[Gpg4win-users-de] Vision und "User Stories" (Re: Public tender "EasyGpg", BSI Germany)

Henning Mack henning at mack-mc.de
Mi Mai 4 11:46:31 CEST 2016


Moin Bernhard,

danke für die Info. Ich habe mir die letzten Wochen nochmal "Threema"
angeschaut und parallel das, was Whatsapp gemacht hat, wohlwissend, dass
dies geschlossene Systeme sind und es dort viel einfacher ist. Ich
stelle mir das Szenarion für die nicht technikaffinen so vor:

Werbung für Encryption: Sobald jemand ein Modul installiert hat, welches
verschlüsselt, dann gibts in der mail eine Autosignatur mit z.B. "ich
verschlüssel meine E-Mails, mach bitte mit und installiert www......".
Das ist jetzt ein Beispiel, der Satz muss natürlich etwas harscher und
emotionaler klingen.

Ablauf visuell z.B. in Thunderbird: Dicke farbliche Anzeige, ähnlich
Threema: ROT = böse unverschlüsselt, GELB = eigentlich verschlüsselt,
gibt aber ein Problem (z.B. Schlüssel sehr alt oder Quelle fraglich),
GRÜN = alles sicher. Gleiches gilt dann für andere Clients, damit eine
"unique user experience" gegeben ist.

Die Schlüssel würde ich rein logisch (=public keys) ins Adressbuch
stopfen. Ob das gefährlich ist für den Fall, dass man auf dem Handy
diese dann evtl. unbeabsichtigt auch direkt Google und Co zur Verfügung
stellt, da bin ich überfragt.

Wenn der Neuling sich die "sicheren E-Mails" installiert, muss das aus
meiner Sicht so ablaufen:

1. Lad dir xy runter

2. Installier xy

3. Starte den Einrichtungsprozess (wie immer, wenn ganz neu, dann wird
alles erstellt, wenn nicht, dann bitte existierende keys importieren)

Alles neu Prozess

4. Höchste Sicherheitseinstelungen vorkonfiguriert (z.B. 4kbit
Schlüssellänge)

5. Schlüssel werden automatisch erstellt, es muss lediglich die E-Mail
Adresse und Name eingegeben werden

6. Automatische Gültigkeitsbeschränkung

7. Das mit dem Passwort ist die große Frage, ich würde es irgendwie
weglassen wollen und nur als Option anbieten für die, die es wirkich
sicher wollen. Ich habe bei meinen firmeninternen Cryptoneulingen immer
einige Herausforderungen mit dem Passwort für die Verschlüsselung, da
das Verständnis dafür erst über ein paar Tage wachsen muss, der Neuling
hat wahrscheinlich gar keine Betreuung.

8. Fertig + Bitte sichere dein Schlüsselpaar: Ich würde hier sogar etwas
zum audrucken anbieten, was man später wieder einscannen kann, z.B. auf
QR-Code basis.

9. Informiere deine Buddys = Mail an Gruppen möglich, z.b. die, die
schon verschlüsseln oder auch "xy zu verschlüsselten Mails einladen".

Im Grunde ist das ähnlich, wie es auf deinem Link steht, ich wollte nur
nochmal die unbedingt notwendige Einfachheit betonen, ähnlich Threema
und Co., also "runterladen, installieren, Wizard laufen lassen, fertig".
Die große Frage ist dann: Wie kriege ich das auf die Handys und Co
dieser Welt, ohne dass ich den private key über einen Server tausche?
Evtl. ging ein Device Look-up über einen Server, welcher dann eine
verschlüsselte Direktverbindung ende-zu-ende erzeugt für die
Übertragung. Manuelle Nerdvariante natürlich als Option (=per Hand Datei
übertragen).

Die Schlüsselverwaltung, zumindest aus Nutzersicht, im jeweiligen
Mailprogramm zu lassen reduziert auch die mögliche Verwirrung, das ist
bei mir in der Firma auch immer ein Thema. Am liebsten wollen die Leute
einfach einen Button drücken und dann ist die verschlüsselte
Kommunikation für die jeweiligen Empfänger eingerichtet.

Idee: Evtl. baut man, z.B. mit Powerpoint oder Libreoffice mal einen
grafischen Ablauf (man kann dort interaktiv Buttons klickbar machen als
UI Simulation), welchen man dann an ein paar nicht Technikern testet und
hat somit eine top-down usability Entwicklung.

Viele Grüße, Henning


Am 04.05.2016 um 10:25 schrieb Bernhard Reiter:
> Moin Henning,
>
> Am Donnerstag, 18. Februar 2016 09:15:04 schrieb Bernhard Reiter:
>> On Wednesday 17 February 2016 at 15:14:08, Henning Mack wrote:
>>>     Kann man sich in Puncto Spec beteiligen?
>>>     Wir nutzen jahrelang GPG (ca. seit 2004) in der Firma
>>>     und mir persönlich ist es seit 1999 ein Anliegen und ich würde gerne
>>>     ein paar Ideen einfließen lassen.
>> wir sind für Ideen und Mithilfe (Code, Dokumentation, Grafik, Finanzierung)
>> grundsätzlich immer offen und freuen uns darüber.
>>
>> In der Praxis ist es manchmal nicht ganz so einfach sich einzubringen.
>> Das hätten wir gern anders und arbeiten immer wieder dran. (Nicht alles
>> liegt aber in unserem Wirkungsbereich.) Du musst sicher etwas Zähigkeit und
>> Geduld mitbringen.
> von https://wiki.gnupg.org/EasyGpg2016
> erreichtst Du nun eine erste Übersicht für eine 
> Vision zukünftiger GnuPG Produkte 
> nach der Verbesserung durch den Auftrag
> inklusive einiger Archetypen und Nutzer "Stories".
>
> Schau doch mal drüber, wie gut passt das auf Deine Vorstellungen?
> Haben wir was Wesentliches noch nicht drin?
>
> Gruß,
> Bernhard
> ps.: Ich schicke das zusätzlich mal an gpg4win-users-de@ und gnupg-de at .
> Wenn wir auf Deutsch disktutieren möchten, schlage ich gnupg-de at gnupg.org
> für das Thema vor! Ihr seit alle eingeladen! ;)
>
>




Mehr Informationen über die Mailingliste Gpg4win-users-de