Bitte hört auf, für PGP zu werben

54 views
Skip to first unread message

Yamn Remailer

unread,
Jan 19, 2020, 10:56:29 AM1/19/20
to

Friedhelm Waitzmann

unread,
Jan 20, 2020, 6:43:07 PM1/20/20
to
Warum?

Follow-ups nach de.comp.security.misc

Friedhelm

Floppy Disk

unread,
Feb 17, 2020, 3:54:36 AM2/17/20
to
Also ich nutze Enigmail und bin begeistert.

Floppy Disk

unread,
Feb 17, 2020, 11:56:02 AM2/17/20
to
Am 17.02.2020 um 16:55 schrieb Andreas Kohlbach:
> Hallo 5 1/4" Diskette.
>
> On Mon, 17 Feb 2020 09:54:36 +0100, Floppy Disk wrote:
>>
>> Also ich nutze Enigmail und bin begeistert.
>
> Das nutzt nicht viel, wenn kaum jemand anderes verschlüsselt. Das ist das
> Thema, um das es hier geht.

Doch, die meisten Leute nutzen das.

Torsten Berger

unread,
Feb 17, 2020, 2:56:24 PM2/17/20
to


Am 17.02.20 um 17:56 schrieb Floppy Disk:
Enigmail trauere ich jetzt schon nach.
Ich kann mir nicht vorstellen, dass zukünftige Versionen von Thunderbird (openPGP) mit meinen Yubikey umgehen können.
Mit einem privatem Key im Schlüsselbund und einer Passphrase fange ich nicht wieder an.

Oder sehe ich das falsch?

Ja, ich nutze GnuPG und meinen öffentlichen Schlüssel findet Ihr im Footer. :-)

--
PGP public key:
http://pool.sks-keyservers.net/pks/lookup?op=get&search=0x983B7EA7E3FC9051

Arno Welzel

unread,
Feb 18, 2020, 8:42:21 AM2/18/20
to
On 17.02.20 20:55, Torsten Berger wrote:

> Am 17.02.20 um 17:56 schrieb Floppy Disk:
>> Am 17.02.2020 um 16:55 schrieb Andreas Kohlbach:
>>> Hallo 5 1/4" Diskette.
>>>
>>> On Mon, 17 Feb 2020 09:54:36 +0100, Floppy Disk wrote:
>>>>
>>>> Also ich nutze Enigmail und bin begeistert.
>>>
>>> Das nutzt nicht viel, wenn kaum jemand anderes verschlüsselt. Das ist das
>>> Thema, um das es hier geht.
>>
>> Doch, die meisten Leute nutzen das.
>>
>
> Enigmail trauere ich jetzt schon nach.
> Ich kann mir nicht vorstellen, dass zukünftige Versionen von Thunderbird (openPGP) mit meinen Yubikey umgehen können.
> Mit einem privatem Key im Schlüsselbund und einer Passphrase fange ich nicht wieder an.
>
> Oder sehe ich das falsch?
>
> Ja, ich nutze GnuPG und meinen öffentlichen Schlüssel findet Ihr im Footer. :-)

Zum Thema http://pool.sks-keyservers.net - das muss man kaputtt ansehen.
Aus dem im OP verlinkten Artikel:

<https://heise.de/-4458354>

Da wird auch auf das hier verwiesen:

"SKS Keyserver Network Under Attack"
<https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f>



--
Arno Welzel
https://arnowelzel.de

Torsten Berger

unread,
Feb 19, 2020, 2:00:11 PM2/19/20
to


Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.

Vielleicht fehlt es ja nur an Anregungen für gpg?!

Da ich meinen Yubikey gern bei Amazon für 2FA nutzen wollte und das natürlich so nicht geht, ist mir ein Gedanke
gekommen. Ja, ja,ich weiß, über das HandY würde es ja auch gehen. Nur will ich eben keins!

Man kann ja das gemeinsame Geheimnis mit gpg + yubikey verschlüsseln und ggf. signieren.
Anschließend kann man mit dem folgenden Skript (sicher nicht perfekt) das TOTP selbst erzeugen.

--schnippel--

#!/bin/bash

function amazon_secret {

cat <<- EOF
-----BEGIN PGP MESSAGE-----
Hier kommt das verschlüsselte und signierte gemeinsame Geheimnis rein.
-----END PGP MESSAGE-----
EOF
}

oathtool --base32 --totp "$(gpg -d <<< $(amazon_secret))" | xclip

exit 0

--schnippel--

Ein Klick auf das Skript, PIN für Yubikey (decrypt) eingeben und den Inhalt der Zwischenablage per mittlerer Maustaste
in das OTP Feld der Anmeldemaske kopieren.
Strike!

Ich könnte mir vorstellen, dass das auch noch mit anderen Anbietern (ebay?) geht.
Aber das geht garantiert nicht mit Signal!
Hoch lebe gpg!

Bye Torsten

Andreas Kohlbach

unread,
Feb 20, 2020, 8:56:42 AM2/20/20
to
On Wed, 19 Feb 2020 19:59:58 +0100, Torsten Berger wrote:
>
> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>
> Vielleicht fehlt es ja nur an Anregungen für gpg?!

Mir scheint es für ONU zu hoch zu sein.

Am Beispiel Thunderbird würde ich mir wünschen, dass Enigmail und PGP
eingebaut sind. Beim ersten Start könnte er fragen, ob der User auch
verschlüsseln will. Dann transparent alles einrichten (Schlüsselpaar
generieren und auch auf Keyserver hoch laden etc.). Weiter sollte er
prüfen, ob der Empfänger auch einen Key hat und den einpflegen. Der User
sollte nicht mit der Technik dahinter konfrontiert sein.

Ich lasse den X'Post ohne F'up stehen. Das letzte Mal wurde das ignoriert.
--
Andreas

PGP fingerprint 952B0A9F12C2FD6C9F7E68DAA9C2EA89D1A370E0
https://news-commentaries.blogspot.com/

Stefan Claas

unread,
Feb 20, 2020, 10:27:51 AM2/20/20
to
Andreas Kohlbach wrote:

> On Wed, 19 Feb 2020 19:59:58 +0100, Torsten Berger wrote:
> >
> > Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
> >> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
> >> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
> >
> > Vielleicht fehlt es ja nur an Anregungen für gpg?!
>
> Mir scheint es für ONU zu hoch zu sein.
>
> Am Beispiel Thunderbird würde ich mir wünschen, dass Enigmail und PGP
> eingebaut sind. Beim ersten Start könnte er fragen, ob der User auch
> verschlüsseln will. Dann transparent alles einrichten (Schlüsselpaar
> generieren und auch auf Keyserver hoch laden etc.). Weiter sollte er
> prüfen, ob der Empfänger auch einen Key hat und den einpflegen. Der User
> sollte nicht mit der Technik dahinter konfrontiert sein.

Einfach mal Vincent's (Hagrid Author) AutoCrypt mit einer TB beta testen.
Das nutzt OpenPGP und ist die einfachste Art OpenPGP zu nutzen.

https://addons.thunderbird.net/en-US/thunderbird/addon/autocrypt/reviews/

Grüße
Stefan

--
NaClbox: 4a64758de9e8ceded2c481ee526440687fe2f3a828e3a813f87753ad30847b56
certified OpenPGP key blocks available on keybase.io/stefan_claas


Arno Welzel

unread,
Feb 20, 2020, 12:03:41 PM2/20/20
to
On 19.02.20 19:59, Torsten Berger wrote:

> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>
> Vielleicht fehlt es ja nur an Anregungen für gpg?!

Es fehlt vor Allem an Lösungen, die für *Endbenutzer* geeignet sind.

> Da ich meinen Yubikey gern bei Amazon für 2FA nutzen wollte und das natürlich so nicht geht, ist mir ein Gedanke
> gekommen. Ja, ja,ich weiß, über das HandY würde es ja auch gehen. Nur will ich eben keins!
>
> Man kann ja das gemeinsame Geheimnis mit gpg + yubikey verschlüsseln und ggf. signieren.
> Anschließend kann man mit dem folgenden Skript (sicher nicht perfekt) das TOTP selbst erzeugen.
[...]

Und das Script baut sich dann der Endbenutzr zusammen, der keine Ahnung
von Shell-Scripten hat und vermutlich auch keine Erfahrung mit Linux hat?

> Ich könnte mir vorstellen, dass das auch noch mit anderen Anbietern (ebay?) geht.
> Aber das geht garantiert nicht mit Signal!

Muss es ja auch gar nicht. Signal verschlüsselt ganz ohne GnuPG
hinreichend sicher.

GnuPG an sich ist nicht schlecht - aber die Kritik ging auch nicht gegen
GnuPG oder PGP an sich, sondern gegen die Art und Weise, wie versucht
wurde und wird, PGP für E-Mail zu verbreiten. "Efail" und die Probleme
bei den Keyservern haben das nicht unbedingt einfacher gemacht.

Ähnliches Problem wie bei CAcert - ehrenwertes Ziel, aber in der Praxis
weitgehend versagt. Let's Encrypt war innerhalb von 1-2 Jahren da, wo
CAcert es während seiner ganzen Existenz nicht hin geschafft hat.

