[Gpg4win-users-de] gpg4win 2.0 "Karten-Zertifikat Lernen"

Gernot Schmied gernot.schmied at chello.at
Di Aug 18 13:12:02 CEST 2009 

Am Dienstag, den 18.08.2009, 11:33 +0200 schrieb Bernhard Reiter:
> Hallo Gernot,
> 
> Am Dienstag, 18. August 2009 10:32:38 schrieb Gernot Schmied:
> > > Eine Abfrage und einen Importierdialog ist leider trotzdem noch Arbeit,
> > > wir müssten beispielsweise die Fälle bedenken, in denen das ein- oder
> > > andere nicht funktioniert und entsprechend behandeln. Und von dieser Art
> > > Arbeit haben wir eine zweilstellige Anzahl von Dingen, und wir müssen
> > > halt immer entscheiden, was wir zuerst machen. Ich erkläre das deshalb so
> > > ausführlich, weil Gpg4win 2 ein umfrangreiches Produkt ist und wir unsere
> > > Zeit mit maximalen Nutzen für Nutzer einbringen möchten, darum müssen wir
> > > mit Euch/Ihnen darüber reden.
> >
> > Ich kritisiere hier weniger die Software-Design Entscheidungen als die
> > Überlegungen dahinter und die mir nicht nachvollziehbare Priorisierung.
> > Wir haben kein Akzeptanzproblem von X.509, wohl aber von OpenPGP, die
> > Verbreitung abgesehen von "Liebhabern" ist zumindest im Corporate
> > Bereich non-existent und wenn dann via pgp.com Produkte, nicht zuletzt
> > auch ob des weltweiten key-server Abgleichs- & Houskeeping Chaos'.
> 
> allgemein scheint mir Ende-zu-Ende Verschlüsselung per Email zu wenig 
> verbreitet zu sein. Unser übergeordnetes Ziel ist, mehr Nutzer in die Lage zu 
> versetzten überhaupt S/MIME oder OpenPGP zu verwenden. Ich bin überzeugt:  
> Gpg4win 2 bringt uns da einen großen Schritt weiter.

Das war meiner Meinung nach auch nie ein Problem, zumindest mit den
gängigen mail Plattformen geht das seit Jahr und Tag, zumindest unter
Linux (kmail, evolution, sylphede, thunderbird).

> 
> OpenPGP Karten mit GnuPG werden übrigens durchaus in Unternehmen eingesetzt,
> laut Werner Koch. Könnte natürlich mehr sein, ganz klar.

Das hat viele Gründe. Der Hauptgrund ist wohl die rechtliche Ausgrenzung
von PGP, die gesamte EU-Signaturgesetzgebung zielt auf X.509 ab, der Zug
ist somit abgefahren und es gibt keine unternehmerischen incentives für
Kartendeployments, abgesehen davon deckt das pgp.com uneinholbar ab mit
einer durchaus gelungenen Hypridarchitektur aus X.509 und OpenPGP.
Der Durchbruch wäre ne sign-on Integration in Gnome/KDE samt Karten.
> 
> > Ich würde mir entlich mal eine saubere, stabile und umfassende Lösung nur
> > für OpenPGP wünschen (Web of Trust Visualisierung, Keysigning-Party
> > support, Adobe Plugin für PGP, Keycards, PAM-Integration,
> > Keyservermodul, etc.), ja im Prinzip alles schon da, nur nicht in einer
> > intuitiven Umgebung, muss man "nur" zusammenführen,
> 
> Das "nur" scheint mir ein Bündel von Projekten zu sein, wofür wohl ein 
> siebenstelliges Budget nötig wäre. 

Deswegen auch unter Anführungszeichen. Auch hier sollte man die Kirche
im Dorf lassen, das gibt's alles schon, nur die PGP-Community hat es nie
geschafft sich sinnvoll aufeinander abzustimmen, lauter Insellösungen
und Doppelgleisigkeiten. Wenn ich nur an die unterschiedlichen
keyringmanager denke wird mir schlecht, bis vor kurzer Zeit alle extrem
instabil. Imerhin kristallisieren sich für Gnome, KDE und Windows Winner
heraus, voila. Warum man dafür drei verschieden Ansätze geht bestätigt
meine obige Aussage.

> Aus meiner Erfahrung als Praktiker liegt 
> in dem Zusammenführen in einer intuitiven Umgebung ein Hauptteil der Arbeit.
> Wünschen kann ich mir das also auch nur, aber wir können beide ja daran 
> arbeiten einen Geldgeber für diese Wünsche zu finden. 

So funktioniert das nicht, es gibt keinen business case dafür. Erst muss
die Nachfrage durch freie Software vorhanden sein, dann kann man über
Finanzierung reden. Das wiederum bedeutet Benutzerfreundlichkeit,
Rechtssicherheit und Use cases. Ich gebe dir schon recht, dass
email-Transportsicherung der Hauptanwendungsbereich ist, aber der
alleine ist zu wenig, wäre doch cool, wenn man PGP zusammen mit
truecrypt verwenden könnte, oder für PFD Signaturen oder OS sign-on. Der
business case liegt im Zusammenwirken mehrerer use cases!

> 
> > aber man sollte 
> > schon einmal Klarheit schaffen wohin die Reise gehen soll.
> 
> Das klingt mir zu sehr nach einem Wasserfallplanungsmodell, mein Ansatz ist 
> mehr zu schauen, welche nächsten Schritt sinnvoll sind und diese dann zu 
> gehen. Also in der nächsten Runde auch wieder etwas anderes zu erweitern, auf 
> Grund der gewonnenen Erfahrungen - also Anpassung an die Situation.
> Auch brauchen wir Wahlmöglichkeiten und Vielfalt, wenn uns die Erfahrung 
> fehlt, um auf Entwicklungen reagieren zu können.

Bin kein Fan dieses Ansatzes "we cross the bridge when we reach it",
verursacht nur Henne-Ei Probleme: Die Benutze wissen nicht wohin es geht
und die Entwickler haben eigenwillige Vorstellungen von dem was
nachgefragt und sinnvoll ist. In unserem Fall definieren die Features
die Akzeptanz.

Gruß,
Gernot

Mehr Informationen über die Mailingliste Gpg4win-users-de