PGP

  • PGP? 48

    1. ... nie davon gehört. Bekomme ich jetzt einen Keks? (1) 2%
    2. ... schonmal gehört, war das nicht ne Partei? (1) 2%
    3. ... schonmal gehört, irgendwas mit Verschlüsselung glaube ich... (1) 2%
    4. ... wollte ich immer mal benutzen (1) 2%
    5. .... wollte ich immer mal benutzen, war mir aber zu kompliziert (5) 10%
    6. ... habe ich mal genutzt (8) 17%
    7. ... nutze ich gelegentlich (21) 44%
    8. P%�<g1/@�a@@CVR>n;� (10) 21%

    Moin,


    um mal einen kleinen Eindruck zu bekommen, wie so die Lage aussieht... wer hat hier eigentlich schonmal was von PGP gehört, wer nutzt es, etc..?


    Viele Grüße
    Matthias

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • IMHO kann man PGP im geschäftlichen E-Mail-Verkehr nur schwer bis gar nicht nutzen.

    Wenn ich hier etwas auch nur signiere fragen mich häufig die Empfänger was den dieses „signature.asc“ ist das immer mit meinen Mails mitkommt.

    Und meine private Kommunikation läuft mittlerweile fast komplett über Matrix/Riot, Telegram, Signal, … und selten treffe ich Menschen auch noch persönlich ;)


    Würde mich hier aber über Meinungen und Erfahrungen von anderen freuen :)


    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • Ich habe die entsprechenden Keys für mein primäres E-Mail Postfach mal generiert, jedoch hört es da auch auf.


    Die E-Mails, die dort landen sind überwiegend Rechnungen und Loginbenachrichtigungen von meinen allerwichtigsten Diensten (AppleID, Google und Co.), die leider keine PGP Encryption anbieten. Daneben sind es eigentlich nur schulische-organisatorische Mails, die teils sowieso über irgendwelche Verteiler ankommen; auch dort ist PGP kein Begriff. Das ist natürlich dem technische Verständnis der Gegenseite geschuldet, wobei man für PGP eigentlich nicht zu blöd sein kann...


    Letztlich scheitert es also an der Gegenseite. Was nützt mir PGP, wenn mir keiner verschlüsselte Mails schickt?

    Auch scheitert es an intuitiven/modernen mobilen Clients, zumindest unter iOS.

  • Hatte ich mal angedacht, schliesse mich aber Nano an und habe die Idee damals verworfen. Heute haben wir ja wenigstens TLS. Und um die NSA zu ärgern schicke ich mir alle paar Wochen ein paar tausend Zeichen lange, zufällig erzeugte Buchstabenkolonnen an einen anderen Account und von dort eine ebenso zufällige Nachricht zurück. Sollen sich deren Computer ruhig damit vergnügen, daraus was sinnvolles zu entschlüsseln. ;):evil::D

  • Ich benutze es tatsächlich regelmäßig, sowohl für den geschäftlichen als auch universitären Austausch von Mails. Ich benutze dafür einen YubiKey, auf dem mein Private Key untergebracht ist.


    Meine Uni-Kollegen signieren tatsächlich regelmäßig, manche verschlüsseln auch. Manche Anbieter, bei denen ich Kunden bin, schicken auch signierte Mails raus und bieten ihre Keys auch für verschlüsselte Kommunikation an.


    Meine Kunden fragen mich manchmal genau eben diese Frage, was das für ne komische Datei im Anhang ist. Dann erkläre ich denen kurz, dass das n Sicherheits-Feature ist, und sie, wenn sie denn möchten, damit die Echtheit meiner Mail überprüfen können. Lessons Learned: Nicht von PGP reden. "Sicherheit" ist das Wort, was alle gut finden. Klar, es hat mit Sicherheit nix zu tun, wenns keiner überprüft. Aber wenn man es gar nicht nutzt, ists auch nicht sicherer. So gibt es zumindest die Möglichkeit, dass andere Menschen die Echtheit meiner Nachrichten überprüfen können - wenn sie es denn wollen.


    Außerdem signiere ich tatsächlich jeden meiner Git-Commits.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Meine Kunden fragen mich manchmal genau eben diese Frage, was das für ne komische Datei im Anhang ist. Dann erkläre ich denen kurz, dass das n Sicherheits-Feature ist, und sie, wenn sie denn möchten, damit die Echtheit meiner Mail überprüfen können. Lessons Learned: Nicht von PGP reden. "Sicherheit" ist das Wort, was alle gut finden. Klar, es hat mit Sicherheit nix zu tun, wenns keiner überprüft. Aber wenn man es gar nicht nutzt, ists auch nicht sicherer. So gibt es zumindest die Möglichkeit, dass andere Menschen die Echtheit meiner Nachrichten überprüfen können - wenn sie es denn wollen.

