Kommentare zu folgendem Beitrag: GnuPG-Verschlüsselung: Fragen für den Podcast mit Werner Koch einreichen
Was er von Apps wie delta.chat hält, und ob diese Idee bei der Unterstützung der verschlüsselten Kommunikation helfen kann - im Vergleich zu Diensten die nicht mit Email-Protokoll arbeiten
Was er von der Entwicklung der Kriegsberichterstattung hält, dass man quasi Live dabei sein kann und welche Ideen er hat, Menschen vor Ort helfen zu können und ob er Denkt dass Unternehmen wie Starlink Geräte oder andere Technologie als Unterstützung bereitstellen sollten.
wie er politikerInnen zum
einsatz von open-source produkten in sachen kritischer Infrastruktur „überzeugen“ würde !?
Wie schon im Artikel steht:
Der neue Anbieter eSIM.me hat uns freundlicherweise 5 eSIMs im Wert von je 69,95 € zur Verfügung gestellt.
Wer eine nutzen will, muss vorher prüfen, ob ihr/sein Smartphone damit arbeitet. Wenn ja, geht alles ganz schnell und ist wirklich easy. Ich habe hier in Düsseldorf total miesen Empfang mit E-Plus und nutze für das Surfen unterwegs das Netz eines anderen Mobilfunkanbieters über die eSIM. Das ist ganz praktisch.
Bisher haben nur zwei Personen Fragen gestellt. Eure Chancen stehen gut, wer macht noch mit?
Fragen:
-
Ist er schon mal von irgend einem Regierungsdienst unter Druck gesetzt worden, um die Sicherheit von GnuPG aufzuweichen?
-
Von 2001 bis 2014 habt ihr eure Bilanzen der G10-Code GmbH immer offen gelegt. Zuletzt hörte sich die zukünftige Finanzierung sehr unsicher an. Wie ist es denn um die GmbH nach 2014 bis dato bestellt? Sind die finanziellen Sorgen immer noch gravierend für G10-Code?
-
Die aktuelle Version von GnuPG ist 2.4.2. Wie sieht die Roadmap für die Zukunft aus? Wird es in absehbarer Zeit eine Version 2.5.x oder sogar 3.x.x geben?
Fragen:
- Gibt es Bewegung im [Webkey-RFC](https://datatracker.ie tf.org/doc/html/draft-koch-openpgp-webkey-service-16), dass dieser den Draft-Status verlässt?
- Gibt es Hoffnung, dass Webkey in Thunderbird nativ unterstützt wird mit den Funktionen, die bereits Enigmail unterstützt hat (z.B. Upload eines neu erstellten Keys zum Webkey-Server)?
Wie kann man sicher sein, dass staatliche Dienste, ganz besonders aus den USA, wirklich keine Universal-Backdoor haben, wie es die Gerüchteküche für alle „sicheren“ Verschlüsselungen vermutzt?
Wie gehen Sie mit staatlichen Anfragen oder Gerichtsbeschlüssen um, die den Zugriff auf verschlüsselte Daten oder den Quellcode Ihrer Software verlangen?
Da kamen noch ein paar Fragen per Mastodon rein:
bester Verschlüsselungs Algorithmus ??
ECC Curve 25519 am besten ? Oder gibt es etwas besseres ???!!!
Aussicht zur CHATKONTROLLE , was wird aus der Verschlüsselung ???
von Café Junkie kam diese Frage
Was sagt er zum akt. Stand von E-Mail-Verschlüsselung: im Allgemeinen bzgl. der Aussichten, „kommt da noch was“; aber auch wie Speziellen wie derzeit bei Thunderbird implementiert oder bei DeltaChat umgesetzt?
Wie bewertet er Autocrypt und welche Verbesserungen sieht er zum Vermeiden von Mitm-Attacken?
Danke.
Von Kevin Karhan kam diese Frage
@tarnkappeinfo warum kann man bei #GnuPG nicht einfach
gpg --encrypt ./unencrypted.file ./pubkey.asc
bzw.
gog --decrypt ./encrypted.file.gpg ./private.key.asc
machen?
Das gegenwärtige Setup verhindert wirksam gute.Skriptbarkeit in #bash & #fish!
Momentan mache ich ein Interview mit den Machern von eSIM. Es ist also trotz Ablauf der Deadline noch etwas Zeit.
Hat jemand noch eine sinnvolle Frage an Werner Koch???
Was ist denn aus der Verlosung der ESIM.ME-Karten geworden?
@pebach68 Gute Frage, der Kontakt bei E-Sim.me hat sich verdünnisiert, keine Antwort mehr erhalten. Ich werde das wahrscheinlich mit hide.me Gutscheinen ausgleichen müssen.
