Die Zeit von PGP ist vorbei

Immer häufiger empfehlen Experten, so bald als möglich auf PGP zu verzichten und die Kommunikation auf sicherere Apps wie Signal, Threema oder WhatsApp zu verlagern1. Das hat drei Gründe:

  1. Die Anzahl der möglichen Fehler bei der Nutzung von PGP ist sehr hoch. (Zuletzt hat sich das Adobe Security-Team mit der Veröffentlichung des eigenen Private Key blamiert.)
  2. Apps wie Threema, Signal und WhatsApp sind hingegen kinderleicht zu bedienen und deren (ohnedies sicherere) Verschlüsselung verschwindet, einmal eingerichtet, in den Hintergrund. Ein Nutzer kann fast keine Fehler machen.
  3. iOS-Devices2 sind mittlerweile sicherer als selbst mit einer Festplattenvollverschlüsselung ausgestattete Computer.

Und wenn sowohl das Betriebssystem als auch die Apps und die darin genutzten Protokolle allesamt sicherer sind als ein auf einem umständlich gesicherten Computer von einem erfahrenen User genutztes PGP, dann bedeutet das im Klartext: Die Zeit von PGP ist vorbei. #


  1. Oder Protokolle wie XMPP+OTR oder XMPP+OMEMO zu benutzen. Hier eine Liste von Clients
  2. Siehe zB diese Tweets von Zeynep Tufekci und Matthew Green

Das beste PGP-Tutorial für Mac OS X #

Jerzy Gangi hat das beste PGP-Tutorial für Mac OS X geschrieben. Das behauptet er selbst, aber ich muss ihm schon zugestehen, wenn nicht das beste, dann doch eines der besten Tutorials zur Nutzung von PGP unter Mac OS X geschrieben zu haben.

Warum – so Jerzy – ist sein Tutorial das beste?

It works with every app. Unlike other tutorials for PGP, this tutorial does not care what program you use. […] It is Mac friendly. There is a certain way of doing things on a Mac. If you’re not a Mac fan, you won’t understand. […] Simple. Above all, this PGP setup is simple. Once you understand how it works, there is nothing you cannot do.

Mir gefällt der Zugang zum Thema Verschlüsselung, der im Tutorial klar wird. Zum Beispiel lehnt Jerzy Gangi das Mail.app-Plugin der GPG Suite explizit ab.

People who use mail plugins for encryption have no idea how they work; the result is a false sense of security. […] Inline text works places where attachments don’t (the shell, Facebook, iMessage, etc.). […] The majority of people who have sent me MIME test emails using the Mail.app plugins sent undecryptable messages, because they have no idea what they’re doing or how it works. […] Lots of applications and email clients do not have PGP built in, so you need inline anyway.

Das Tutorial wurde vor 3 Jahren veröffentlicht. Weiß heute eigentlich noch irgendwer, was PGP ist? Verwendet heute noch irgendwer E-Mails? #