Menü
Avatar von CoolAllo
  • CoolAllo

mehr als 1000 Beiträge seit 19.06.2003

PGP ist viel zu sehr auf reale Identitäten und langsame Nachrichten fixiert

PGP ist darauf fixiert einen Realnamen zu bestätigen. Dabei war lange sogar das prüfen der mit dem Schlüssel verbundenen Mailadresse vernachlässigt.
Inzwischen gehört zu den Tools für Keysigning-Parties dazu, dass jede signierte Identität (ein Schlüssel kann mehrere haben) ihre Signatur nur per Mail an die angegebene Adresse bekommt (und z.B. nicht per Upload auf einen Keyserver), ob das alle so handhaben ist aber unklar.

Aber gucken wir doch ins Web. Wer will eigentlich mit Realnamen auftauchen? Ein Blick hier durchs Forum sagt 95% bei Heise schon einmal nicht. Ein Blick zu Twitter zeigt noch deutlich weniger. Bei Snapchat & Co. dürfte es gegen Null gehen. Und selbst bei Facebook gibt es so einige "Anna Nass" die nur nach Realnamen aussehen.

Was kann man denn bestätigen, wenn man nicht bescheinigt, dass man einen Ausweis gelesen hat? Ein Nickname ist ja nicht eindeutig.

Kommunikations-Handles kann man bescheinigen. Zum Beispiel indem man eine Mailadresse prüft (Mail an die Adresse) und signiert. Der Realname kann falsch sein, aber der Empfänger des signierten Keys den man an die Adresse schickt hat zu dem Zeitpunkt Zugriff auf das Postfach gehabt.

Aber PGP ist auch für langsame Nachrichten, d.h. ganz ohne Vorwärtssicherheit. Heutzutage ist Axolotl (double ratchet, lurch, OMEMO, ...) Stand der Technik. Das funktioniert nicht wenn die Nachricht ein Jahr später zugestellt wird, hält aber eine Woche Offlinezeit aus. Und dass Absender (zum erneut senden) und Empfänger beide längere Zeit nicht online kommen ist auch selten geworden.

Entsprechend ist es vielleicht sinnvoller Kommunikationskanäle zwischen Geräten zu verifzieren, statt Realnamen. Gerade wenn man mit jemandem kommuniziert, dessen Realname einem sowieso nichts sagt und bei dem man nicht weiß ob er das Gerät persönlich in der Hand hat. Da weiß man wenigstens genau was abgesichert ist und was sich auf diese Weise nicht sichern lässt.

Bewerten
- +
Anzeige