Arno Welzel

unread,
Feb 20, 2020, 12:05:50 PM2/20/20
to
On 20.02.20 16:27, Stefan Claas wrote:

> Andreas Kohlbach wrote:
>
>> On Wed, 19 Feb 2020 19:59:58 +0100, Torsten Berger wrote:
>>>
>>> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>>>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>>>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>>>
>>> Vielleicht fehlt es ja nur an Anregungen für gpg?!
>>
>> Mir scheint es für ONU zu hoch zu sein.
>>
>> Am Beispiel Thunderbird würde ich mir wünschen, dass Enigmail und PGP
>> eingebaut sind. Beim ersten Start könnte er fragen, ob der User auch
>> verschlüsseln will. Dann transparent alles einrichten (Schlüsselpaar
>> generieren und auch auf Keyserver hoch laden etc.). Weiter sollte er
>> prüfen, ob der Empfänger auch einen Key hat und den einpflegen. Der User
>> sollte nicht mit der Technik dahinter konfrontiert sein.
>
> Einfach mal Vincent's (Hagrid Author) AutoCrypt mit einer TB beta testen.
> Das nutzt OpenPGP und ist die einfachste Art OpenPGP zu nutzen.
>
> https://addons.thunderbird.net/en-US/thunderbird/addon/autocrypt/reviews/

<https://mail.mozilla.org/pipermail/tb-planning/2019-December/007318.html>

Stefan Claas

unread,
Feb 20, 2020, 12:29:47 PM2/20/20
to
Ja ..., ich würde das gerne mal in der Praxis sehen, von Anwendern die das
schreiben und dann bitte mehrfach durchgeführt.

Und wer ein MITM Angriff mounten kann, der sollte das auch dann bei Enigmail
Nutzer etc. können, oder ...?!

(MMn sollte man, wenn es wichtig ist, Verschlüsselung eh nur offline nutzen
und dann diese anonym und ohne Metadaten ins Netz einspeisen. :-))

Stefan Claas

unread,
Feb 20, 2020, 12:51:02 PM2/20/20
to
Andreas Kohlbach wrote:

> On Thu, 20 Feb 2020 16:27:50 +0100, Stefan Claas wrote:
> >
> > Andreas Kohlbach wrote:
> >
> >> On Wed, 19 Feb 2020 19:59:58 +0100, Torsten Berger wrote:
> >> >
> >> > Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
> >> >> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
> >> >> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
> >> >
> >> > Vielleicht fehlt es ja nur an Anregungen für gpg?!
> >>
> >> Mir scheint es für ONU zu hoch zu sein.
> >>
> >> Am Beispiel Thunderbird würde ich mir wünschen, dass Enigmail und PGP
> >> eingebaut sind. Beim ersten Start könnte er fragen, ob der User auch
> >> verschlüsseln will. Dann transparent alles einrichten (Schlüsselpaar
> >> generieren und auch auf Keyserver hoch laden etc.). Weiter sollte er
> >> prüfen, ob der Empfänger auch einen Key hat und den einpflegen. Der User
> >> sollte nicht mit der Technik dahinter konfrontiert sein.
> >
> > Einfach mal Vincent's (Hagrid Author) AutoCrypt mit einer TB beta testen.
> > Das nutzt OpenPGP und ist die einfachste Art OpenPGP zu nutzen.
> >
> > https://addons.thunderbird.net/en-US/thunderbird/addon/autocrypt/reviews/
>
> Für die Akzeptanz von PGP geht es mir darum, dass gängige Clients, wie
> Thunderbird, PGP automatisch anbieten. Klar, Outlook Mail etc. sollten
> das ebenfalls tun.

Das bekommst du doch in diesem Jahr. Thunderbird wird dann native OpenPGP
Unterstützung ohne Enigmail und GnuPG haben.

Für Microsoft oder Apple Produkte wird es bestimmt in naher Zukunft keine
native OpenPGP Unterstützung geben, sonst hätten die das schon vor Jahren
machen können.

Das gleiche gilt auch für GMail oder Yahoo usw.

Stefan Claas

unread,
Feb 20, 2020, 1:40:55 PM2/20/20
to
Habe soeben diesen neuen Artikel entdeckt:

https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html

Torsten Berger

unread,
Feb 20, 2020, 3:16:48 PM2/20/20
to


Am 20.02.20 um 18:03 schrieb Arno Welzel:
> On 19.02.20 19:59, Torsten Berger wrote:
>
>> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>>
>> Vielleicht fehlt es ja nur an Anregungen für gpg?!
>
> Es fehlt vor Allem an Lösungen, die für *Endbenutzer* geeignet sind.

Dazu scheint mir, diese Diskussion nicht geeignet zu sein.

> Und das Script baut sich dann der Endbenutzr zusammen, der keine Ahnung
> von Shell-Scripten hat und vermutlich auch keine Erfahrung mit Linux hat?

> Muss es ja auch gar nicht. Signal verschlüsselt ganz ohne GnuPG
> hinreichend sicher.

Ok, wenn man einmal gefangen ist ...
Meine Anregung hast Du jedenfalls nicht verstanden.

> GnuPG an sich ist nicht schlecht - aber die Kritik ging auch nicht gegen
> GnuPG oder PGP an sich, sondern gegen die Art und Weise, wie versucht
> wurde und wird, PGP für E-Mail zu verbreiten.

Hää!? Wer zwingt Dich? Werbebotschaften aus dem All?
Nimm doch was Du willst und triff doch nicht die Entscheidungen für Andere!

"Efail" und die Probleme
> bei den Keyservern haben das nicht unbedingt einfacher gemacht.
>
> Ähnliches Problem wie bei CAcert - ehrenwertes Ziel, aber in der Praxis
> weitgehend versagt. Let's Encrypt war innerhalb von 1-2 Jahren da, wo
> CAcert es während seiner ganzen Existenz nicht hin geschafft hat.

Und ich dachte ...

Eigentlich wollte ich nur einen konstruktiven Vorschlag für die Verwendung von GnuPG machen.

Was "Efail" angeht, solltest Du noch einmal genauer lesen. Das war ein Implementierungsfehler in wenigen Mailclients.
Darunter leider auch Thunderbird in Verbindung mit Enigmail. Es war kein Problem mit PGP!
Link:
https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Interview-Efail-Veroeffentlichung-war-unueberlegt-4049783.html

Die Probleme wurden vor fast 2! Jahren behoben. (völliges Unverständnis)
Link:
https://www.heise.de/security/meldung/Update-fuer-Thunderbird-Mozilla-behebt-kritische-Schwachstellen-4098487.html

Und ja, es gibt durchaus "Probleme" mit Keyservern, die man keineswegs nutzen muss!
Es ist nur _ein_ Weg, wie man öffentliche Schlüssel übermitteln kann.
Man kann sie auch an das Kirchentor nageln.

Und weil wir gerade bei Signal sind. Für die Desktop Version von Signal für Linux (bin ich der Einzige hier?) wird diese
Anleitung zur Installation gegeben:

--schnippel--
curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
echo "deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main" | sudo tee -a
/etc/apt/sources.list.d/signal-xenial.list
sudo apt update && sudo apt install signal-desktop
--schnippel--

Außer, dass für Laien die Anleitung "total einfach" aussieht, sehe ich hier ebenfalls den Import eines PGP Schlüssels
via apt-key.
Und noch etwas. Solange ich das Schlüsselpaar nicht selbst generiere, sondern es aus Bequemlichkeit einer Software
überlasse, ist eine PKI damit potentiell unsicher!

In Anbetracht der folgenden Artikel halte ich die Diskussion für absolut überflüssig.
Links:
https://www.heise.de/newsticker/meldung/Kampf-gegen-Hass-Bundesregierung-stimmt-fuer-Pflicht-zur-Passwortherausgabe-4663947.html
https://www.heise.de/newsticker/meldung/Gesetz-gegen-Hass-im-Netz-Vorratsdatenspeicherung-durch-die-Hintertuer-4664556.html

Es ist nicht wichtig wie - sondern, dass verschlüsselt wird. Nur die Kommunikationspartner müssen sich einig sein.

Ganz ehrlich, ich bin weg hier!

Arno Welzel

unread,
Feb 21, 2020, 6:19:15 AM2/21/20
to
On 20.02.20 19:40, Stefan Claas wrote:

[...]
> Habe soeben diesen neuen Artikel entdeckt:
>
> https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html

Danke für den Link. Den Aussagen dort kann ich nur zustimmen.

Die Verfechter von PGP für E-Mail werden zwar weiterhin behaupten, dass
mangelnde Sicherheit ja nur ein Problem falscher Nutzung oder
kompromittierter Systeme sei, aber sie verkennen, dass es im Kern um die
Frage "wie kann man sicher kommunizieren" geht und ncht um "wie kann man
E-Mail sicher machen". E-Mail an sich ist unsicher und die Lösung kann
nur sein, ein *anderes* System *statt* E-Mail zu nutzen, das von Anfang
an mit dem Ziel entwickelt wurde, vertrauliche Kommunikation zu ermöglichen.