    Du scheinst sehr in der Thematik zu stecken, daher kurz Offtopic. Findest du netcup mit dem Webhostingpaket ist sicher genug? Oder sollte man zu Gmail forwarden? Danke dir. :)

  • Hay,

    Du scheinst sehr in der Thematik zu stecken, daher kurz Offtopic. Findest du netcup mit dem Webhostingpaket ist sicher genug? Oder sollte man zu Gmail forwarden?

    Von der Sicherheit macht es keinen Unterschied, ob die Mails hier liegen oder Du sie irgendwo hin forwardest, nachdem sie hier waren. Erst recht nicht zu Google. Denen traue ich zwar zu, ihre Systeme nach außen sicher zu machen (in eigenem Interesse, denn Deine Daten sind deren Geld) - aber nach innen bist Du nicht der Nutzer, sondern das Produkt.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ich habe „hab ich schon mal gehört, hat irgendwas mit Verschlüsselung zu tun“ angeklickt.

    Frag doch lieber mal nach GPG. ;)

    Naja. GPG ist einer der Clients für PGP. PGP ist das Konzept, GPG eine (von vielen) Softwares dazu. Mir gehts dadrum, wer das Konzept nutzt, unabhängig von der gewählten Software.


    edit: Fast richtig. OpenPGP ist der Standard (laut Wikipedia, https://de.wikipedia.org/wiki/OpenPGP)

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Du scheinst sehr in der Thematik zu stecken, daher kurz Offtopic. Findest du netcup mit dem Webhostingpaket ist sicher genug? Oder sollte man zu Gmail forwarden? Danke dir. :)

    Siehe Antwort von CmdrXay. Einen wirklichen Unterschied macht es nicht.


    PGP ist - je nach Benutzung - ne Ende-zu-Ende-Signatur oder ne Ende-zu-Ende-Verschlüsselung, also genau dafür gedacht, über unsichere Kanäle zu schicken. Bei Verschlüsselung können weder Netcup noch Google den Inhalt mitlesen, die Metadaten müssen sie sehen, ansonsten ists recht schwer, Nachrichten dem richtigen Empfänger zuzustellen. Gleiches gilt für die Signatur: Mit einer funktionierenden Signatur kannst du sicherstellen, ob dein Mail-Provider (wie Netcup oder Google) deine Mails verfälschen, während Sie bei denen auf dem Speicher liegen. Kannst ja mal eine statistisch relevante Untersuchung starten, ob du herausfindest, wie oft die Mails einfach so verändert werden ;)


    Beim Thema Verschlüsselung geht man auch immer "vom schwächsten Glied in der Kette" aus. Bei Ende-zu-Ende-Verschlüsselung egal, aber z. B. bei Transportverschlüsselung relevant. Gehen deine Daten einmal unverschlüsselt übers Netz, egal wo, gelten sie aus wissenschaftlicher Sicht als öffentlich zugänglich. Von daher ist eine Weiterleitung von egal wo zu egal wo eigentlich immer ne schlechte Idee, weil man damit die Kette um eins verlängert und man schlechter rausfindet, wer nun das schwächste Glied in der Kette ist. Je mehr Hops, desto riskanter, weil einer könnte ja schwach abgesichert sein.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Wenn du von Netcup zu Gmail forwardest, wo liegen dann deine Daten?

    Richtig, bei Netcup und Gmail. Führt es das ganze nicht ad-absurdum?

    Momentan liegen diese nur bei Gmail. Ich habe bei netcup das Postfach deaktiviert und eine direkte Weiterleitung eingerichtet.
    Ich mag die Suche und den Aufbau von Gmail. Der Datenschutz ist mir hier ein Dorn im Auge, aber mit Thunderbird mag ich nicht arbeiten und roundcube ist auch nicht meins.

  • Tja, dann wirst Du wohl Abstriche machen müssen. Du frägst hier nun bestimmt zum 10. Mal in diversen Threads, ob netcup sicher genug sei, ob Nextcloud die bessere Wahl wäre und das mailbox - org furchtbar ist. Im selben Atemzug sagst Du aber, dass Du aus Bequemlichkeit nicht wechseln willst und beantwortest Dir im Prinzip selber Deine Frage.


    Die eierlegende Wollmichsau gibt es nicht (naja, okay, bei netcup schon :P). Wenn Dir Datenschutz wichtig ist, musst Du Kompromisse bei der Bequemlichkeit machen. Hast Du keine Lust auf sowas, musst Du wohl hinnehmen, dass Google Deine Daten sieht.


    Nicht persönlich nehmen, aber langsam nervts...

  • Dann hast du trotzdem keine Garantie, dass Netcup die nicht (dauerhaft) speichert. Kurzzeitig, alleine fürs Forwarden, müssen die gespeichert werden, bis sie erfolgreich an den Zielhost zugestellt wurden. "Sehen" tut Netcup (bzw. die Infrastruktur) die damit definitiv.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A