Nicht PGP ist gescheitert, die Entwickler haben versagt
Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"
Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"
Im aktuellen Linux Magazin
06/2017 ist ein
Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation
gescheitert ist". Mein Leserbrief dazu:
Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie
haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche
Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen
Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon
keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein.
Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die
allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn
für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als
0,0,1% der Leute 99,3%.
Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt
"Web of trust" und eine Oberfläche, die den Benutzer nicht stört.
pretty Easy ürivacy (p≡p) zeigt wie das
gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit
ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine
"sichere" Signatur unter einer Mail?
Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein,
wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich
den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer
Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind
solche Attitüden und Forderungen, die den Nutzern PGP vergällen!
Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die
hohen Rösser der Adepten gehören geschlachtet.
Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So
werden die Anforderungen von Unternehmen in den gleichen Topf geworfen
wie die von Privatpersonen. In Unternehmen gibt es keine "privaten"
Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im
Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels
auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter
ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen
Schlüssel prüfen. Die im Artikel als Alternative empfohlenen
PGP-Mail-Gateways machen ja genau das.