Arno Welzel

unread,
Feb 21, 2020, 6:27:06 AM2/21/20
to
On 20.02.20 18:23, Andreas Kohlbach wrote:

> On Thu, 20 Feb 2020 16:27:50 +0100, Stefan Claas wrote:
>>
>> Andreas Kohlbach wrote:
>>
>>> On Wed, 19 Feb 2020 19:59:58 +0100, Torsten Berger wrote:
>>>>
>>>> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>>>>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>>>>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>>>>
>>>> Vielleicht fehlt es ja nur an Anregungen für gpg?!
>>>
>>> Mir scheint es für ONU zu hoch zu sein.
>>>
>>> Am Beispiel Thunderbird würde ich mir wünschen, dass Enigmail und PGP
>>> eingebaut sind. Beim ersten Start könnte er fragen, ob der User auch
>>> verschlüsseln will. Dann transparent alles einrichten (Schlüsselpaar
>>> generieren und auch auf Keyserver hoch laden etc.). Weiter sollte er
>>> prüfen, ob der Empfänger auch einen Key hat und den einpflegen. Der User
>>> sollte nicht mit der Technik dahinter konfrontiert sein.
>>
>> Einfach mal Vincent's (Hagrid Author) AutoCrypt mit einer TB beta testen.
>> Das nutzt OpenPGP und ist die einfachste Art OpenPGP zu nutzen.
>>
>> https://addons.thunderbird.net/en-US/thunderbird/addon/autocrypt/reviews/
>
> Für die Akzeptanz von PGP geht es mir darum, dass gängige Clients, wie
> Thunderbird, PGP automatisch anbieten. Klar, Outlook Mail etc. sollten
> das ebenfalls tun.

Man sollte generell aufhören so zu tun, als könnte man E-Mail als
sicheres Kommunikationsmedium nutzen. Der an anderer Stelle genannte
Artikel
<https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html>
bescheibt die Problematik ganz gut

Und zu PGP an sich, aus dem selben Artikel verlinkt:

<https://latacora.micro.blog/2019/07/16/the-pgp-problem.html>

Zitat daraus:

"PGP predates modern cryptography; there are Hanson albums that have
aged better. If you’re lucky, your local GnuPG defaults to 2048-bit RSA,
the 64-bit-block CAST5 cipher in CFB, and the OpenPGP MDC checksum
(about which more later). If you encrypt with a password rather than
with a public key, the OpenPGP protocol specifies PGP’s S2K password
KDF. These are, to put it gently, not the primitives a cryptography
engineer would select for a modern system.

We’ve learned a lot since Steve Urkel graced the airwaves during ABC’s
TGIF: that you should authenticate your ciphertexts (and avoid CFB mode)
would be an obvious example, but also that 64-bit block ciphers are bad,
that we can do much better than RSA, that mixing compression and
encryption is dangerous, and that KDFs should be both time- and memory-hard.

Whatever the OpenPGP RFCs may say, you’re probably not doing any of
these things if you’re using PGP, nor can you predict when you will.
Take AEAD ciphers: the Rust-language Sequoia PGP defaulted to the
AES-EAX AEAD mode, which is great, and nobody can read those messages
because most PGP installs don’t know what EAX mode is, which is not
great. Every well-known bad cryptosystem eventually sprouts an RFC
extension that supports curves or AEAD, so that its proponents can claim
on message boards that they support modern cryptography. RFC’s don’t
matter: only the installed base does. We’ve understood authenticated
encryption for 2 decades, and PGP is old enough to buy me drinks; enough
excuses.

You can have backwards compatibility with the 1990s or you can have
sound cryptography; you can’t have both."

(Zitat Ende)

Stefan Froehlich

unread,
Feb 21, 2020, 7:32:48 AM2/21/20
to
In de.soc.datenschutz Arno Welzel <use...@arnowelzel.de> wrote:
> On 20.02.20 19:40, Stefan Claas wrote:
> > Habe soeben diesen neuen Artikel entdeckt:
> > https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html

> Danke für den Link. Den Aussagen dort kann ich nur zustimmen.

Die Aussagen sind nicht falsch, aber die Conclusio daraus ist
für die Praxis vollkommen unbrauchbar.

> E-Mail an sich ist unsicher und die Lösung kann nur sein, ein
> *anderes* System *statt* E-Mail zu nutzen, das von Anfang an mit
> dem Ziel entwickelt wurde, vertrauliche Kommunikation zu
> ermöglichen.

Ein sicheres System im Sinn des Schreibers dieses Artikels würde die
zwischenbetriebliche Kommunikation völlig zum Erliegen bringen. Im
prinvaten Bereich mögen sichere Messenger eine Option sein, aber
zeig mir ein ein Unternehmen, das seine Kommunikation über einen
Anbieter durchführt, der den Zugriff auf den Klartext einschränkt,
das Anlegen von Archiven unmöglich macht oder anbietet, versendete
Nachrichten 30 Minuten nach dem Lesen rückstandsfrei zu entsorgen.

Wünschen kann man sich das alles freilich, ja...

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan - Komfort kennt keine Grenzen: Schwellen weil es brüllt!
(Sloganizer)

Stephan Seitz

unread,
Feb 21, 2020, 8:12:08 AM2/21/20
to
In de.comp.security.misc Stefan Froehlich <Stefan...@froehlich.priv.at> wrote:
> Ein sicheres System im Sinn des Schreibers dieses Artikels würde die
> zwischenbetriebliche Kommunikation völlig zum Erliegen bringen. Im

Da wird auch keine Verschlüsselung von Mails erwartet bzw. den Leuten
reicht die Transportverschlüsselung.

Stephan

--
| Stephan Seitz E-Mail: stse+...@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Arno Welzel

unread,
Feb 21, 2020, 8:29:32 AM2/21/20
to
On 20.02.20 21:16, Torsten Berger wrote:

> Am 20.02.20 um 18:03 schrieb Arno Welzel:
>> On 19.02.20 19:59, Torsten Berger wrote:
>>
>>> Am 18.02.20 um 14:52 schrieb Andreas Kohlbach:
>>>> Das bezweifle ich. Oder es gibt so wenig TB User, dass die Profis den
>>>> überwiegenden Teil ausmachen und so vielleicht PGP in Enigmail nutzen.
>>>
>>> Vielleicht fehlt es ja nur an Anregungen für gpg?!
>>
>> Es fehlt vor Allem an Lösungen, die für *Endbenutzer* geeignet sind.
>
> Dazu scheint mir, diese Diskussion nicht geeignet zu sein.

Aber genau darum geht es doch. Die Kritik, auf die im OP verwiesen wird,
hat ja genau das als Kernaussage: ein System bringt nichts, wenn es
nicht für Endanwender einfach nutzbar ist.

Zur Erinnerung:

<https://florian-berger.de/de/texte/bitte-hoert-auf-fuer-pgp-zu-werben/>

Zitat:

"Die Situation wurde dann schließlich vollkommen absurd, als mir klar
wurde, dass die Menschen, mit denen ich E-Mails gerne verschlüsselt
ausgetauscht hätte, Familie, Freund*innen, Kolleg*innen, inzwischen
längst und fast ausnahmslos zu moderner, Ende-zu-Ende-verschlüsselter
Kommunikation gewechselt hatten. Und zwar in Kurznachrichtendiensten:
Threema, Signal, sogar Telegram und (das trotzdem abzulehnende) WhatsApp.

Während ich darauf wartete, ob mir jemand auf einem zweiten Kanal mal
seinen PGP-Fingerprint zur Überprüfung schickt, oder gespannt war, mit
welchem Abstand sie dann ihre Unterschlüssel erneuern würden, hatten sie
bewusst oder unbewusst begonnen, Dienste zu nutzen, die ihnen neben
solider Kryptographie eine angenehme Bedienung erlauben. Ich bin sicher,
dass die meisten von ihnen nicht erklären könnten, was ein privater
Schlüssel ist, oder wo ihrer gespeichert wird. Ihnen ist vermutlich noch
nicht einmal richtig bewusst, dass sie einen verschlüsselten Dienst
benutzen. Sie machen es einfach. Und samt und sonders verwenden sie
modernere und sicherere Systeme als PGP. Sie haben mich überholt, in
jeder Hinsicht. Ausgerechnet."

(Zitat Ende)


>> Und das Script baut sich dann der Endbenutzr zusammen, der keine Ahnung
>> von Shell-Scripten hat und vermutlich auch keine Erfahrung mit Linux hat?
>
>> Muss es ja auch gar nicht. Signal verschlüsselt ganz ohne GnuPG
>> hinreichend sicher.
>
> Ok, wenn man einmal gefangen ist ...
> Meine Anregung hast Du jedenfalls nicht verstanden.

Offenbar nicht.

>> GnuPG an sich ist nicht schlecht - aber die Kritik ging auch nicht gegen
>> GnuPG oder PGP an sich, sondern gegen die Art und Weise, wie versucht
>> wurde und wird, PGP für E-Mail zu verbreiten.
>
> Hää!? Wer zwingt Dich? Werbebotschaften aus dem All?

Siehe Subject: "Bitte fangt an, für PGP zu werben"

> Nimm doch was Du willst und triff doch nicht die Entscheidungen für Andere!

Tue ich ja. Da hilft auch alle Werbung nichts ;-).

