Ich weiß überhaupt nicht wo die Probleme für Euch bei PGP sind. Es wird immer gesagt, es sei schwierig, aber nie konkret ein Problem genannt. Was ist denn nun Euer konkretes Problem mit PGP bezüglich der tiefen unglaublichen IT-Experten-Kenntnisse, die man dazu haben muss?
Wir (d.h. die Forumsteilnehmer) haben kein Problem damit.
Aber Otto Normalverbraucher, der nicht einmal das Verschlüsselungssymbol für HTTPS im Browser interpretieren kann, soll jetzt auf einmal Kryptographie, PKI, Vertrauensnetz und den ganzen Rest verstehen, anwenden und Grenzfälle korrekt beurteilen?
In welchem Paralleluniversum soll das funktionieren?
Sicher kann man bei S/MIME selbst eine CA betreiben und das wäre sicherlich eine viel sicherere Variante, als sich von einer wildfremden (und womöglich auch noch kaputten) CA betreuen zu lassen.
Sicherheit ist keine boolsche Algebra. Die Sicherheit der Vertrauenskette von PGP nimmt mit zunehmender Entfernung rapide ab und landet schnell hinter CAs.
Aber damit schafft man Zersplitterung in kleine Trust-Gruppen und die Unterstützung des Vertrauensnetzes wie bei PGP gibt es da nicht, welches das PGP-System zu einem ähnlichen System wie einem sozialen Netz macht.
Das Vertrauensnetz skaliert nur leider nicht, wie auch
Tronar festgestellt hat.
Wenn ich die Wahl habe, einer Vertrauenskette mit 42 Stationen zwischen mir und dem Empfänger meiner Mail zu vertrauen oder einer CA, fällt die Wahl nicht schwer.
Zweitens, nicht eine CA entscheidet wer vertrauenswürdig ist, sondern ich persönlich.
Verlasse mal für einen Augenblick das einfache Problem der verschlüsselten Kommunikation im persönlichen Umfeld, das sich mit PGP noch erschlagen lässt.
Wie wickelst Du mit PGP das Bedürfnis nach verschlüsselter Kommunikation zwischen zwei Konzernen ab?
Ich muss also logischerweise meine eigene CA sein. S/MIME verleitet dazu das Vertrauensproblem unsicher zu machen, indem es das Problem bagatellisiert. Saugefährlich ist das!
S/MIME löst ein Problem - wenn auch nicht perfekt -, das PGP gar nicht löst.
Ich wurde schon früher mal ausgelacht und niemand hat mir damals geglaubt, dass die Zeit kommt, wo CAs nicht vertrauenswürdig sind. Dieser Punkt ist jetzt abgehakt und keiner lacht mehr nach den ganzen CA-Hacks in jüngster Vergangenheit.
Dafür betreibt man Risikomanagement. Außerhalb des unmittelbaren Umfelds sind CAs immer noch sicherer als eine lange Vertrauenskette, wie sie bei PGP unvermeidbar wäre.
Natürlich braucht ihr PGP nicht, wenn ihr nicht E-Mails verschlüsseln wollt.
Bitte keine Unterstellungen. Wir wollen unsere E-Mails verschlüsseln.
Keiner zwingt Euch dazu (um Gottes Willen!). Das ist meine persönliche Vorsichtsmaßnahme. Ich möchte nicht in 10 Jahren erfahren, dass jemand meine privaten E-Mails von einem Konto abgezwackt hat und irgendwo veröffentlicht hat, um mich bloßzustellen.
Leider gehst Du nicht auf das eigentliche Problem ein.
Das Problem ist, dass PGP nur im unmittelbaren, IT-affinen Umfeld funktioniert und im Unternehmenseinsatz praktisch unbekannt ist.
Da ist man besser bedient, wenn man nicht zu viel Intimes von sich gibt.
Das gilt unabhängig von PGP und vom Kommunikationsmedium.
Was ihr macht, ist wie gesagt mir persönlich total egal. Ich will ja, dass Ihr auf die Schnauze fliegt, denn aus Fehlern werden am schnellsten richtige Entscheidungen gefasst. Da regelt sich alles von selbst irgendwann.
Hervorragende Idee! Wir setzen also ab sofort PGP ein.
Morgen früh schicke ich eine Mail an einen Kunden, der leider kein PGP einsetzt und auch nicht einsetzen wird, weil er aus juristischen Gründen alle E-Mails in einem lesbaren Format archivieren muss.
Wie kriege ich jetzt noch gleich mit PGP meine Kommunikation verschlüsselt?
Leider können sich viele von uns nicht der Illusion hingeben, wir könnten PGP in die Welt hinaustragen und würden mit offenen Armen empfangen werden.
Viele von uns müssen uns mit realen Problemen herumschlagen, und wenn sich diese Probleme mit PGP nicht lösen lassen, kommt eben ein anderes Tool zum Einsatz. Man muss S/MIME und CAs nicht lieben, aber es ist eben in vielen Fällen das Mittel der Wahl.
Was ich nur stets sage ist, dass PGP einfach ist und dabei bleibe ich, bis mir konkrete Probleme aufgezählt werden, die PGP als unbenutzbar schwierig darstellen.
Zwischen "einfach" und "unbenutzbar schwierig" gibt es leider noch die Kategorie "für normale Anwender zu kompliziert".
Ich wiederhole noch einmal: es hat noch nie jemand dazu etwas konkretes gesagt. Immer nur "Ich habe darüber zwar nicht gelesen, aber ich weiß, dass es schwierig ist". Und so eine Aussage hinterlässt bei mir einen Eindruck, mit Bekloppten zu tun zu haben.
Nachdem wir hier fast alle der Meinung sind, es ist für normale Anwender zu schwierig, werden die Anwender von der Komplexität der Materie wohl einfach erschlagen und streichen die Segel.
Uns würde nach wie vor interessieren, wie Du mit PGP die angesprochen Aufgaben (z.B.
lockdocs Frage) lösen würdest. Diesbezüglich kam von Deiner Seite bisher gar nichts.
