Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pretty Easy Privacy (Pep…

Ich habe alle Hoffnung aufgegeben

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich habe alle Hoffnung aufgegeben

    Autor: Lebenszeitvermeider 29.05.19 - 10:45

    Es gibt Leute, die haben PGP/GPG-Schlüssel auf ihrer Webseite, die nicht zu ihrer Person oder ihrer E-Mail-Adresse passen oder offenkundlich zu anderen Schlüsselpaaren gehören, als sie selbst zum Signieren einsetzen. Oder, sie sind abgelaufen. Ich denke dabei an IT-Redakteure bestimmter Verlage sowie einige Hyperkoryphäen, die bei jeder sich bietenden Gelegenheit ihre vermeintliche Expertise heraushängen lassen.

    ...und diese trostlosen Tropfe raunzen einen auch noch blöde an, weil SIE den Überblück über ihr Homepage-Gestrüpp verloren haben, oder, weil sie angeblich keinen Zugriff auf Verlagswebseiten haben. Dann muss man wohl mit den falschen Schlüsseln leben, scheinen die sich zu denken. Wen juckt's?

    Ach ja, der Artikel. Ein weiteres unbrauchbares Tool, PEP. Dem bestehenden Zustand ein bisschen Entropie hinzugeschüttet. Schlimmer wird es damit nur für wenige.

    Meiner Meinung nach sollte man endlich alte Bärte abschneiden und die Key-Server auf autoritativ umstellen, und zum Einreichen sollte man wenigstens seine E-Mail-Adresse verifzieren müssen.

  2. Re: Ich habe alle Hoffnung aufgegeben

    Autor: chefin 29.05.19 - 10:52

    Und schon kommt das nächste Problem.

    Wenn ich nicht mehr anonym verschlüseln kann, kann ich mir das verschlüseln doch sparen. Wenn ich aber anonym nutzen kann, ist es nicht möglich Trolle und destruktive Elemente auszusperren.

    Verschlüsselung in der breiten Masse kann nicht funktionieren. Grundelement von Verschlüsselung ist Vertrauen. Und Vertrauen funktioniert nur wenn man jemanden kennt. Und damit sinkt die Massentauglichkeit auf die Menge derer die ich sowieso kenne. Aber dann brauche ich kein PGP sondern nehme ein Passwort und AES.

  3. Re: Ich habe alle Hoffnung aufgegeben

    Autor: ErwinL 29.05.19 - 11:21

    Ja, der Artikel beschreibt die trostlose Situation bzgl. EMail-Verschlüsselung nicht wirklich.

    Obwohl dieses PEP schon eine der schlimmeren Entgleisungen ist, ist es in Bezug auf die Gesamtsituation nicht wirklich relevant.

    M.E. liegen die Probleme darin, dass es keinen Konsens gibt, was verschlüsselte EMail überhaupt leisten soll. Jeder Applikationsentwickler oder EMail-Anbieter hat da seine eigene Interpretation und gießt die in irgendwelche Applikationen. Im Prinzip fängt es schon damit an, dass es noch nicht mal eine gefestigte Sprachregelung zu den Kernbegriffen der Verschlüsselung gibt.

  4. Re: Ich habe alle Hoffnung aufgegeben

    Autor: user6845 29.05.19 - 21:40

    Lebenszeitvermeider schrieb:
    --------------------------------------------------------------------------------
    > Meiner Meinung nach sollte man endlich alte Bärte abschneiden und die
    > Key-Server auf autoritativ umstellen, und zum Einreichen sollte man
    > wenigstens seine E-Mail-Adresse verifzieren müssen.

    Richtig: Gibt es mit SMIME schon.

    Lösung wäre was wie Lets encrypt.
    Offene Frage: Wie beweise ich das Ownership einer E-Mail-Adresse?

  5. Re: Ich habe alle Hoffnung aufgegeben

    Autor: user6845 29.05.19 - 21:43

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Verschlüsselung in der breiten Masse kann nicht funktionieren. Grundelement
    > von Verschlüsselung ist Vertrauen. Und Vertrauen funktioniert nur wenn man
    > jemanden kennt. Und damit sinkt die Massentauglichkeit auf die Menge derer
    > die ich sowieso kenne. Aber dann brauche ich kein PGP sondern nehme ein
    > Passwort und AES.

    Nennt sich SMIME.
    Man muss halt einer CA vertrauen.

    Mit dem Perso wäre das problemlos möglich, die Bundesdruckerei stellt jedem Perso-Besitzer SMIME-Zertifikate aus, ggf. Gang ist Einwohnermeldeamt nötig.

    Warum nicht getan?
    Ich sag nur NSA, BND, BKA, LKA, ...
    Was wird nur aus Terrorbekämpfung, wenn jeder Verschlüsselung nutzen würde ;-)

  6. Re: Ich habe alle Hoffnung aufgegeben

    Autor: user6845 29.05.19 - 21:48

    ErwinL schrieb:
    --------------------------------------------------------------------------------
    > Im Prinzip fängt es schon damit an, dass es
    > noch nicht mal eine gefestigte Sprachregelung zu den Kernbegriffen der
    > Verschlüsselung gibt.