> "Efail" und die Probleme
>> bei den Keyservern haben das nicht unbedingt einfacher gemacht.
>>
>> Ähnliches Problem wie bei CAcert - ehrenwertes Ziel, aber in der Praxis
>> weitgehend versagt. Let's Encrypt war innerhalb von 1-2 Jahren da, wo
>> CAcert es während seiner ganzen Existenz nicht hin geschafft hat.
>
> Und ich dachte ...
>
> Eigentlich wollte ich nur einen konstruktiven Vorschlag für die Verwendung von GnuPG machen.

Der Vorschlag war sinngemäß, sich ein Shell-Script zu bauen. Das ist
schön für Leute, die mit solchen Techniken ohnehin vertraut sind. Zur
allgemeinen Verbreitung von GnuPG dürfte das kaum beitragen.

> Was "Efail" angeht, solltest Du noch einmal genauer lesen. Das war ein Implementierungsfehler in wenigen Mailclients.
> Darunter leider auch Thunderbird in Verbindung mit Enigmail. Es war kein Problem mit PGP!

Ist mir bekannt. Ändert aber nichts im Ergebnis.

> Link:
> https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Interview-Efail-Veroeffentlichung-war-unueberlegt-4049783.html
>
> Die Probleme wurden vor fast 2! Jahren behoben. (völliges Unverständnis)

Auch MDC war fehlerhaft und die Behebung erforderte auch, dass man u.U.
neue Schlüssel erzeugen musste. Ich habe damals Gesprächspartner
teilweise mehrfach darauf hinweisen müssen, dass ihre Keys veraltet sind
und ich sie deshalb nicht mehr nutzen kann, weil MDC irgendwann zwingend
nötig wurde.

> Link:
> https://www.heise.de/security/meldung/Update-fuer-Thunderbird-Mozilla-behebt-kritische-Schwachstellen-4098487.html
>
> Und ja, es gibt durchaus "Probleme" mit Keyservern, die man keineswegs nutzen muss!
> Es ist nur _ein_ Weg, wie man öffentliche Schlüssel übermitteln kann.

Aber halt ein lange Zeit propagierter Weg, um die öffentlichen Schlüssel
von Gesprächsparntern leicht zu bekommen.

> Man kann sie auch an das Kirchentor nageln.

Sicher. Aber da findet sie ein Absender nicht unbedingt.

> Und weil wir gerade bei Signal sind. Für die Desktop Version von Signal für Linux (bin ich der Einzige hier?) wird diese
> Anleitung zur Installation gegeben:
>
> --schnippel--
> curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
> echo "deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main" | sudo tee -a
> /etc/apt/sources.list.d/signal-xenial.list
> sudo apt update && sudo apt install signal-desktop
> --schnippel--

Und? Wäre das für Dich ein Problem?

Welche Endanwender nutzt Linux auf dem Desktop? Und wieviele Anwender
von Signal nutzen die Desktop-Version?

Und von denen, die Linux nutzen - wer davon ist wohl überfordert mit der
Eingabe von drei Befehlen in einer Konsole?

Wenn ich von "muss geeignet für Endanwender sein" spreche, meine ich vor
Allem Windows und macOS. Linux auf dem Desktop ist da schlicht unbedeutend.
Fordern kann man viel. Da Passwörter bei Diensteanbietern schlicht nicht
im Klartext vorliegen, kann man sie auch nicht herausgeben.

> Es ist nicht wichtig wie - sondern, dass verschlüsselt wird. Nur die Kommunikationspartner müssen sich einig sein.

Eben. Deswegen ist es auch unsinnig so zu tun, als müsse man für PGP
werben. Es gibt genügend Alternativen.

Arno Welzel

unread,
Feb 21, 2020, 8:37:14 AM2/21/20
to
On 21.02.20 13:32, Stefan Froehlich wrote:

> In de.soc.datenschutz Arno Welzel <use...@arnowelzel.de> wrote:
[...]
>> E-Mail an sich ist unsicher und die Lösung kann nur sein, ein
>> *anderes* System *statt* E-Mail zu nutzen, das von Anfang an mit
>> dem Ziel entwickelt wurde, vertrauliche Kommunikation zu
>> ermöglichen.
>
> Ein sicheres System im Sinn des Schreibers dieses Artikels würde die
> zwischenbetriebliche Kommunikation völlig zum Erliegen bringen. Im
> prinvaten Bereich mögen sichere Messenger eine Option sein, aber
> zeig mir ein ein Unternehmen, das seine Kommunikation über einen
> Anbieter durchführt, der den Zugriff auf den Klartext einschränkt,
> das Anlegen von Archiven unmöglich macht oder anbietet, versendete
> Nachrichten 30 Minuten nach dem Lesen rückstandsfrei zu entsorgen.

Nicht jedes Tool ist für jeden Zweck sinnvoll. Aber der Umkehrschluss,
das *jede* Kommunikation so ablaufen muss, wie E-Mail, nur weil es
*auch* Anwendungsszenarien gibt, wo die Kommunikation archivierbar und
recherchierbar sein muss, ist ebenso unsinnig. Wenn ein Unternehmen
Informationen über laufende Vorgänge dokumentieren und archvieren muss,
nimmt man eben nicht Messenger, sondern andere Mittel, wie
verschlüsselte Dateiablagen, Wikis, Dokumentenmanagementsystem etc.. So
what?

Oder forderst Du auch, dass jedes geschäftliche Gespräch aufgezeichnet
und archiviert wird, damt man es auch später noch nachvollziehen kann?

Aber abgesehen davon: Ich habe eine Zeit lang bei einem Unternehmen
gearbeitet, wo die unverschlüsselte Weitergabe von Informatonen ein
potentieller Kündigungsgrund war und jeder Mitarbeiter sich erste
Amtshandlung privaten Schlüssel für diverse Zwecke erstellen musste,
bevor überhaupt Zugriff zur IT-Infrastruktur gewährt wurde.

Stefan Claas

unread,
Feb 21, 2020, 11:29:28 AM2/21/20
to
Andreas Kohlbach wrote:

> On Thu, 20 Feb 2020 18:51:01 +0100, Stefan Claas wrote:
> >
> > Andreas Kohlbach wrote:
> >
> >> Für die Akzeptanz von PGP geht es mir darum, dass gängige Clients, wie
> >> Thunderbird, PGP automatisch anbieten. Klar, Outlook Mail etc. sollten
> >> das ebenfalls tun.
> >
> > Das bekommst du doch in diesem Jahr. Thunderbird wird dann native OpenPGP
> > Unterstützung ohne Enigmail und GnuPG haben.
>
> Hoffentlich wird das transparent eingebunden.

Mal abwarten. Zumindest steht Patrick Brunschwig (Enigmail Entwickler) mit
Rat und Tat dem Thunderbird Team zur Seite, wie er sagte.

> > Für Microsoft oder Apple Produkte wird es bestimmt in naher Zukunft keine
> > native OpenPGP Unterstützung geben, sonst hätten die das schon vor Jahren
> > machen können.
>
> Thunderbird aber auch.
>
> > Das gleiche gilt auch für GMail oder Yahoo usw.
>
> Die haben natürlich ein Interesse daran, Mails zu lesen, um passend
> Werbung zu schalten. Der nicht.
>
> Zumindest für Gmail gibt es zumindest ein Add-On. Bringt hier den
> Computer aber auf die Knie. Dauert lange, bis sich dann im Webinterface
> etwas tut.

Ich habe GMail mit Mailvelope, für Firefox, ausprobiert und das funktioniert
tadellos und bremst bei mir meinen Rechner überhaupt nicht aus.

https://www.mailvelope.com/de

Arno Welzel

unread,
Feb 21, 2020, 3:58:29 PM2/21/20
to
Stefan Claas:

> Andreas Kohlbach wrote:
[...]
>> Für die Akzeptanz von PGP geht es mir darum, dass gängige Clients, wie
>> Thunderbird, PGP automatisch anbieten. Klar, Outlook Mail etc. sollten
>> das ebenfalls tun.
>
> Das bekommst du doch in diesem Jahr. Thunderbird wird dann native OpenPGP
> Unterstützung ohne Enigmail und GnuPG haben.
>
> Für Microsoft oder Apple Produkte wird es bestimmt in naher Zukunft keine
> native OpenPGP Unterstützung geben, sonst hätten die das schon vor Jahren
> machen können.
>
> Das gleiche gilt auch für GMail oder Yahoo usw.

Das wird auch in ferner Zukunft nicht passieren. Der Zug ist abgefahren.

Stefan Claas

unread,
Feb 21, 2020, 4:45:56 PM2/21/20
to
Sehe ich auch so. Nutzer von PGP können ja ProtonMail und Co. benutzen.
Werden sicherlich die genannten Firmen auch so denken.

Stefan Claas

unread,
Feb 22, 2020, 8:42:34 AM2/22/20
to
Arno Welzel wrote:

> On 20.02.20 19:40, Stefan Claas wrote:
>
> [...]
> > Habe soeben diesen neuen Artikel entdeckt:
> >
> > https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html
>
> Danke für den Link. Den Aussagen dort kann ich nur zustimmen.

