Mailverschlüsselung ...
Simwama (Sind wir einmal) ehrlich, Mails verschlüsseln ist mit GPG und aktueller Software sehr leicht.
Am "Web of Trust" teilzunehmen, ist für einen Durchschnittsnutzer immer noch zu komplex. Ärgerlicherweise hat sich an der Komplexität in den letzten knapp 20 Jahren auch nicht wirklich etwas geändert.
Im "Web of Trust" werden Vertrauenspfade aufgebaut, die mir als Nutzer bestätigen, dass der öffentliche Schlüssel, den ich von einem Kommunikationspartner bekommen habe, wirklich der Person gehört und von niemandem "in der Mitte" kompromittiert wurde. Um diese Identitäten zu bestätigen, werden Keysgining-Parties gehalten, in der die Ausweise kontrolliert werden und die Schlüssel später bestätigt (signiert) werden.
Damit bekommen Telefonbücher aka Keyserver ihren Sinn.
Wie kann man das leichter machen? Offizielle Anlaufstellen für das signieren von Schlüsseln? Post? Banken? Einwohnermeldeämter?
Am "Web of Trust" teilzunehmen, ist für einen Durchschnittsnutzer immer noch zu komplex. Ärgerlicherweise hat sich an der Komplexität in den letzten knapp 20 Jahren auch nicht wirklich etwas geändert.
Im "Web of Trust" werden Vertrauenspfade aufgebaut, die mir als Nutzer bestätigen, dass der öffentliche Schlüssel, den ich von einem Kommunikationspartner bekommen habe, wirklich der Person gehört und von niemandem "in der Mitte" kompromittiert wurde. Um diese Identitäten zu bestätigen, werden Keysgining-Parties gehalten, in der die Ausweise kontrolliert werden und die Schlüssel später bestätigt (signiert) werden.
Damit bekommen Telefonbücher aka Keyserver ihren Sinn.
Wie kann man das leichter machen? Offizielle Anlaufstellen für das signieren von Schlüsseln? Post? Banken? Einwohnermeldeämter?
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
-thh am :
Nein, im Ernst: Wenn man sich auch und gerade gegen staatliche Akteure schützen will, ist persönliches Vertrauen die einzige Möglichkeit der Validierung. Aufwendig, aber wer das braucht, dem sollte es der Aufwand wert sein.
Dirk Deimeke am :
Wenn ich mit Dir verschlüsselt kommunizieren möchte, sollte ich das auch können, ohne, dass wir uns persönlich kennenlernen.
Viele "Briefbekanntschaften" werden über das Internet geschlossen und funktionieren ausschliesslich dort. Das ist auch in Ordnung und eine schöne Sache.
-thh am :
Quasi-staatliche Stellen für Verschlüsselung einzuspannen, mit der man sich gerade gegen den Staat schützen will, macht aber wenig Sinn.
Dirk Deimeke am :
Allerdings ist der Punkt, dass zumindest auf dem Papier noch eine Unschuldsvermutung gilt und ich finde es geht niemanden etwas an, was ich schreibe.
Was passiert, wenn meine Korrespondenz das "Muster für Terrorismus" erfüllt, mag ich mir gar nicht ausmalen.
Dass es aus diesem Grund eine schlechte Idee ist, dass der Staat die Private Keys erstellt, sollte klar sein, aber signieren sollte er können.
Matthias Mees am :
Und genau da wäre es doch interessant – wie oft schicken mir z.B. Kunden durchaus sensible Daten per E-Mail, weil es einfach ist und schnell geht. Verschlüsselt? Niemals.
Was die Validierung angeht, bin ich ganz bei Dir, Dirk: Das muss ohne Kontakt von Angesicht zu Angesicht gehen, ansonsten ist es heutzutage aussichtslos.
Dave am :
Die Idee hinter einem Web of Trust ist übrigens, dass man einige wenige Leute persönlich kennt, die kennen wieder andere und die kennen dann deinen neuen Online-Freund.
Den Ersatz durch eine zentrale Signierungsinstanz will man dabei gerade *nicht*. Das wäre nämlich Zertifikatsverschlüsselung, die gibts schon. Siehe auch https://en.wikipedia.org/wiki/Web_of_trust
Im Übrigen bin ich der Meinung, dass es in Ordnung ist, wenn Leute sich nicht mit etwas beschäftigen wollen. Dann brauchen die aber auch nicht jammern.
Dirk Deimeke am :
Verschlüsselung muss der Default sein und so einfach, dass man sich keine Gedanken mehr darüber machen muss.
Die Idee hinter dem "Web of Trust" ist super, aber nicht für Durchschnittsuser machbar. Zu denen zählen auch die Eltern- und Grosselterngenerationen.
Und selbst mit einem funktionierenden "Web of Trust" kann man sich vielfältig ins Knie schiessen, in dem man (als ein Beispiel unter vielen) die verschlüsselt herausgehenden Mails bei sich selber unverschlüsselt ablegt. Sobald der eigene Rechner kompromittiert wird, liegt auch die Kommunikation offen.
Sicherheit im Sinne von Vertraulichkeit ist noch nicht einfach zu haben.
Dave am :
Das WoT hat genau gar nichts damit zu tun, ob Du Mails verschlüsselst oder nicht. Das bezieht sich nur darauf, ob Du der Aussage des Absenders "Ich bin John Doe" glauben willst oder nicht Das macht also für Deine Sicherheit i.S.v. Vertraulichkeit keinen Unterschied.
Dirk Deimeke am :
Dirk Deimeke am :
Die Installation eines Plugins und das Klicken auf "encrypt", gefolgt von der Aufforderung ein Passwort einzugeben, ist einfach.
Schwierig ist die Infrastruktur von PGP / GPG und damit das "Web of Trust". PGP / GPG sind eine Möglichkeit zu verschlüsseln, aber lange nicht die einzige.
Matthias Mees am :
Dirk Deimeke am :
Wie geschrieben, das Verschlüsseln an sich ist keine grosse Tat. Es wird aber trotzdem nicht genutzt.
Matthias Mees am :
Und genau da beisst sich die Katze meines Erachtens in den Schwanz.
Dirk Deimeke am :
Das deckt sich mit meiner Aussage, dass es selbst die nicht nutzen, die es können.
Stefan Betz am :
Dirk Deimeke am :
Thomas am :
Thomas am :
Dirk Deimeke am :
Dirk Deimeke am :