Public PGP Key

In verdorbenen Zeiten wie diesen soll keiner sagen können, dass keiner was tut, daher fängt man am besten bei sich selber an und wer seine Mailkorrespondenz gesichert an mich richten möchte kann das gerne tun. Links zum aktuellen Public PGP Key von mir findet man nun in meinen Mail- und Forensignaturen. Aber Achtung: Züge sollten nicht verschlüsselt werden, da eventuelle, serverseitige Auswertung sonst Probleme machen könnten.

Prima, aber das (HTTP URL) ist die falsche Methode, um Deinen PGP-Key zu publizieren. Wenn Du selber keinen Server mit SSL hast, kannst Du Dir z.B. mit Twitter behelfen: https://jacob.hoffman-andrews.com/READM ... itter-bio/

Wäre der Weg über einen Keyserver besser? Ein echter Sicherheitsabgleich wäre sowieso doch nur telefonisch per Fingerprint möglich, bzw. direkte Übergabe per USB-Stick um maximales Vertrauen zu ermöglichen. Aber interessant gerade Twitter dafür herzuhalten...

USB-Stick, örks.

Ich mag ja die Idee eines Web-of-trust. Dazu bräuchte man aber möglichst viele oder weniger, aber größere, Keysigning-Partys oder ähnliches, wo tatsächlich eine Identität (mit Ausweis mit Foto) mit einem Fingerprint in Verbindung gebracht wird und man das mittels einer Unterschrift unter den entsprechenden Key bestätigt.

Ich denke nur die Erhöhung des verschlüsselten Mailaufkommen wäre schon ein Zugewinn, selbst wenn der minimal bleibt. Wer wirklich plant New York zu sprengen sollte den PGP persönlich übergeben und auf einen offline Rechner den Masterkey vorhalten. Wegen der Metadaten dann aber auch ohnehin nicht mailen. Letztendlich sind die PGP-Lösungen auch zu kompliziert, wobei GPG4WIN mit Kleopatra schon ein netter Ansatz ist. Schön gemacht hat es hingegen den Messanger Threema. Der 08/15 User bekommt von der Verschlüsselung nicht mal mehr was mit.

Wäre der Weg über einen Keyserver besser? Ein echter Sicherheitsabgleich wäre sowieso doch nur telefonisch per Fingerprint möglich, bzw. direkte Übergabe per USB-Stick um maximales Vertrauen zu ermöglichen. Aber interessant gerade Twitter dafür herzuhalten...

Da habe ich schon einen Artikel dazu verlinkt, und dann ist das immer noch unklar? Zitat:

There is a network of keyservers to which anyone can upload a PGP key with any email address. The hard part is, once you’ve retrieved a key, verifying whether it was the right one or a fake. A fake could be inserted at the keyservers, or it could be inserted in real time when you fetch the key, by a system like QuantumInject.

Mit anderen Worten: eigentlich ist Keyserver schon ganz in Ordnung, aber es besteht immer noch die Chance, dass da jemand einen public key eingeschleust hat, der auf den gleichen Fingerprint passt. Aber das eigentliche Problem ist, dass ich deinen Fingerprint nicht kenne. Dass der hier im Forum in deiner Signature steht, bedeutet gar nichts. Das kann an beliebiger Stelle modifiziert worden sein: Der HTTP-Traffic kann irgendwo zwishen wo-der-server-steht und bei mir in Kalifornien verändert werden, oder mein Browser hat einen Trojaner, oder deine Webseite (hier sind ja überall Werbebanner und andere Inhalte, denen ich nicht vertrauen wuerde), oder... die Liste ist ziemlich lang. Den Fingerprint auf einem Server zu hinterlegen, der HTTPS spricht, möglichst bei einem Dienst, dem wir vertrauen (das könnte auch dein privater Server sein), waere der richtige Weg. Dass ich mich entschieden habe, den bei Twitter zu hinterlegen, ist eher eine Notlösung. Ich habe keinen Server mit HTTPS-Zertifikat, dem jemand vertrauen sollte, und der Firma Twitter muss man dann halt vertrauen, aber man hat immerhin HTTPS, was bedeutet das zumindest auf dem Weg zwischen denen und dem Leser keine Änderungen passieren.

Wenn Leute sagen, dass Verschlüsselung zu kompliziert ist, und die ganze Software für Laien unverständlich gemacht wurde, dann meint das in Wirklichkeit nur, dass Kryptografie nicht einfach ist. Der Teufel ist ein Eichhörnchen, wie man im Deutschen sagt.