Gern geschehen! Und das steht jetzt über Signal in der Presse:

https://t3n.de/news/geld-whatsapp-gruenders-signal-1253008/

:-)

Stefan Froehlich

unread,
Feb 22, 2020, 8:48:12 AM2/22/20
to
In de.soc.datenschutz Arno Welzel <use...@arnowelzel.de> wrote:
> On 21.02.20 13:32, Stefan Froehlich wrote:
> > In de.soc.datenschutz Arno Welzel <use...@arnowelzel.de> wrote:
> [...]
> >> E-Mail an sich ist unsicher und die Lösung kann nur sein, ein
> >> *anderes* System *statt* E-Mail zu nutzen, das von Anfang an mit
> >> dem Ziel entwickelt wurde, vertrauliche Kommunikation zu
> >> ermöglichen.
> >
> > Ein sicheres System im Sinn des Schreibers dieses Artikels würde die
> > zwischenbetriebliche Kommunikation völlig zum Erliegen bringen. Im
> > prinvaten Bereich mögen sichere Messenger eine Option sein, aber
> > zeig mir ein ein Unternehmen, das seine Kommunikation über einen
> > Anbieter durchführt, der den Zugriff auf den Klartext einschränkt,
> > das Anlegen von Archiven unmöglich macht oder anbietet, versendete
> > Nachrichten 30 Minuten nach dem Lesen rückstandsfrei zu entsorgen.

> Nicht jedes Tool ist für jeden Zweck sinnvoll. Aber der
> Umkehrschluss, das *jede* Kommunikation so ablaufen muss, wie
> E-Mail, nur weil es *auch* Anwendungsszenarien gibt, wo die
> Kommunikation archivierbar und recherchierbar sein muss, ist
> ebenso unsinnig.

Sagt ja auch keiner. Allerdings: Diese Alternativen gibt es bereits,
sie stehen jedermann zur Verfügung und werden auch genutzt. Worüber
lamentiert der Autor also? Ich entnehme dem etwas länglichen Text,
dass er Email am liebsten abgeschafft sehen würde, aber genau *das*
schafft an andereren Stellen mehr Probleme, als es welche im
Sicherheitsbereich löst.

> Aber abgesehen davon: Ich habe eine Zeit lang bei einem
> Unternehmen gearbeitet, wo die unverschlüsselte Weitergabe von
> Informatonen ein potentieller Kündigungsgrund war [...]

Sowas gibt's, aber es dürfte absoluten Seltenheitswert haben. Ich
bekomme praktisch wöchentlich irgendwelche Passwörter für
ftp-Zugänge per Email zugeschickt - und das sind alles gestandene
Betriebe mit 3- bis 4-stelliger Mitarbeiterzahl. Bequemlichkeit
schlägt Sicherheit seit jeher um Längen.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Geht nicht!? Das gibt's nicht, jedenfalls nicht bei uns: Stefan.
(Sloganizer)

Stefan Claas

unread,
Feb 22, 2020, 4:31:39 PM2/22/20
to
Stefan Claas wrote:

> Arno Welzel wrote:
>
> > On 20.02.20 19:40, Stefan Claas wrote:
> >
> > [...]
> > > Habe soeben diesen neuen Artikel entdeckt:
> > >
> > > https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html
> >
> > Danke für den Link. Den Aussagen dort kann ich nur zustimmen.
>
> Gern geschehen! Und das steht jetzt über Signal in der Presse:
>
> https://t3n.de/news/geld-whatsapp-gruenders-signal-1253008/

<https://www.heise.de/newsticker/meldung/Messenger-EU-Kommission-draengt-Mitarbeiter-zum-Einsatz-von-Signal-4666082.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag>

Grüße
Stefan

Carsten Thumulla

unread,
Feb 23, 2020, 3:13:20 AM2/23/20
to
"Der verschlüsselte Messenger Signal gehört seit der Empfehlung durch
Whistleblowser Edward Snowden zu den beliebtesten sicheren Messengern.
Das Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der
Kryptoszene. Allerdings muss man für die Nutzung seine Telefonnummer
angeben."
https://mobilsicher.de/ratgeber/messenger-app-signal-kurz-vorgestellt

Und keiner lacht...

ct

Stefan Claas

unread,
Feb 23, 2020, 4:18:43 AM2/23/20
to
Mit der Telefonnummer wurde das wohl gemacht weil sie ein einzigartiges
Nutzermerkmal ist.

Ich habe gestern die Desktop Version installiert, via SmartPhone Nutzung
eines Familienmitglieds und dann zur Registrierung meine Handynummer von
meinem alten Nokia 3310 genommen, was ich eh kaum benutze.

Danach dann innerhalb .de ausprobiert und anschließen nach USA.

Ursprünglich hatte ich vor mir eine Google Voice Telefonnummer zu besorgen,
via Tunnelbear und einem anderen Service, jedoch klappte das leider nicht.

Da haben die Amerikaner einen großen Vorteil, mit Google Voice Registrierung
für Signal.

Obwohl ich normalerweise keine Messenger nutze, sehe auch ich jetzt ein das
es sicherlich die Zukunft sein wird, im Vergleich zu PGP email, welche meine
Freunde und ich so gut wie eh nicht mehr nutzen.

P.S. Da ich mich noch gut erinnere, an Zeiten, wo es noch Telefonzellen und
öffentliche Telefonbücher (z.B. von ganz .de auf Haupt-Bahnhöfen gab) bin ich
so frei und poste hier einfach in meiner neuen Signatur meine Signalnummer. :-)

Etwas Werbung von Userseite aus für Signal kann nicht schaden.

Grüße
Stefan

--
Signal Desktop (+)4915126058973
https://keybase.io/stefan_claas


Thomas Einzel

unread,
Feb 23, 2020, 5:32:00 AM2/23/20
to
Am 23.02.2020 um 09:13 schrieb Carsten Thumulla:
...
> "Der verschlüsselte Messenger Signal gehört seit der Empfehlung durch
> Whistleblowser Edward Snowden zu den beliebtesten sicheren Messengern.
> Das Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der
> Kryptoszene. Allerdings muss man für die Nutzung seine Telefonnummer
> angeben."
> https://mobilsicher.de/ratgeber/messenger-app-signal-kurz-vorgestellt
>
> Und keiner lacht...

Warum bei traurigen Sachen lachen. Die Preisgabe der eigenen tatsächlich
genutzten Telefonnummer kann man mit einer 10€ Prepaid vom Discounter
umgehen, wenn Signal diese nur für die Installation möchte.
*Aber* kritischer ist IMO (aus o.a. link):

"...Signal verlangt bei der Installation Zugriff auf das Adressbuch, um
andere NutzerInnen zu finden.

Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers
per Hand eintippen und kann sie nicht in der Kontaktliste speichern.
Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert
(gehasht) auf Signals Servern abgeglichen und anschließend wieder
gelöscht...."

Also für den Normaluser kaum unbenutzbar ohne Adressbuch upload.

Was für Daten tatsächlich hochgeladen werden und was mit diesen Daten
passiert weiß ich nicht. Man kann natürlich ein leeres Adressbuch haben
und die betr. Nummer zur Kommunikation manuell eingeben.


Bis letztens war Delta Chat nur für Android und nicht für iOS verfügbar,
jetzt für beide und es funktioniert.
--
Thomas

Stefan Kanthak

unread,
Feb 23, 2020, 7:44:36 AM2/23/20
to
"Thomas Einzel" <usene...@einzel.de> schrieb:
> Am 23.02.2020 um 09:13 schrieb Carsten Thumulla:
> ...
>> "Der verschlüsselte Messenger Signal gehört seit der Empfehlung durch
>> Whistleblowser Edward Snowden zu den beliebtesten sicheren Messengern.
>> Das Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der
>> Kryptoszene. Allerdings muss man für die Nutzung seine Telefonnummer
>> angeben."
>> https://mobilsicher.de/ratgeber/messenger-app-signal-kurz-vorgestellt
>>
>> Und keiner lacht...

Diese "Telefonnummer" muss KEINE reale Nummer sein: Signal verwendet sie
lediglich als (weltweit eindeutige) Benutzerkennung.

> Warum bei traurigen Sachen lachen. Die Preisgabe der eigenen tatsächlich
> genutzten Telefonnummer kann man mit einer 10? Prepaid vom Discounter
> umgehen, wenn Signal diese nur für die Installation möchte.
> *Aber* kritischer ist IMO (aus o.a. link):
>
> "...Signal verlangt bei der Installation Zugriff auf das Adressbuch, um
> andere NutzerInnen zu finden.

Falsch: nicht zum Finden, sondern zur Adressierung.

Das ist eine Komfortfunktion: statt eines eigenen Adressbuchs mit Signal-
Benutzerkennungen (Wer wuerde die weltweit eindeutig vergeben koennen?
Wo wuerden diese registriert und ggf. dauerhaft gespeichert werden?) kann
wegen des "Missbrauchs" der Telefonnummer das vorhandene Telefonbuch
verwendet werden.
Das "Rendezvous" von Sender und Empfaenger findet ueber die Server von
Signal statt, gaaanz grob vergleichbar zum Verbindungsaufbau bei VoIP.

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

Arne Johannessen

unread,
Feb 23, 2020, 12:07:11 PM2/23/20
to
Thomas Einzel said:
>
> Also für den Normaluser kaum unbenutzbar ohne Adressbuch upload.

