Benutzer blumenwiese schrieb:
In der angedachten Lösung wäre eine Verschlüsselung über POP, SMTP bzw. IMAP nach wie vor so kompliziert, dass es sich nicht durchsetzen wird. Daran ändert auch diese Vorschlag von Google leider nichts.
Hast Du denn irgendeine (möglicherweise unfertige) Idee, wie das gelöst werden sollte?
Wenn mich mein Verstand nicht Verlassen hat gibt es nur zwei Konzepte:
A) End2End-Verschlüsselung mit Verwaltung des Empfängerschlüssels im Endgerät oder in einem USB-Stick etc.,der dann immer eingesteckt werden muss.
B) Verschlüsselung End2Hop nur bis zum Mailserverbetreiber (hier also Google) und Verwaltung des Empfangsschlüssels durch den Mailserver. Dann habe ich wieder alle Nachteile: Ich muss dem Mailserverbetreiber vertrauen, vertrauen dass er nicht von der NSA zur stillschweigenden Schlüsselherausgabe erpresst wird und habe dennoch das Gefühl, "ich könnte es gar nicht bemerken" wenn die NSA reingepfuscht hätte.
Verschlüsselte Email hat kein Papier, nicht einmal der Umschlag besteht aus Papier. Wenn ich stattdessen eine Verschlüsselung verwende, nützt mir der klassische Brieföffner (das metallische Universalwerkzeug am Schreibtisch) nichts mehr - ich benötige einen privateKey zum Aufsperren des an mich gerichteten elektronischen Briefumschlags. - Das ist das Prinzip.
Gibt es denn irgendeine andere Möglichkeit?
Standardmäßig im Browser mitausgelieferte Plugins und eine Aufforderung einen PrivateKey zu erstellen. - Was soll daran kompliziert sein?
Der historische "Fehler" von PGP war, dass es keine mobile Hardware gab, nicht einmal USB-Sticks zum lagern der Schlüssel. Die heutige Endversion ist doch die, dass der Empfängerschlüssel sich im Handy befindet und daher ständig dabei ist. Deshalb haben sich doch Anwendungen wie Threema.ch überhaupt erst verbreiten können und haben gemessen an der kurzen Existenz schon mehr erreicht, als PGP bis zum Jahr 2000 erreichen konnte als es mit Win 3.11 in der Praxis weder Useraccounts noch USB-Stick oder gar Smartphones gab. Danach galt es als Altbacken und nicht mehrheitsfähig.
Alle schreien PGP sei schwierig und keiner hat Probleme OTR zu installieren, das genauso auf einem PrivateKey basiert, also was soll der Sturm im Wasserglas?
Die meisten DAUs die es nicht einmal schaffen, auf der Seite http://thunderbird.gnupt.de mal probeweise einen vorbereiteten, portablen Thunderbird zu laden, brauchen ein Webinterface und sind mit allem anderen Lösungen überfordert. Die brauchen doch gar kein POP3 oder IMAP. So was soll's?
Die Leute die jetzt noch kein PGP am Laufen haben sind mit der Entscheidung, ob sie http://gnupt.de/ oder gpg4win.de Installieren sollen und dass sie dann dennoch enigmail oder ein anderes Plugin brauchen überfordert. - Das ist halt so.
Gleichzeitig soll verschlüsselte Email nichts kosten (finde ich ja auch) also gab es keinen professionellen Anbieter der Geld in die Hand nimmt, damit es komfortabel funktioniert. Wenn Google jetzt einsteigt, um sich in der Kundenwahrnehmung von der NSA und von Facebook abzuheben begrüße ich das!
Wenn Google ein handhabbares GUI erstellen will, kriegt Google das hin. Die werden halt weiterhin alle Email-Überschriften (Subjects) und alle unverschlüsselten Emails konsequent auswerten. Da es Google um Konsum und Werbung geht, in echten Privat-Mails aber selten ein Produkthinweis drinsteht, kann es für Google sogar gut sein, wenn der Kunde per Verschlüsselung schon vorsortiert, in welchen Emails eh' keine Konsumdaten drinstehen.
Und die Vermarktung per Chrome fördert natürlich die Verbreitung der Suchmaschineneinstellung "Google-Suchmaschine" und erlaubt die Ausspähung aller angesurften Seiten.
Also Google versteh' ich. Und wenn dadurch Laien das Prinzip "PrivateKey" erlernen, kann man sie leichter zum Umstieg auf eine anderer PKI-Software bewegen, als wenn das alles "ach so kompliziert" erscheint.
Was es definitiv nicht ist, sobald man mal die Unterscheidung in logische Adressierung (=Email-Adresse) und kryptographische Adressierung (=PKI-Schlüssel) kapiert hat, ist es doch nicht schwierig.
Ein verantwortungsvoller Umgang mit dem PrivateKey gestattet es halt nicht, dass ich auf zwanzig Computern zwanzig Kopien meines PrivateKeys aufspiele. Aber da müssen alle Verschlüsselungssysteme durch.