[Gpg4win-users-de] Einfache Verbreitung GPG beim Nutzer

Bernhard Reiter bernhard at intevation.de
Fr Feb 6 08:59:34 CET 2015


Guten Morgen Henning,

On Tuesday 27 January 2015 at 10:27:57, Henning Mack wrote:
>  Dem Benutzer zwei Optionen geben:
>
>  1. Anfänger = gute Verschlüsselung
>  2. Fortgeschritten = optimale Verschlüsselung
>
>  Der Unterschied besteht nur darin, was mit dem Privaten Schlüssel
> passiert.
>
>  zu 1.: Beide Schlüssel ähnlich wie bei Boxcryptor (und wahrscheinlich
> damals auch Lavabit) auf dem Server gespeichert. zu 2.: Privater Schlüssel
> nicht auf dem Server gespeichert

sofern der Server Zugriff auf die privaten Schlüssel hat,
handelt es sich ja nicht mehr um Ende-zu-Ende Verschlüsselung.
Ein Angreifer kann dann den Server knacken oder gerichtlich darauf zugreifen 
und hätte dann die Schlüssel. 

Die bekannt gewordenen Überwachungsmethoden von NSA und GCHQ, teilweise
mit Unterstützung des BND, würden von der ersten Variante nur wenig 
abgehalten.

Grundsätzlich gebe ich Dir Recht, dass wir erst Einstiegsstufen brauchen,
damit die Nutzer ein erstes, aber besseres Sicherheitsniveau erreichen können.
Der Steed Vorschlag von Werner Koch und Markus Brinkmann zielt genau in diese 
Richtung: er vermeidet für den Anfang das Benutzen des Web-of-Trust.

>  Wenn jemand die Variante 1 benutzt, dann muss das beim Versenden bzw.
> Empfang irgendwie kenntlich sein, also wenn man eine Mail von einem Typ 1
> erhält bzw. an einen Typ 1 Empfänger sendet.

Da ist mir nicht klar, was diese Information helfen sollte. Sofern ich das 
einfach wissen möchte, müsste ich es überprüfen können. Aber wie ein 
Kommunikationspartner seinen privaten Schlüssel schützt, kann ich nicht 
überprüfen.

>  Für Mobilgeräte würde ich den privaten Schlüssel als QR-Code anbieten, das
> ginge am einfachsten, alles andere zieht man sich vom Server. Mit der
> QR-Code Variante kann man auch schnell mal eine Datensicherung machen,
> indem man sich die einfach ausdruckt.

Als Komfortvariante wäre die Sicherung des privaten Zertifikats (Schlüssel)
per qr-Code nett. Der Wunsch ist schon mal aufgekommen, dass in Gpg4win 
einzubauen.

>  Finanzieren würde ich das, wie gesagt, über die Mobilen APPs, da hier die
> Zahlungsbereitschaft was höher ist.

Das Problem ist: Wir müssten dazu erstmal vernünftige Mobile Applicationen 
entwickeln. Das machen die Hersteller einem nicht ganz leicht. Für Android 
gibt es schon einen GnuPG Port (Guardian Project) Link steht im 
wiki.gnupg.org.

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20150206/c48ee0ae/attachment.sig>


Mehr Informationen über die Mailingliste Gpg4win-users-de