Gerüchteweise macht Signal eben gerade keinen Upload, im Gegensatz zu
z. B. Whatsapp.

Aus <https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html>:
|
| Signal currently requires phone numbers for all its users.
| It does this not because Signal wants to collect contact
| information for its users, but rather because Signal is
| allergic to it: using phone numbers means Signal can
| piggyback on the contact lists users already have, rather
| than storing those lists on its servers. A core design goal
| of the most important secure messenger is to avoid keeping
| a record of who’s talking to whom.


> Was für Daten tatsächlich hochgeladen werden und was mit diesen Daten
> passiert weiß ich nicht.

Ich leider auch nicht.


--
Arne Johannessen

Thomas Einzel

unread,
Feb 23, 2020, 1:29:41 PM2/23/20
to
Am 23.02.2020 um 11:31 schrieb Thomas Einzel:
...
> Bis letztens war Delta Chat nur für Android und nicht für iOS verfügbar,
> jetzt für beide und es funktioniert.

Ergänzung: ab der 2. Nachricht sind Nachrichten zwischen DeltaChat
Nutzern offenbar tatsächlich Ende zu Ende verschlüsselt.

Im IMAP Postfach im Ordner DeltaChat konnte ich die Inhalte ab der 2.
Nachricht nicht mehr lesen, PGP verschlüsselt war zu lesen.

Ich habe das AddOn Enigmail in Firefox installiert (da wird GnuPG mit
installiert wenn man mag), die private und öffentliche Schlüssel aus
DeltaChat exportiert, in Enigmail/GnuPG importiert und nun können sowohl
die Nachrichten in Firefox entschlüsselt sowie verschlüsselt auch zu
einem DeltaChat Benutzer geschickt werden. So kann man auch zu PGP kommen...

Ist da noch irgendwo ein Ungemach versteckt, das ich nicht sehe?

Wenn nicht, habe ich mit DeltaChat den Messenger, den ich schon immer
haben wollte.
--
Thomas

Stefan Claas

unread,
Feb 23, 2020, 2:39:33 PM2/23/20
to
Stefan Kanthak wrote:
> "Thomas Einzel" <usene...@einzel.de> schrieb:
> > Am 23.02.2020 um 09:13 schrieb Carsten Thumulla:
> > ...
> > > "Der verschlüsselte Messenger Signal gehört seit der Empfehlung durch
> > > Whistleblowser Edward Snowden zu den beliebtesten sicheren Messengern.
> > > Das Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der
> > > Kryptoszene. Allerdings muss man für die Nutzung seine Telefonnummer
> > > angeben."
> > > https://mobilsicher.de/ratgeber/messenger-app-signal-kurz-vorgestellt
> > >
> > > Und keiner lacht...
>
> Diese "Telefonnummer" muss KEINE reale Nummer sein: Signal verwendet sie
> lediglich als (weltweit eindeutige) Benutzerkennung.

Nun, diese 'KEINE' muß aber erreichbar sein, da Signal dorthin den
Verification Code sendet, den man dann in der App eingeben muß.

Grüße
Stefan

--
Signal (Desktop) +4915126058973
https://keybase.io/stefan_claas

Stefan Claas

unread,
Feb 23, 2020, 2:49:25 PM2/23/20
to
Klingt interessant, einen Messenger via email zu nutzen. Jedoch frage
ich mich welche Messenger noch PGP nutzen und wenn man dort via email
kommuniziert ob man vom Messenger auch direkte emails an PGP email Nutzer,
wie auf der GnuPG Mail List usw. schicken kann? Wenn nicht kommt diese
nette Erfindung etwas zu spät, IMHO, da du vermutlich kaum Mitstreiter
finden wirst.

Arno Welzel

unread,
Feb 24, 2020, 9:13:27 AM2/24/20
to
On 22.02.20 14:48, Stefan Froehlich wrote:

> In de.soc.datenschutz Arno Welzel <use...@arnowelzel.de> wrote:
[...]
>> Nicht jedes Tool ist für jeden Zweck sinnvoll. Aber der
>> Umkehrschluss, das *jede* Kommunikation so ablaufen muss, wie
>> E-Mail, nur weil es *auch* Anwendungsszenarien gibt, wo die
>> Kommunikation archivierbar und recherchierbar sein muss, ist
>> ebenso unsinnig.
>
> Sagt ja auch keiner. Allerdings: Diese Alternativen gibt es bereits,
> sie stehen jedermann zur Verfügung und werden auch genutzt. Worüber
> lamentiert der Autor also? Ich entnehme dem etwas länglichen Text,
> dass er Email am liebsten abgeschafft sehen würde, aber genau *das*
> schafft an andereren Stellen mehr Probleme, als es welche im
> Sicherheitsbereich löst.

Nein, der Autor kritisiert, dass die Verfechter von PGP so tun, als wäre
ihre Lösung so gut, dass Alternativen nicht erforderlich sind.

>> Aber abgesehen davon: Ich habe eine Zeit lang bei einem
>> Unternehmen gearbeitet, wo die unverschlüsselte Weitergabe von
>> Informatonen ein potentieller Kündigungsgrund war [...]
>
> Sowas gibt's, aber es dürfte absoluten Seltenheitswert haben. Ich

Ja, ist es.

> bekomme praktisch wöchentlich irgendwelche Passwörter für
> ftp-Zugänge per Email zugeschickt - und das sind alles gestandene
> Betriebe mit 3- bis 4-stelliger Mitarbeiterzahl. Bequemlichkeit
> schlägt Sicherheit seit jeher um Längen.

In meinem aktuellen Umfeld habe ich zumindest durchgesetzt, dass
Passwörter etc. grundsätzlich nicht per E-Mail geschickt werden dürfen.

Arno Welzel

unread,
Feb 24, 2020, 9:19:40 AM2/24/20
to
On 23.02.20 11:31, Thomas Einzel wrote:

> Am 23.02.2020 um 09:13 schrieb Carsten Thumulla:
> ...
>> "Der verschlüsselte Messenger Signal gehört seit der Empfehlung durch
>> Whistleblowser Edward Snowden zu den beliebtesten sicheren Messengern.
>> Das Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der
>> Kryptoszene. Allerdings muss man für die Nutzung seine Telefonnummer
>> angeben."
>> https://mobilsicher.de/ratgeber/messenger-app-signal-kurz-vorgestellt
>>
>> Und keiner lacht...
>
> Warum bei traurigen Sachen lachen. Die Preisgabe der eigenen tatsächlich
> genutzten Telefonnummer kann man mit einer 10€ Prepaid vom Discounter
> umgehen, wenn Signal diese nur für die Installation möchte.
> *Aber* kritischer ist IMO (aus o.a. link):
>
> "...Signal verlangt bei der Installation Zugriff auf das Adressbuch, um
> andere NutzerInnen zu finden.

Signal ist Open Source, die Server ebenfalls.

Und korrekt ist: Signal *möchte* gerne das Adressbuch lesen, damit man
einfacher sehen kann, welcher der eigenen Kontakt ebenfalls Signal nutzt.

> Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers
> per Hand eintippen und kann sie nicht in der Kontaktliste speichern.
> Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert
> (gehasht) auf Signals Servern abgeglichen und anschließend wieder
> gelöscht...."
>
> Also für den Normaluser kaum unbenutzbar ohne Adressbuch upload.

Woraus leitest Du ab, dass das komplette Adressbuch zum Server geschickt
wird und nicht nur die Hashes der Telefonnummern, damit man sieht, ob
die dem Server als Kontakt bekannt sind?

> Was für Daten tatsächlich hochgeladen werden und was mit diesen Daten
> passiert weiß ich nicht. Man kann natürlich ein leeres Adressbuch haben
> und die betr. Nummer zur Kommunikation manuell eingeben.

Doch, das weiß man:

<https://github.com/signalapp>

Und wenn Du dem Anbieter nicht traust, baue Dir deine eigene Version
davon. Das Protokoll ist ebenfalls offengelegt.

Arno Welzel

unread,
Feb 24, 2020, 9:22:06 AM2/24/20
to
On 23.02.20 19:29, Thomas Einzel wrote:

> Am 23.02.2020 um 11:31 schrieb Thomas Einzel:
> ...
>> Bis letztens war Delta Chat nur für Android und nicht für iOS verfügbar,
>> jetzt für beide und es funktioniert.
>
> Ergänzung: ab der 2. Nachricht sind Nachrichten zwischen DeltaChat
> Nutzern offenbar tatsächlich Ende zu Ende verschlüsselt.
>
> Im IMAP Postfach im Ordner DeltaChat konnte ich die Inhalte ab der 2.
> Nachricht nicht mehr lesen, PGP verschlüsselt war zu lesen.
>
> Ich habe das AddOn Enigmail in Firefox installiert (da wird GnuPG mit
> installiert wenn man mag), die private und öffentliche Schlüssel aus
> DeltaChat exportiert, in Enigmail/GnuPG importiert und nun können sowohl
> die Nachrichten in Firefox entschlüsselt sowie verschlüsselt auch zu
> einem DeltaChat Benutzer geschickt werden. So kann man auch zu PGP kommen...
>
> Ist da noch irgendwo ein Ungemach versteckt, das ich nicht sehe?