    Welche Begriffe meinen Sie denn?
    Dass Unternehmen nutzlose Buzzwords nutzen, ist bekannt, wer sich etwas auskennt, kennt aber die standardisierten Ausdrücke.
    Sie können mir gerne Ihre gewünschten Begriffe oder Funktionen nennen, dann bemühe ich mich, Ihnen die Fachausdrücke zu nennen :-)

  7. Re: Ich habe alle Hoffnung aufgegeben

    Autor: violator 30.05.19 - 10:12

    user6845 schrieb:
    --------------------------------------------------------------------------------
    > Offene Frage: Wie beweise ich das Ownership einer E-Mail-Adresse?

    Das ist ja das große Problem bei Email. Jeder kann einfach eine machen und sogar recht einfach den Absender faken und somit hat man ein riesen Spam Problem. Da sind die ganzen Messenger mit Bindung an Telefonnummer besser dran. Irgendwie sowas bräuchte man mal als Emailersatz.

  8. Re: Ich habe alle Hoffnung aufgegeben

    Autor: ikhaya 30.05.19 - 12:22

    ErwinL schrieb:
    --------------------------------------------------------------------------------

    > Obwohl dieses PEP schon eine der schlimmeren Entgleisungen ist, ist es in
    > Bezug auf die Gesamtsituation nicht wirklich relevant.

    Weil sie mit vielen Dingen brechen die eingefleischte PGP Fans seit Jahren tun und die der Verbreitung im Wege stehen?


    > M.E. liegen die Probleme darin, dass es keinen Konsens gibt, was
    > verschlüsselte EMail überhaupt leisten soll. Jeder Applikationsentwickler
    > oder EMail-Anbieter hat da seine eigene Interpretation

    verschlüsselte Mail soll ja wohl den Inhalt vor nicht berechtigten Dritten schützen.
    Da gibt es nichts zu interpretieren

  9. Re: Ich habe alle Hoffnung aufgegeben

    Autor: ErwinL 31.05.19 - 08:51

    violator schrieb:
    --------------------------------------------------------------------------------
    > user6845 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Offene Frage: Wie beweise ich das Ownership einer E-Mail-Adresse?
    >
    > Das ist ja das große Problem bei Email. Jeder kann einfach eine machen und
    > sogar recht einfach den Absender faken und somit hat man ein riesen Spam
    > Problem. Da sind die ganzen Messenger mit Bindung an Telefonnummer besser
    > dran. Irgendwie sowas bräuchte man mal als Emailersatz.

    Da gibt es zwei Ansätze, wie man bei der Schlüsselbereitstellung beweist, dass man die Kontrolle über die Mail-Adresse hat.

    OpenPGPKey/DANE
    https://www.golem.de/news/openpgpkey-domain-name-system-speichert-pgp-schluessel-1503-112927.html

    https://www.heise.de/ct/artikel/DNSSEC-und-DANE-Hilfestellung-zur-Mail-Verschluesselung-2619026.html?seite=all

    WebKeyDirectory
    https://wiki.gnupg.org/WKD#Hosting%20a%20Web%20Key%20Directory

  10. Re: Ich habe alle Hoffnung aufgegeben

    Autor: ErwinL 31.05.19 - 09:13

    user6845 schrieb:
    --------------------------------------------------------------------------------
    > ErwinL schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Im Prinzip fängt es schon damit an, dass es
    > > noch nicht mal eine gefestigte Sprachregelung zu den Kernbegriffen der
    > > Verschlüsselung gibt.
    >
    > Welche Begriffe meinen Sie denn?
    > Dass Unternehmen nutzlose Buzzwords nutzen, ist bekannt, wer sich etwas
    > auskennt, kennt aber die standardisierten Ausdrücke.
    > Sie können mir gerne Ihre gewünschten Begriffe oder Funktionen nennen, dann
    > bemühe ich mich, Ihnen die Fachausdrücke zu nennen :-)

    Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren

    Key/Schlüssel, Signatur, Zertifikat, Benutzerkennung, Offline Masterkey

    Beglaubigungsvertrauen, Besitzervertrauen

    Man muss einfach nur mal PGP4Win und Enigmail installieren und ein paar PGP-Hilfen lesen, dann merkt man recht schnell, dass es da keinen gemeinsamen Pfad gibt und das äußert sich dann auch in den Begriffen, die verwendet werden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über Dr. Maier & Partner GmbH Executive Search, Region Stuttgart
  2. spectrumK GmbH, Berlin
  3. Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)
  4. Schaltbau GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 529,00€
  2. 114,99€ (Release am 5. Dezember)


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

  1. Windows 10: Windows-Defender-Dateien werden als fehlerhaft erkannt
    Windows 10
    Windows-Defender-Dateien werden als fehlerhaft erkannt

    Der System File Checker in Windows 10 markiert neuerdings Dateien des Windows Defender als fehlerhaft. Der Bug ist auch Microsoft bekannt. Das Problem: Die neue Version des Defenders verändert im Installationsimage verankerte Dateien. Der Hersteller will das mit einem Update von Windows 10 beheben.

  2. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
    Keystone
    Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

    Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.

  3. The Witcher: Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen
    The Witcher
    Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen

    Netflix stellt den ersten Trailer seiner Serie The Witcher vor. Henry Cavill als Geralt von Riva kämpft dabei gegen Monster und Menschen und verwendet Hexerzeichen, Pirouettenkampf und Zaubertränke. Einige Szenen erinnern an Passagen aus den Büchern.


  1. 13:00

  2. 12:30

  3. 11:57

  4. 17:52

  5. 15:50

  6. 15:24

  7. 15:01

  8. 14:19