So, morgen um 17 Uhr sind die Aufnahmen für den Podcast - ENDLICH! Doch die Verzögerung lag nicht an Werner, sondern an mir…
Hier sind die Fragen an Werner Koch - aber alle kann ich nicht stellen, das sind viel zu viele!
Entstehung
Werner, du hast 1997 angefangen, am Kryptographiesystem für E-Mails, GnuPG zu arbeiten. Ohne GnuPG wäre eine sichere Kommunikation und somit jegliches Whistleblowing, die Kommunikation unter vom Staat verfolgten Menschen oder auch Open-Source-Projekte wie Debian, Tails und vieles mehr undenkbar.
Wie aber kommt man auf die wahnwitzige Idee, überhaupt so etwas zu entwickeln? Das ist so unglaublich speziell und kompliziert. Anders gefragt: Wieso macht dir das Spaß?
Durchführung
Weshalb gibt es noch immer keinen leicht zu bedienenden Standard für E-Mail-Verschlüsselung? Weil man damit kein Geld verdienen kann? Oder weil es menschlich ist, sich zu streiten und es in der FOSS-Gemeinschaft immer mal wieder zu Auseinandersetzungen kommt, die die Entwicklung von Software hemmt?
Unser Moderator VIP fragt, ob Du schon einmal von einem Regierungsdienst unter Druck gesetzt wurdest? Das würde mich persönlich auch sehr interessieren. Wenn man das wollte: Wo könnte man überhaupt bei dir ansetzen? Du machst überhaupt nicht den Eindruck, als wenn dir Geld wichtig wäre. Was gibt es noch? Deiner Familie etwas Schlimmes androhen? Erpressung aufgrund von heiklen Informationen, die dich in Probleme bringen könnten? Frauen? Das wären u.a. die typischen Angriffsvektoren für Geheimdienste.
Welcher ist der beste Verschlüsselungs-Algorithmus, hat ein Leser per Mastodon gefragt. Er sprach von ECC Curve 25519.
Wie steht es finanziell um den Verein GnuPG e.V.? Kommen genug Spenden rein? Oder finanzierst du vieles quer über deine Firma, also über die G10-Code GmbH? Geht das überhaupt? Oder läuft das einfach als Hobby nebenher weiter?
Jetzt sprechen wir vom Web Key Directory (WKD). Das ist ein Standardverfahren zur einfacheren Veröffentlichung und Auffindbarkeit von OpenPGP-Schlüsseln im Internet. Ihr arbeitet seit 2016 daran, es wurde offiziell unter einem anderen Namen im Juni 2022 veröffentlicht.
Ein Leser fragt: Gibt es die begründete Hoffnung, dass man die Keys via Thunderbird beim Webkey-Server hochladen kann? Das ging ja mal bei Enigmail.
Ein Leser fragt nach dem Programm Delta Chat. Was hältst Du davon? Welche Messenger kannst Du voll und ganz empfehlen? Würde man Trump, Vance & Co. fragen, würden sie wohl aktuell Signal antworten. Nein, ich freue mich ja, dass Signal endlich mal mit richtig dicken Schlagzeilen in den Nachrichten steht.
Es gibt keine absolute Sicherheit in der Informationstechnologie. Die NSA kann doch bei den nahezu unbegrenzten menschlichen und finanziellen Mitteln eigentlich überall hinein kommen. Heißt das, dass man eigentlich gar nichts mehr sicher nutzen kann? Mal vom Kooperationswillen vieler (wenn nicht aller) Hersteller abgesehen.
Der neue Bundestag hat kürzlich die neue Legislaturperiode eröffnet. Du bist in Deutschland eines der dienstältesten Mitglieder der FSFE. Leserfrage: Wie könnte man Politikerinnen und Politiker vom Einsatz von Open-Source Software zumindest bei Kritischer Infrastrukur überzeugen?
Siehst Du es grundsätzlich als Vorteil an, wenn der Quellcode eines Programms offen ist? Dann können unzählige Hochbegabte von der NSA & Co. ganz in Ruhe daran herumschrauben, bis sie möglicherweise endlich eine Schwachstelle gefunden haben. Oder ist die FOSS-Community zu mehr befähigt, obwohl dort nur ideelle und keine monetären Motive im Vordergrund stehen?
Ausblick
Jetzt mal ganz ehrlich. Haben sich Edward Snowdens Opfer gelohnt? Er wird die USA ja wohl nie wieder als freier Mensch betreten dürfen.
Ich habe beim Thema Datenschutz oft den Eindruck: es ist für viele unwichtig. Also zumindest, bis sie mal selbst betroffen sind - sollten sie das überhaupt mitbekommen.
Wie wird sich das Ganze weiter entwickeln? Und was machst du in 5 oder 10 Jahren? Kann so jemand wie du überhaupt in Rente gehen und nur noch sein Leben genießen?
Tja, der Termin musste verschoben werden, diesmal bin ich unschuldig.