E-Mail als "Messenger" missbrauchen... ja, kann man machen. Man darf
sich halt nicht wundern, wenn der Server nach einigen zehntausend
Nachrichten recht zäh wird. Wenn sowas in großem Umfang genutzt werden
würde, würde so mancher Server irgendwann unbenutztbar werden.

Warum dann nicht gleich einfach E-Mail schicken? K-9 und OpenKeyChain
existieren.

Thomas Einzel

unread,
Feb 24, 2020, 10:44:04 AM2/24/20
to
Am 23.02.2020 um 20:49 schrieb Stefan Claas:
> Thomas Einzel wrote:
...
>> Ist da noch irgendwo ein Ungemach versteckt, das ich nicht sehe?
>>
>> Wenn nicht, habe ich mit DeltaChat den Messenger, den ich schon immer
>> haben wollte.
>
> Klingt interessant, einen Messenger via email zu nutzen. Jedoch frage
> ich mich welche Messenger noch PGP nutzen und wenn man dort via email
> kommuniziert ob man vom Messenger auch direkte emails an PGP email Nutzer,
> wie auf der GnuPG Mail List usw. schicken kann?

Aus Mangel an Bedarf werde ich das vermutlich nicht zeitnahe benötigen.

> Wenn nicht kommt diese
> nette Erfindung etwas zu spät, IMHO, da du vermutlich kaum Mitstreiter
> finden wirst.

Muss ich nicht zwingend, ohne DeltaChat bekommt der Empfänger eine
herkömmliche E-Mail.
--
Thomas

Peter J. Holzer

unread,
Feb 26, 2020, 9:34:31 AM2/26/20
to
On 2020-02-24 14:19, Arno Welzel <use...@arnowelzel.de> wrote:
> On 23.02.20 11:31, Thomas Einzel wrote:
>> Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers
>> per Hand eintippen und kann sie nicht in der Kontaktliste speichern.
>> Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert
>> (gehasht) auf Signals Servern abgeglichen und anschließend wieder
>> gelöscht...."
>>
>> Also für den Normaluser kaum unbenutzbar ohne Adressbuch upload.
>
> Woraus leitest Du ab, dass das komplette Adressbuch zum Server geschickt
> wird und nicht nur die Hashes der Telefonnummern, damit man sieht, ob
> die dem Server als Kontakt bekannt sind?

Man sollte sich darüber klar sein, dass zwischen einer Telefonnummer und
ihrem Hash kein großer Unterschied besteht: Es gibt nicht besonders
viele Telefonnummern, die kann man einfach alle durchprobieren. Aber
dann hat man immer noch nur die Telefonnummer, nicht die anderen Daten,
die üblicherweise bei Kontakten abgespeichert sind (Name, Firma,
Mail-Adresse, ...)

hp

Peter J. Holzer

unread,
Feb 26, 2020, 9:49:03 AM2/26/20
to
["Followup-To:" header set to de.comp.security.misc.]
On 2020-02-24 14:22, Arno Welzel <use...@arnowelzel.de> wrote:
> On 23.02.20 19:29, Thomas Einzel wrote:
>> Am 23.02.2020 um 11:31 schrieb Thomas Einzel:
>>> Bis letztens war Delta Chat nur für Android und nicht für iOS verfügbar,
>>> jetzt für beide und es funktioniert.
[...]
> E-Mail als "Messenger" missbrauchen... ja, kann man machen.

Ja, das Projekt hat schon ein bisschen einen "Because I can" Touch.

(ich verwende es übrigens auch)

> Man darf sich halt nicht wundern, wenn der Server nach einigen
> zehntausend Nachrichten recht zäh wird.

Das bezweifle ich eher. Die 90er-Jahre sind schon einige Zeit vorbei.

Und Outlook verwenden die meisten Leute eh wie einen Messenger - nur
dass jedesmal der ganze Thread hin- und hergeschickt wird.

> Warum dann nicht gleich einfach E-Mail schicken? K-9 und OpenKeyChain
> existieren.

"All e-mail clients suck" hat Michael Elkins (der Autor von Mutt) schon
1995 geschrieben. Für solche auf Handys gilt das erst recht. Ich
verwende auch K-9, aber nur ungern.

Die Interaktion ist bei einem Messenger und E-Mail (richtiger E-Mail,
nicht das, was Schlipse mit Outlook machen) einfach anders. Und
Messaging ist den Einschränkungen eines Handys (kleiner Schirm,
Bildschirm-Tastatur, unpräzises Pointing-Device) adäquater. Dafür
verliert man halt Features.

hp

Arno Welzel

unread,
Feb 26, 2020, 3:05:19 PM2/26/20
to
Peter J. Holzer:

> On 2020-02-24 14:19, Arno Welzel <use...@arnowelzel.de> wrote:
>> On 23.02.20 11:31, Thomas Einzel wrote:
>>> Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers
>>> per Hand eintippen und kann sie nicht in der Kontaktliste speichern.
>>> Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert
>>> (gehasht) auf Signals Servern abgeglichen und anschließend wieder
>>> gelöscht...."
>>>
>>> Also für den Normaluser kaum unbenutzbar ohne Adressbuch upload.
>>
>> Woraus leitest Du ab, dass das komplette Adressbuch zum Server geschickt
>> wird und nicht nur die Hashes der Telefonnummern, damit man sieht, ob
>> die dem Server als Kontakt bekannt sind?
>
> Man sollte sich darüber klar sein, dass zwischen einer Telefonnummer und
> ihrem Hash kein großer Unterschied besteht: Es gibt nicht besonders
> viele Telefonnummern, die kann man einfach alle durchprobieren. Aber
[...]

Meine aktuelle Mobilnummer hat inkl. Ländervorwahl 13 Stellen. 10^13
sind immerhin 100 Milliarden Kombinationen. Selbst wenn man die
Ländervorwahlen deutlich reduziert, weil es nicht jede Kombination aus
00-99 gibt, sind es immer noch weit über eine Milliarde Möglichkeiten.

Laut Spezifikation E.164 der ITU-T sind inklusive zweistelligem
Ländercode sogar bis zu 15 Stellen erlaubt, womit sich der Aufwand
nochmal um Faktor 100 erhöht.

Peter J. Holzer

unread,
Feb 27, 2020, 6:02:48 AM2/27/20
to
On 2020-02-26 20:05, Arno Welzel <use...@arnowelzel.de> wrote:
> Peter J. Holzer:
>> Man sollte sich darüber klar sein, dass zwischen einer Telefonnummer und
>> ihrem Hash kein großer Unterschied besteht: Es gibt nicht besonders
>> viele Telefonnummern, die kann man einfach alle durchprobieren.
>
> Meine aktuelle Mobilnummer hat inkl. Ländervorwahl 13 Stellen. 10^13
> sind immerhin 100 Milliarden Kombinationen.

Das deckt sich ungefähr mit meiner Schätzung (ca. 7 Milliarden Menschen
= ca. 7 Milliarden existierende (Mobil-)Telefonnummern, Dichte ist ca.
10%, daher ca. 70 Milliarden potentielle Telefonnummern).

Aber wenn ich z.b:
https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 richtig
interpretiere, dann schafft eine einzelne Nvidia GTX 1080 ca. 1
Milliarde SHA512-Hashes pro Sekunde. Da hätte man dann die 100
Milliarden Telefonnummern in zwei Minuten durch.

Und das ist der Aufwand für die ganze Welt. Wenn jemand die
Telefonnummern Deiner Kontakte finden will, kann er vermutlich davon
aussgehen, dass die allermeisten in Deutschland sind - damit reduziert
sich das dann um den Faktor 100 - auf ca. 1 Sekunde (und dabei hat der
Angreifer gleich alle deutschen Nummern gehasht, für die Kontakte von
Thomas braucht er dann nur mehr Table-Lookups).

hp

Arno Welzel

unread,
Feb 28, 2020, 3:00:27 AM2/28/20
to
Peter J. Holzer:

> On 2020-02-26 20:05, Arno Welzel <use...@arnowelzel.de> wrote:
>> Peter J. Holzer:
>>> Man sollte sich darüber klar sein, dass zwischen einer Telefonnummer und
>>> ihrem Hash kein großer Unterschied besteht: Es gibt nicht besonders
>>> viele Telefonnummern, die kann man einfach alle durchprobieren.
>>
>> Meine aktuelle Mobilnummer hat inkl. Ländervorwahl 13 Stellen. 10^13
>> sind immerhin 100 Milliarden Kombinationen.
>
> Das deckt sich ungefähr mit meiner Schätzung (ca. 7 Milliarden Menschen
> = ca. 7 Milliarden existierende (Mobil-)Telefonnummern, Dichte ist ca.
> 10%, daher ca. 70 Milliarden potentielle Telefonnummern).
>
> Aber wenn ich z.b:
> https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 richtig
> interpretiere, dann schafft eine einzelne Nvidia GTX 1080 ca. 1
> Milliarde SHA512-Hashes pro Sekunde. Da hätte man dann die 100
> Milliarden Telefonnummern in zwei Minuten durch.

