<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Guten Morgen zusammen,<br>
    <br>
    Am 06.02.2015 um 08:59 schrieb Bernhard Reiter:<br>
    <span style="white-space: pre;">> Guten Morgen Henning,<br>
      ><br>
      > On Tuesday 27 January 2015 at 10:27:57, Henning Mack wrote:<br>
      >>  Dem Benutzer zwei Optionen geben:<br>
      >><br>
      >>  1. Anfänger = gute Verschlüsselung<br>
      >>  2. Fortgeschritten = optimale Verschlüsselung<br>
      >><br>
      >>  Der Unterschied besteht nur darin, was mit dem Privaten
      Schlüssel<br>
      >> passiert.<br>
      >><br>
      >>  zu 1.: Beide Schlüssel ähnlich wie bei Boxcryptor (und
      wahrscheinlich<br>
      >> damals auch Lavabit) auf dem Server gespeichert. zu 2.:
      Privater Schlüssel<br>
      >> nicht auf dem Server gespeichert<br>
      ><br>
      > sofern der Server Zugriff auf die privaten Schlüssel hat,<br>
      > handelt es sich ja nicht mehr um Ende-zu-Ende
      Verschlüsselung.<br>
      > Ein Angreifer kann dann den Server knacken oder gerichtlich
      darauf zugreifen <br>
      > und hätte dann die Schlüssel. </span><br>
    Ich weiss, ich brainstorme derzeit nur über den ersten Einstieg. Aus
    meiner Sicht war Whatsapp nur so erfolgreich, weil man nur
    installieren musste und keine zusätzlichen IDs von seinen Bekannten
    erfragen musste, sondern es war halt die Telefonnummer, die hatte
    man sowieso. Beim Verschlüsseln muss es also meiner Meinung nach
    genauso gehen, d.h. installieren und fertig. Das war der
    Hintergedanke hier.<br>
    <span style="white-space: pre;">><br>
      ><br>
      > Die bekannt gewordenen Überwachungsmethoden von NSA und GCHQ,
      teilweise<br>
      > mit Unterstützung des BND, würden von der ersten Variante nur
      wenig <br>
      > abgehalten.<br>
      ><br>
      > Grundsätzlich gebe ich Dir Recht, dass wir erst
      Einstiegsstufen brauchen,<br>
      > damit die Nutzer ein erstes, aber besseres Sicherheitsniveau
      erreichen können.<br>
      > Der Steed Vorschlag von Werner Koch und Markus Brinkmann
      zielt genau in diese <br>
      > Richtung: er vermeidet für den Anfang das Benutzen des
      Web-of-Trust.<br>
      ><br>
      >>  Wenn jemand die Variante 1 benutzt, dann muss das beim
      Versenden bzw.<br>
      >> Empfang irgendwie kenntlich sein, also wenn man eine Mail
      von einem Typ 1<br>
      >> erhält bzw. an einen Typ 1 Empfänger sendet.<br>
      ><br>
      > Da ist mir nicht klar, was diese Information helfen sollte.
      Sofern ich das <br>
      > einfach wissen möchte, müsste ich es überprüfen können. Aber
      wie ein <br>
      > Kommunikationspartner seinen privaten Schlüssel schützt, kann
      ich nicht <br>
      > überprüfen.</span><br>
    Das wäre eine reine Einstellung in der APP, wenn der Nutzer die
    Variante 1 nutzt, dann müssten man diesen irgendwie taggen, sobald
    er zur Variante 2 wechselt, muss ein neuer Schlüssel erstellt
    werden.<br>
    <span style="white-space: pre;">><br>
      ><br>
      >>  Für Mobilgeräte würde ich den privaten Schlüssel als
      QR-Code anbieten, das<br>
      >> ginge am einfachsten, alles andere zieht man sich vom
      Server. Mit der<br>
      >> QR-Code Variante kann man auch schnell mal eine
      Datensicherung machen,<br>
      >> indem man sich die einfach ausdruckt.<br>
      ><br>
      > Als Komfortvariante wäre die Sicherung des privaten
      Zertifikats (Schlüssel)<br>
      > per qr-Code nett. Der Wunsch ist schon mal aufgekommen, dass
      in Gpg4win <br>
      > einzubauen.<br>
      ><br>
      >>  Finanzieren würde ich das, wie gesagt, über die Mobilen
      APPs, da hier die<br>
      >> Zahlungsbereitschaft was höher ist.<br>
      ><br>
      > Das Problem ist: Wir müssten dazu erstmal vernünftige Mobile
      Applicationen <br>
      > entwickeln. Das machen die Hersteller einem nicht ganz
      leicht. Für Android <br>
      > gibt es schon einen GnuPG Port (Guardian Project) Link steht
      im <br>
      > wiki.gnupg.org.</span><br>
    Ich kenne die Variante vom Guardian Project, allerding habe ich
    nicht verstanden, wie die funktioniert, da diese bei meiner letzten
    Installation mit keinem E-Mail client funktioniert und ich habe auch
    keine Anleitung gefunden, die APP ist nicht sonderlich
    selbsterklärend. Damit die Verschlüsselung richtig Verbreitung
    findet, muss meiner Meinung nach eine Art Suite her, die Windows,
    MAC, (Linux), Android, iPhone und Windows phone abdeckt und sehr
    einfach zu bedienen ist.<br>
    <span style="white-space: pre;">><br>
      ><br>
      > Gruß,<br>
      > Bernhard<br>
      ><br>
      ><br>
      ><br>
      > _______________________________________________<br>
      > Gpg4win-users-de mailing list<br>
      > <a class="moz-txt-link-abbreviated" href="mailto:Gpg4win-users-de@wald.intevation.org">Gpg4win-users-de@wald.intevation.org</a><br>
      >
<a class="moz-txt-link-freetext" href="https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-de">https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-de</a></span><br>
    <br>
    <br>
  </body>
</html>