Provokante Analyse: "PGP ist schlecht und sollte verschwinden"
Eine Gruppe von Security-Experten erklärt die grundsätzlichen Probleme mit PGP und gibt Tipps für Alternativen im Alltag.
"Man kann entweder Rückwärtskompatibilität mit den 90ern haben oder solide Kryptografie – aber nicht beides". Das ist ein mehrfach wiederholter Satz aus Lactoras Analyse des universellen Krypto-Werkzeugs PGP. Darin fassen sie sehr kompetent die grundsätzlichen Probleme von PGP aus technischer Sicht zusammen: Interne Komplexität, veraltete Verfahren wegen Rückwärtskompaibilität, komplizierte Benutzung und vieles mehr. Ihr eindeutiges Fazit: "PGP ist schlecht und sollte verschwinden".
Moderne Alternativen zu PGP
Am Ende geben sie dann auch konkrete Tipps, womit man PGP in seiner täglichen Praxis ersetzen kann. Das wichtigste dabei ist, dass man nicht wie bei PGP versuchen sollte, alle Krypto-Probleme mit einem einzigen Multifunktionswerkzeug zu erschlagen, das alles ein bißchen aber das meiste davon eher schlecht erledigt. Statt dessen empfehlen sie spezielle, für einen Einsatzzweck optimierte Tools mit genau darauf zugeschnittenen Krypto-Funktionen. Also etwa Minisign zum Signieren von Software-Paketen, Magic Wormhole zum Übertragen von Dateien oder Tarsnap für verschlüsselte Backups.
Für die Kommunikation empfehlen sie einen Messenger wie Signal, Wire oder sogar WhatsApp, die alle auf dem offenen Signal-Protokoll aufsetzen, das in diesem Bereich den State-of-the-Art repräsentiert. Bei E-Mail hingegen kapitulieren sie dann auch und konstatieren schlicht: "E-Mail ist unsicher". Versuche, das zu ändern sind zum Scheitern verurteilt, weil die Unsicherheit so tief mit dem Funktionskonzept verwoben ist. Für sicherheitsrelevante Dinge sollte man E-Mail nicht mehr einsetzen. Auf aktuelle Ansätze, daran etwas zu ändern, wie Autocrypt und PeP gehen sie dabei allerdings nicht mehr ein.
Mehr dazu liefert die komplette Analyse: The PGP Problem (ju)