Nein, nicht eine einzelne - das ist ein Verbund von acht(!) GTX 1080:

"Accelerator: 8x Nvidia GTX 1080 Founders Edition"

Aber letztlich ist es auch egal - dann dauert es halt mit einer
einzelnen GTX 1080 rund 16 Minuten, um alle möglichen Hashes zu erhalten.

> Und das ist der Aufwand für die ganze Welt. Wenn jemand die

Nein, nur für 13-stellige Nummern. Die ganze Welt wäre Faktor 100 mehr,
also ungefähr 27 Stunden mit einer einzelnen GTX 1080.

Aber im Kern hast Du schon recht, ein unlösbarer Aufwand ist es nicht
und ein schönes Beispiel, wieso die Länge von Passwörtern wichtiger ist,
als deren Komplexität.

Peter J. Holzer

unread,
Feb 28, 2020, 2:30:12 PM2/28/20
to
On 2020-02-28 08:00, Arno Welzel <use...@arnowelzel.de> wrote:
> Peter J. Holzer:
>> On 2020-02-26 20:05, Arno Welzel <use...@arnowelzel.de> wrote:
>>> Peter J. Holzer:
>>>> Man sollte sich darüber klar sein, dass zwischen einer
>>>> Telefonnummer und ihrem Hash kein großer Unterschied besteht: Es
>>>> gibt nicht besonders viele Telefonnummern, die kann man einfach
>>>> alle durchprobieren.
>>>
>>> Meine aktuelle Mobilnummer hat inkl. Ländervorwahl 13 Stellen. 10^13
>>> sind immerhin 100 Milliarden Kombinationen.
>>
>> Das deckt sich ungefähr mit meiner Schätzung (ca. 7 Milliarden Menschen
>> = ca. 7 Milliarden existierende (Mobil-)Telefonnummern, Dichte ist ca.
>> 10%, daher ca. 70 Milliarden potentielle Telefonnummern).
>>
>> Aber wenn ich z.b:
>> https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 richtig
>> interpretiere, dann schafft eine einzelne Nvidia GTX 1080 ca. 1
>> Milliarde SHA512-Hashes pro Sekunde. Da hätte man dann die 100
>> Milliarden Telefonnummern in zwei Minuten durch.
>
> Nein, nicht eine einzelne - das ist ein Verbund von acht(!) GTX 1080:
>
> "Accelerator: 8x Nvidia GTX 1080 Founders Edition"

Richtig, er gibt aber immer die Performance für jede einzelne und für
alle acht gemeinsam an. Die einzelnen sind zwischen 1071.1 MH/s und
1088.1 MH/s, die Summe ist 8624.7 MH/s. Also gut 1 Milliarde Hashes für
eine GTX 1080, ca. 8½ Milliarden für den ganzen Verbund.


> Aber letztlich ist es auch egal - dann dauert es halt mit einer
> einzelnen GTX 1080 rund 16 Minuten, um alle möglichen Hashes zu erhalten.
>
>> Und das ist der Aufwand für die ganze Welt. Wenn jemand die
>
> Nein, nur für 13-stellige Nummern. Die ganze Welt wäre Faktor 100 mehr,

Ich bezweifle, dass es auf der Welt 10^15 Mobiltelefonnummern gibt. Auch
wenn theoretisch 15 Stellen erlaubt sind, sind die in der Praxis kürzer.
Hier in Österreich sind es z.B. (inklusive Ländervorwahl) meistens 12,
selten 13 Ziffern. Aber nicht alle von diesen Kombinationen sind
überhaupt mögliche Mobiltelefonnummern: Die Providervorwahl ist m.W.
immer zwischen 650 und 699, was den Suchraum mal schon um den Faktor 20
reduziert. Und von diesen 50 Vorwahlen sind nicht alle vergeben (in
meinem Adressbuch finde ich nur 7 verschiedene, insgesamt werden es
vielleicht 10 bis 20 sein).

Die 100 Millionen sind schon eine gute Schätzung für die ganze Welt.

> also ungefähr 27 Stunden mit einer einzelnen GTX 1080.

Bei 27 Stunden zahlt es sich andererseits wahrscheinlich nicht aus, dass
jemand recherchiert, welche Vorwahlen es wirklich gibt.


> Aber im Kern hast Du schon recht, ein unlösbarer Aufwand ist es nicht
> und ein schönes Beispiel, wieso die Länge von Passwörtern wichtiger ist,
> als deren Komplexität.

Naja, Passwörter mit 13 Zeichen wären schon nicht so schlecht. PINs mit
13 Ziffern hingegen wären nicht so toll.

Aber der große Unterschied ist, dass man bei Passwörtern Algorithmen
verwendet, die es absichtlich schwierig machen, zu erkennen, dass zwei
User das gleiche Passwort haben - hier hingegen, ist das Matchen genau
der Zweck - man kann also kein Salt verwenden, und viele Runden oder ein
großer RAM-Footprint wären eher kontraproduktiv, also sind es
wahrscheinlich nur einfache Hashes (den tatsächlich verwendeten
Algorithmus habe ich im Source der Client-Library nicht gefunden).

hp

Marc Stibane

unread,
Mar 15, 2020, 6:08:22 AM3/15/20
to
Arno Welzel <use...@arnowelzel.de> wrote:

> In meinem aktuellen Umfeld habe ich zumindest durchgesetzt, dass
> Passwörter etc. grundsätzlich nicht per E-Mail geschickt werden dürfen.

Womit dann?
e2e-Messenger?

--
In a world without walls and fences,
who needs windows and gates?

Arno Welzel

unread,
Mar 15, 2020, 3:54:12 PM3/15/20
to
Marc Stibane:

> Arno Welzel <use...@arnowelzel.de> wrote:
>
>> In meinem aktuellen Umfeld habe ich zumindest durchgesetzt, dass
>> Passwörter etc. grundsätzlich nicht per E-Mail geschickt werden dürfen.
>
> Womit dann?
> e2e-Messenger?

Ja. In meinem Fall Signal. Zur Not telefonisch oder SMS.

Floppy Disk

unread,
Mar 15, 2020, 4:35:48 PM3/15/20
to
>> Doch, die meisten Leute nutzen das.

> Enigmail trauere ich jetzt schon nach.


In welcher Welt lebst Du.
Ich kenne keinen einzigen der das nicht benutzt.
Im Business ist das Standart.

Franklin Schiftan

unread,
Mar 15, 2020, 11:56:26 PM3/15/20
to
Ach, die mit der Fahnenstange .... ;-)

--
..... und tschuess

Franklin

Arno Welzel

unread,
Mar 16, 2020, 6:35:26 AM3/16/20
to
Floppy Disk:
In meinem "Business" nennt man das "Standard" und Enigmail gehört nicht
dazu, wie auch PGP/GnuPG für E-Mail bei den meisten Firmen generell
unüblich ist.

Floppy Disk

unread,
Mar 29, 2020, 10:22:07 AM3/29/20
to
>> In welcher Welt lebst Du.
>> Ich kenne keinen einzigen der das nicht benutzt.
>> Im Business ist das Standart.

> In meinem "Business" nennt man das "Standard" und Enigmail gehört nicht
> dazu, wie auch PGP/GnuPG für E-Mail bei den meisten Firmen generell
> unüblich ist.

Ich glaub Du lebst im letzten Jahrtausend. Ich kenne nur wenige die es
nicht nutzen.

Arno Welzel

unread,
Mar 29, 2020, 2:27:14 PM3/29/20
to
Floppy Disk:
JFTR:

<http://keys.gnupg.net/pks/lookup?search=arnowelzel&fingerprint=on&op=index>

Und ich kenne trotzdem nur wenige, die es nutzen und ich selber bin von
PGP/GnuPG mittlerweile ganz abgekommen. Wer mit mir verschlüsselt
kommunizieren will, kann gerne Signal nutzen oder ich biete einen
sicheren Kanal auf meinem Server an, wo man auch Dateien austauschen kann.

Ansonsten versuche mal mit eine beliebigen großen Firma wie Bahn,
Telekom oder Vodafone per E-Mail zu kommunizieren und denen
Verschlüsselung mit PGP oder GnuPG anzubieten, um die weitere
Kommunikation abzusichern.

Stefan Claas

unread,
Mar 29, 2020, 3:31:58 PM3/29/20
to
1+

Und als gutes Werkzeug, in 2020, kann man GnuPG auch nicht weiterempfehlen.

Das einzige was an GnuPG gut ist, dass es Governikus für Bundesbürger gibt und
den Hagrid keyserver, der dummerweise solche Governikus Signaturen abschneidet.

Grüße
Stefan

--
Signal (Desktop) +4915172173279
https://keybase.io/stefan_claas


Stefan Claas

unread,
Jan 29, 2021, 3:45:25 PMJan 29
to
Peter J. Holzer wrote:

> [...]

gemäß des Subject: Headers ... ;-)

https://sequoia-pgp.org/

sequoia-pgp hat gegenüber GnuPG oder gpg4win den Vorteil
das man ein Schlüsselpaar ohne UID erstellen kann, WKD
auch auf github.io Seiten funktioniert, usw.

Klein und fein, im Vergleich zu bloatware.

Grüße
Stefan
Reply all
Reply to author
Forward
0 new messages