Harry Boeck schrieb am 4. März 2013 02:54
> Die Version übrigens ist die "1.00" von 2011, die beim BSI
> offengelegt ist und die man gleich als erste treffer einer
> Google-Suche nach "Technische Richtlinien De-Mail" erhält:
"Such doch selbst" ist keine gute AUsrede, keine Quellen anzugeben.
Zumal wenn...
> https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/TechnischeRichtl
> inien/TechnRichtlinien_node.html
... es zwei dutzend verschiedene Dokumente gibt. Aber sei's drum.
> Die wenigen Absätze, die zur
> Verschlüsselung geschrieben wurden, stellen eine extrem vereinfachte
> Kurzbeschreibung von ...Tusch!... PGP dar.
[...]
> Also: WENN der Macher von PGP sein Verfahren hätte patentieren
> lassen, dann hätte er einen Grund, gegen DE-Mail zu klagen.
Deine ganze Argumentation baut auf einer Fehlannahme auf: Nämlich,
dass es der Anspruch von De-Mail sei, neue Verschlüsselungsverfahren
zu entwickeln.
Das Gegenteil ist der Fall. Wenn neue Verfahren in großem Stil
entwickelt worden wären, würde zumindest mein Vertrauen in das System
rapide abfallen.
Was De-Mail tut, ist, bekannte Verfahren sinnvoll zu kombinieren, und
vor allem deren Verfügbarkeit zu garantieren.
> Aus den "Richtlinien" geht also nur hervor, daß DE-Mail rein gar
> nichts anders oder gar besser macht als PGP.
Leider falsch. Mensch, da hatte ich mich so gefreut, dass endlich mal
jemand "Butter bei die Fische" machen will, und sogar eine Spec
aufmacht -- und dann so was. Wie enttäuschend. Hast du die Spec
gelesen, oder hast du sie nur an einer beliebigen Stelle
aufgeschlagen und Sachen rauskopiert?
Zwei Beispiele für Dinge, die De-Mail liefert, die PGP nicht kann,
sind:
- belegbare Zustellung
- bessere Wahrung der Vertraulichkeit (Stichwort: Verbindungsdaten)
Und es gibt noch diverse andere Dinge, die De-Mail besser macht.
Beispielsweise müssen De-Mail Provider Infrastruktur zum
Schlüsseltausch vorhalten. Damit hat man als Nutzer
identitätsgeprüfte Schlüssel zur Verfügung, und zwar ohne
Fingerprints am Telefon vorzulesen, oder so wilde Konstrukte wie das
"Web of Trust" (das ebenfalls nicht massentauglich ist). Genau
genommen ist die Situation für E2E durch De-Mail so gut wie nie
zuvor. Huch!
> Die Version übrigens ist die "1.00" von 2011, die beim BSI
> offengelegt ist und die man gleich als erste treffer einer
> Google-Suche nach "Technische Richtlinien De-Mail" erhält:
"Such doch selbst" ist keine gute AUsrede, keine Quellen anzugeben.
Zumal wenn...
> https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/TechnischeRichtl
> inien/TechnRichtlinien_node.html
... es zwei dutzend verschiedene Dokumente gibt. Aber sei's drum.
> Die wenigen Absätze, die zur
> Verschlüsselung geschrieben wurden, stellen eine extrem vereinfachte
> Kurzbeschreibung von ...Tusch!... PGP dar.
[...]
> Also: WENN der Macher von PGP sein Verfahren hätte patentieren
> lassen, dann hätte er einen Grund, gegen DE-Mail zu klagen.
Deine ganze Argumentation baut auf einer Fehlannahme auf: Nämlich,
dass es der Anspruch von De-Mail sei, neue Verschlüsselungsverfahren
zu entwickeln.
Das Gegenteil ist der Fall. Wenn neue Verfahren in großem Stil
entwickelt worden wären, würde zumindest mein Vertrauen in das System
rapide abfallen.
Was De-Mail tut, ist, bekannte Verfahren sinnvoll zu kombinieren, und
vor allem deren Verfügbarkeit zu garantieren.
> Aus den "Richtlinien" geht also nur hervor, daß DE-Mail rein gar
> nichts anders oder gar besser macht als PGP.
Leider falsch. Mensch, da hatte ich mich so gefreut, dass endlich mal
jemand "Butter bei die Fische" machen will, und sogar eine Spec
aufmacht -- und dann so was. Wie enttäuschend. Hast du die Spec
gelesen, oder hast du sie nur an einer beliebigen Stelle
aufgeschlagen und Sachen rauskopiert?
Zwei Beispiele für Dinge, die De-Mail liefert, die PGP nicht kann,
sind:
- belegbare Zustellung
- bessere Wahrung der Vertraulichkeit (Stichwort: Verbindungsdaten)
Und es gibt noch diverse andere Dinge, die De-Mail besser macht.
Beispielsweise müssen De-Mail Provider Infrastruktur zum
Schlüsseltausch vorhalten. Damit hat man als Nutzer
identitätsgeprüfte Schlüssel zur Verfügung, und zwar ohne
Fingerprints am Telefon vorzulesen, oder so wilde Konstrukte wie das
"Web of Trust" (das ebenfalls nicht massentauglich ist). Genau
genommen ist die Situation für E2E durch De-Mail so gut wie nie
zuvor. Huch!