Betrifft „Editorial: Lasst PGP sterben!“

Am bei Plasisent veröffentlicht.

In der bekannten und beliebten Zeitschrift c’t, schrieb Jürgen Schmidt das Editoral mit dem Titel „Lasst PGP sterben!“. Dieses hat mir überhaupt nicht gefallen.

Wie gute Ende-zu-Ende-Verschlüsselung heute aussehen muss, demonstriert Apple mit iMessage

Ähm, falsch. Apple demonstriert mit iMessage vielleicht, wie ein Chat-Client aussehen kann, der ohne große Kompetenz bedienbar ist. iMessage ist ohne Frage bequem benutzbar ohne zu lernen, aber macht das eine gute Ende-zu-Ende-Verschlüsselung aus? Eher nicht. Zumindest in meinen Augen ist die Sicherheit, die eine Verschlüsselung bieten soll, wichtiger als dass die Tools ohne zu Lernen bedienbar sind.

Millionen von iPhone-Besitzern wissen nicht einmal, dass sie ihre Kurznachrichten verschlüsseln.

Und genauso viele iPhone-Besitzer können nicht überprüfen, ob die Verschlüsselung wirklich Ende-zu-Ende ist. Apples iMessage ist keine freie Software. Es kann also von niemandem geprüft werden, ob nicht ein Key von Apple eingebaut wird.

Das Chat-Programm TextSecure zeigt, wie man das in Bezug auf Offenheit und Sicherheit noch verbessern kann

TextSecure ist freie Software und wirklich nicht schlecht, hat aber auch Probleme. Mir gefällt die Abhängigkeit von Google überhaupt nicht. Man benötigt den Google Play Store für die Installation und die Nachrichten werden über Google Cloud Messaging versendet und auch sonst ist TextSecure stark mit Google verdrahtet. Der Inhalt der Nachricht ist zwar sicher verschlüsselt, aber Metadaten fallen dennoch an und wie wir ja wissen gab der ehemalige NSA-Chef zu: „Wir töten auf Basis von Metadaten“. Jetzt muss man sagen, dass auch bei E-Mails Metadaten anfallen, aber die sind wenigstens nicht an einer zentralen Stelle.

Einer Aussage von Jürgen Schmidt stimme ich allerdings zu. Es wäre natürlich schön, wenn sichere Verschlüsselung unkompliziert wäre. In meinen Augen scheint es in diese Richtung auch einen guten Fortschritt zu geben. Das pretty Easy privacy Projekt verwendet E-Mails und PGP um eine sichere Kommunikation zu schaffen.

Bis pEp, oder eine andere einfache und sichere E-Mail-Verschlüsselung, größere Verbreitung findet, müssen wir uns mit PGP begnügen. Dazu möchte ich einen Tweet von Matthias Spielkamp zitieren:

Weg mit PGP, bevor es sinnvolle Alternative für eMail-Encryption gibt, kann doch keine Strategie sein.