nakal
Anfänger
In welchem Paralleluniversum soll das funktionieren?
Ich habe hier die Frage gestellt wo es schwierig ist. Ich habe meiner Frau auf dem Laptop auch PGP mit 1 Klick eingerichtet und jetzt nutzt sie das. Ich habe ihr erklärt, warum sie ein Passwort eintippen muss (weil sie damit die E-Mail signiert und als ihre eigene ausgibt). Sie hat's verstanden und ich habe seit 2 Jahren nichts mehr von gehört.
Sicherheit ist keine boolsche Algebra. Die Sicherheit der Vertrauenskette von PGP nimmt mit zunehmender Entfernung rapide ab und landet schnell hinter CAs.
Erstmal: eine CA hat überhaupt kein Vertrauen von mir. Wo bitteschön landet $IRGENDETWAS hinter einer CA? Ich kenne da keinen, der sich gegenüber mir ausweist und ich kann die Leute in einer CA nicht einschätzen, ob sie ihre Arbeit vernünftig tun.
Das Vertrauensnetz skaliert nur leider nicht, wie auch Tronar festgestellt hat.
Wenn ich die Wahl habe, einer Vertrauenskette mit 42 Stationen zwischen mir und dem Empfänger meiner Mail zu vertrauen oder einer CA, fällt die Wahl nicht schwer.
Nein. Tronar hat festgestellt, dass PGP mehr kann als S/MIME. Man kann mit PGP einen dedizierten Nutzer ebenfalls symbolisch erstellen, der vernünftig signiert also eine CA. Siehe Linux-Distributionen und Keyrings. Siehe heise-PGP-Initiative. Dir bleibt es überlassen, ob Du solchen Leuten vertraust.
Was redest Du für einen Quatsch mit 42 Stationen? Das zeigt doch, dass Du PGP praktisch gar nicht eingesetzt hast.
Verlasse mal für einen Augenblick das einfache Problem der verschlüsselten Kommunikation im persönlichen Umfeld, das sich mit PGP noch erschlagen lässt.
Ich habe Dir doch gesagt, dass ich das so persönlich nutze.
Wie wickelst Du mit PGP das Bedürfnis nach verschlüsselter Kommunikation zwischen zwei Konzernen ab?
Mein Konzern empfängt Sicherheitsnotizen von OS-Herstellern. Diese sind stets signiert und werden verifiziert. Und schon habe ich Sicherheit in Form von Integrität.
PGP ist vielfältig und ich kann verschlüsselte Kommunikation zwischen Konzernen organisieren, wenn es nötig ist.
S/MIME löst ein Problem - wenn auch nicht perfekt -, das PGP gar nicht löst.
S/MIME macht mehr Probleme als es löst, durch die Einschränkung auf CAs und der Auslagerung des Vertrauens auf andere.
"Wenn Herr Müller, den ich persönlich nicht kenne, Herr Schulz traut, dann muss ich ja auch Herr Schulz trauen." Was ist das denn für eine Vertrauensrelation?! Im Beklopptenland kann das ja akzeptabel sein, aber nicht in sicheren Umgebungen!
Dafür betreibt man Risikomanagement. Außerhalb des unmittelbaren Umfelds sind CAs immer noch sicherer als eine lange Vertrauenskette, wie sie bei PGP unvermeidbar wäre.
Nein. Sind sie nicht (siehe die ganzen google.com-Zertifikate, die herumschwirren und akzeptiert wurden). Außerdem gibt es kaum tatsächlich Unterstützung für Revocation Lists, welche essentiell für Sicherheit sind.
Leider gehst Du nicht auf das eigentliche Problem ein.
Das Problem ist, dass PGP nur im unmittelbaren, IT-affinen Umfeld funktioniert und im Unternehmenseinsatz praktisch unbekannt ist.
PGP ist, wie schon gesagt, eine Lösung die korrekt funktioniert. Bei S/MIME und SSL ist das ganze ein großer Mist.
Hervorragende Idee! Wir setzen also ab sofort PGP ein.
Morgen früh schicke ich eine Mail an einen Kunden, der leider kein PGP einsetzt und auch nicht einsetzen wird, weil er aus juristischen Gründen alle E-Mails in einem lesbaren Format archivieren muss.
Der Kunde kann ja selbst entschlüsseln und archivieren. Wo ist das Problem? Der Weg der Übermittlung ist zu schützen, vor allem vor Leuten die Fälschungen verbreiten und andere impersonieren.
Wie kriege ich jetzt noch gleich mit PGP meine Kommunikation verschlüsselt?
Indem Du auf "diese E-Mail verschlüsseln" klickst? Ist das vielleicht auch zu kompliziert?
Leider können sich viele von uns nicht der Illusion hingeben, wir könnten PGP in die Welt hinaustragen und würden mit offenen Armen empfangen werden.
Viele von uns müssen uns mit realen Problemen herumschlagen, und wenn sich diese Probleme mit PGP nicht lösen lassen, kommt eben ein anderes Tool zum Einsatz. Man muss S/MIME und CAs nicht lieben, aber es ist eben in vielen Fällen das Mittel der Wahl.
Ich habe Dir doch gesagt, ich habe kein Interesse das zu verbreiten. Ich habe das für mich persönlich im Einsatz als die einzige praktikable Option.
Zwischen "einfach" und "unbenutzbar schwierig" gibt es leider noch die Kategorie "für normale Anwender zu kompliziert".
Warte immer noch auf Konkretes.
Nachdem wir hier fast alle der Meinung sind, es ist für normale Anwender zu schwierig, werden die Anwender von der Komplexität der Materie wohl einfach erschlagen und streichen die Segel.
Klar. Ich kann mich ebenfalls querstellen und sagen, dass Fahrradfahren zu schwierig ist, weil ich nicht weiß wie die Schlosskombination ist. Dann gibt mir jemand ein Zettel mit einer PIN... dann schlage ich ihm diesen wütend aus der Hand und sage "Das muss auch ohne solche Zettel gehen!!".
Wie bekloppt ist das? Es gibt nichts auf der Welt was man nicht zuerst lernen muss.