Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Nicht PGP ist gescheitert, die Entwickler haben versagt

Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"

Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"

/images/2017/privacyStatus.png
Im aktuellen Linux Magazin 06/2017 ist ein Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist". Mein Leserbrief dazu:
Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein. Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als 0,0,1% der Leute 99,3%.
Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt "Web of trust" und eine Oberfläche, die den Benutzer nicht stört. pretty Easy ürivacy (p≡p) zeigt wie das gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine "sichere" Signatur unter einer Mail?
Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein, wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind solche Attitüden und Forderungen, die den Nutzern PGP vergällen!
Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die hohen Rösser der Adepten gehören geschlachtet.
Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So werden die Anforderungen von Unternehmen in den gleichen Topf geworfen wie die von Privatpersonen. In Unternehmen gibt es keine  "privaten" Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen Schlüssel prüfen. Die im Artikel als Alternative empfohlenen PGP-Mail-Gateways machen ja genau das.
Auch bei Chat ist der Artikel nicht auf dem Stand der Zeit: seit ca. einem Jahr gibt es mit OMEMO eine Implementierung des Signal-Protokolls für XMPP. Das umständliche und unflexible OTR ist damit obsolet.