Kategorie Diskussion:Benutzer kann PGP

Aus Piratenwiki
Wechseln zu: Navigation, Suche

In Anbetracht der vermuteten statistischen Verteilung sollte man das vielleicht umordnen in:


5: betreibt eigene PKI/ eigenen Keyserver und nimmt nur noch signierte mails an

4: kann eine mail an mehrere user verschlüsselt schicken, mit dem jeweiligen persönlichen Schlüssel

3: nutzt PGP bzw. GPG, wo immer es geht (was ist mit intentionaler Nichtnutzung?)

2: signiert alle Nachrichten

1: hat einen privaten Schlüssel

0: kann nicht (würde aber gern) - stets auch ne Option für die lassen die nicht wollen

-- Jan Huwald 09:12, 11. Jan 2007 (UTC)

Hi Jan,
das ist alles noch in der AlphaPhase 0.1. Skn ;) greetz klml 12:08, 11. Jan 2007 (UTC)

Und jetzt, zwei Jahre später? Kümmert sich überhaupt noch jemand darum? Jae 18:52, 3. Jul. 2009 (CEST)


    • Ich finde die Namensgebung unglücklich, weil sie mit dem kommerziell lizensierten PGP assoziiert ist

als Piraten sollten wir eigentlich offen-lizensierte Tools fördern, deshalb sollten wir die Kategorien Benutzer kann PGP etc. ändern und auf GnuPG und OpenPGP hinweisen - und nicht indirekt Reklame für PGP machen.


"Nicht zuletzt wegen der intransparenten Situation in der Zeit, in der PGP im Eigentum der McAfee war, wurde bis 1998 der OpenPGP-Standard (RFC 2440, überarbeitete Fassung seit November 2007: RFC 4880) entwickelt. Das unter der GNU-GPL stehende Programm GnuPG war ursprünglich die erste Implementation von OpenPGP und wurde als freie Alternative zu PGP entwickelt. Zu PGP gibt es mittlerweile viele Erweiterungen des OpenPGP-Standards, so dass der reibungslose Austausch von Daten nicht immer garantiert ist." (Wikipedia) -- Privacy 08:11, 23. Apr. 2010 (CEST)


Ich staune über diese Kriterien. Ich halte es für abwegig, Crypto-Kompetenz daran zu bemessen, ob jemand nur noch signierte Mails annimmt, alle Mails signiert oder einen Keyserver betreibt. Ich habe (bei einem Konkurrenzverein) OpenPGP-Schulungen abgehalten und bin seit Jahren auf der GnuPG-Mailingliste aktiv. Ich habe auch mal eine GnuPG-Anleitung verfasst, die der SL-LaVo verlinkt hat... Einen Keyserver betreibe ich nicht. Es ist auch nicht sinnvoll, dass jeder einen betreibt. Auf der GnuPG-Mailingliste gibt es eine Reihe von Geeks, die ganz bewusst die meisten ihrer Mails nicht signieren. Wo soll mehr Kompetenz sein als dort? Ich vermute, wer dort verkündete, nur noch signierte Mails zu lesen, würde bestenfalls ausgelacht. Und worin soll die Kompetenz liegen, Mails an mehrere Benutzer zu verschicken? Die Mailclients, die ich in dieser Weise genutzt habe, machen das automatisch. OMFG.

Was meines Erachtens u.a. Kompetenz ausmacht (in zufälliger Reihenfolge): 1) Der User hat einen Offline-Schlüssel. 2) Der User hat seinen Schlüssel in einer sicheren Umgebung erzeugt. 3) Der User hat eine Smartcard und einen Kartenleser mit PIN-Pad. 4) Der User hat mehrere Schlüssel für unterschiedliche Sicherheitsanforderungen. 5) Der User weiß, dass man Signaturen (insbesondere auch für Unterschlüssel) mit einem Ablaufdatum versehen kann und macht davon ggf. Gebrauch. 6) Der User weiß, dass es unterschiedliche Verschlüsselungsalgorithmen und Hashfunktionen gibt und wie man seine Präferenzen in seinem öffentlichen Schlüssel konfigurieren kann. 7) Der User weiß, dass Schlüssel zu kurz, aber auch zu lang sein können. 8) Der User hat ein öffentlich zugängliches, idealerweise von den Zertifizierern seines Schlüssels signiertes Dokument, das seine Signaturpolitik und die Sicherheit seiner Schlüssel beschreibt und über eine policy URL in allen seinen Signaturen referenziert wird. 9) Der User zertifiziert andere Schlüssel immer mit der Information, wie genau er die Angaben des anderen überprüft hat. 10) Der User hat seinen Fingerprint immer auf Papier dabei oder weiß ihn auswendig 11) Der User verteilt seinen Fingerprint auf Papier. 12) Der User kennt integrierte, abgetrennte, binäre und ASCII-codierte Signaturen. 13) Der User weiß, wie das WoT funktioniert und wie man es konfiguriert. 14) Der User weiß, dass man Hauptschlüssel, Unterschlüssel, UIDs und Signaturen einzeln zurückziehen kann und wie. 15) Der User weiß, dass man UIDs ohne Namen und ohne E-Mail-Adresse anlegen kann. 16) Der User weiß, wie er Schlüssel von einem Keyserver holen kann. 17) Der User weiß, dass und wie er durch mehr Iterationen die Sicherheit seiner Passphrase erhöhen kann. 18) Der User weiß, wie er Daten so verschlüsseln kann, dass der Empfänger nicht erkennbar ist. 19) Der User weiß, dass (außer bei E-Mails) beide Reihenfolgen von Verschlüsselung und Signatur möglich sind. 20) Der User kennt gpg --list-packets, --with-colons und gpg-split. 21) Der User weiß, dass man die Gültigkeit von Signaturen automatisiert nicht über den exit code von gpg, sondern über die Ausgabe auf --status-fd prüfen muss. --Hauke laging 07:55, 18. Jun. 2012 (CEST)