote: > Zum Inhaltlichen: > > PGP und GnuPG haben unbestreitbar wichtiges geleistet und werden das > auch in Zukunft machen. Nichtsdestotrotz fehlen ihnen einige > Eigenschaften, die im Kontext verschlüsselter Kommunikation heutzutage > benötigt werden:
Ich glaube kaum, dass die Anforderungen "heutzutage" so homogen sind, dass man allgemeingültig sagen kann „Verschlüsselungssoftware muss Feature X unterstützen“. Außerdem ist nicht alle Verschlüsselung im Kontext von Kommunikation zu sehen. > * z.B. eben Abstreitbarkeit und insbesondere Forward Secrecy Abstreitbarkeit ist strenggenommen teil von OpenPGP - man muss eine Nachricht nicht signieren, und eine an den eigenen Schlüssel verschlüsselte Nachricht kann mir ohne meine Zustimmung geschickt worden sein. Forward-Secrecy ist für viele Anwendungsfälle wünschenswert, aber für manche absolut widersinnig. Von gpg Forward-Secrecy zu fordern ist in etwa so stimmig, wie von TextSecure Dateiverschlüsselung zu fordern. > * Verschlüsselung der gesamten Kommunikation (nicht nur des > übertragenen Textes wie bei Email+GPG) Es stimmt schon: Das Metadatenproblem wird von gpg momentan weitgehend ignoriert, und wird wohl auch nie im Rahmen von OpenPGP gelöst werden können. Mir ist jetzt allerdings auch keine Alternative bekannt, die das Problem skalierbar und benutzerfreundlich löst. > * von jedem (!) benutzbar (dass das geht zeigen z.B. Apps wie TextSecure) Das ist sicher eine der großen Stärken von neueren Ansätzen wie TextSecure. Mit gpg kann man halt nicht das nächste WhatsApp implementieren (will man auch nicht). > Das ist kein Vorwurf an PGP oder GPG oder deren Entwickler. Es ist > aber eine Kritik daran, sich nicht mit den technischen Mängeln > auseinanderzusetzen und diese auch offen zu diskutieren. Diskussionen sollte man sicher nie bekämpfen. Wenn ich auf die gnupg Mailingliste rüber schaue, herrscht dort allerdings auch eine relativ gute Diskussionskultur. Die von Marlinspike angesprochenen Probleme mit mailpile/python und gpg- Scripting fallen eindeutig unter "technische Mängel". Forward-Secrecy und Schlüsselmanagement eher nicht. Ebensowenig hilfreich fand ich den Kommentar "14k Wörter in einer man-Page sind zu viel". mplayer hat z.B. 30k, git in Summe 195k(!). Trotzdem finde ich diese man-pages wichtig und hilfreich. Selbstredend sollte niemand, der OpenPGP über eine GUI benutzt, gezwungen sein, die man-page zu lesen. > Meiner Meinung nach ist die Situation relativ klar: Verschlüsselte > Kommunikation kann und muss besser funktionieren als mit Email + GPG. > Sofern wir jetzigen GPG-Nutzer bereit sind umzusteigen, profitieren > wir direkt vom technischen Fortschritt und indirekt von der größeren > Nutzerbasis. Sollte irgendwann dieses magische Einhornprogramm kommen, das gpg vollständig ersetzt, werde ich gerne umsteigen. Bis dahin werde ich sinnvolle Ergänzungen (und als solche empfinde ich Apps wie TextSecure o.Ä.) *ergänzend* einsetzen. lg, Johannes _______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de