Ist mein PGP-Schlüssel echt? Garantiert nicht.

by Volker Weber

heise security berichtet:

Unbekannte haben gefälschte PGP-Schlüssel auf öffentliche Key-Server hochgeladen. Darunter waren auch Fake-Keys des Linux-Entwicklers Linus Torvalds und der c't Kryptokampagne.

Gefälschte PGP-Schlüssel sind bei mir leicht zu erkennen. Sie sind alle gefälscht. Ich habe keinen PGP-Schlüssel. Zu kompliziert, zu eingeschränkt, zu lästig.

Es ist einfach, mit mir verschlüsselt zu kommunizieren: iMessage, WhatsApp, Signal. Jeweils mit meiner Mobilfunknummer.

Comments

Wie kann man dich verschlüsselt erreichen, wenn man nicht bereit ist, sein Adressbuch zu einem der genannten Dienste zu übertragen?

Oliver Zacherl, 2016-08-18

Das muss man im Einzelfall verhandeln. Was bisher noch nicht vorgekommen ist. Wenn es dann mal passiert, ist meine Reaktion wahrscheinlich "kein Interesse".

Volker Weber, 2016-08-18

Passwortgeschützte ZIP-Datei per Email, Passwort per alternativem Übertragungsweg (z.B. Telefon).
Einfacher als sich für eine einmalige Sache mit PGP rumzuschlagen.

Manfred Wiktorin, 2016-08-19

Niemand verschlüsselt alle Emails mit PGP. Das erzeugt viel zu viel Ciphertext, den man nutzen kann, um den Schlüssel zu brechen. Die meisten PGP-Nutzer haben ein Plugin, das alle Mails signiert. Was dem Empfänger völlig wurscht ist. Da steht halt nur ein bisschen Blödsinn in der Mail, den man einfach ignoriert.

Wenn Du jetzt nur ein paar Emails verschlüsselst, dann ist klar, wo Du tuschelst. Und da die Metainformationen nicht verschlüsselt sind, legst Du das "interessante" Netzwerk offen.

Bei iMessages, WhatsApp and Signal sind alle Nachrichten verschlüsselt. Sie sind klein und haben damit wenig Angriffsfläche. Und es ist vollkommen unklar, welche Nachrichten nur das Kindertaxi organisieren und in welchen gerade was wichtiges läuft. Jeder gewinnt. Bis auf die, der sich von Scheinargumenten ablenken lassen.

Volker Weber, 2016-08-19

Old vowe.net archive pages

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Paypal vowe