Einer der zentralen Bestandteile der E-Mail Verschlüsselung mittels OpenPGP/GPG basierte auf dem Web of Trust. Im Gegensatz zur Konkurrenz S/MIME setzte man eben nicht auf ein hierarchisches Zertifikatssystem. Das Web of Trust scheiterte spektakulär 2019.

Damals wurden nämlich die SKS-Keyserver über die öffentliche Schlüssel verteilt werden konnten gezielt angegriffen (siehe: Kommentar: OpenPGP Keyserver – Letzte Zuckungen). Kernproblem: Die Software zum Betrieb der Keyserver war quasi unwartbar. Die Entwicklercommunity veröffentlichte deshalb ein neues Keyserver-Modell, das sich durch eine Mailadressenüberprüfung auszeichnete und keine Signaturen mehr verteilte (eben die Abschaffung des Web of Trust).

Ich konnte mir schon damals folgenden Kommentar nicht verkneifen:

Durch die Dezentralisierung des Protokolls dauert es aber viel zu lange bis diese Entwicklungen beim Anwender ankommen. Alle Implementierungen müssen schließlich die voreingestellten Keyserver auswechseln. Selbst wenn die Entwickler das wirklich machen (was noch nicht gesichert ist) dauert es Jahre bis das alle Anwender erreicht – sofern diese überhaupt noch ihre Clients aktualisieren bzw. überhaupt noch aktiv gepflegte Programme nutzen.

Ich hab die letzten Wochen ein paar Neuinstallationen mit verschiedenen Linux Distributionen vorgenommen (siehe: Erfahrungen mit dem ASUS ZenBook 14 UM425IA). Außer Manjaro setzen alle Distributionen bei der zentralen Schlüsselverwaltungssoftware von KDE, namens Kleopatra, immer noch auf SKS-Keyserver. Das bedeutet erstens niemand hat Upstream etwas an den Standardkonfigurationen geändert hat und sich auch niemand bei den Distributionen die Arbeit machen wollte.

Bei ein bisschen Recherche konnte ich nur feststellen, dass wohl Enigmail damals schnell reagiert hat. Wie da der aktuelle Stand ist bleibt aber unklar, da die OpenPGP-Integration in Thunderbird kürzlich massiv umgebaut wurde (siehe: Thunderbird nun offiziell mit OpenPGP). Wie das bei den anderen Implementierungen aussieht kann ich nicht sagen. Vielleicht weiß dazu hier jemand mehr?

Das soll jetzt kein Plädoyer für S/MIME sein, denn dort gibt es ebenfalls große Probleme (siehe: S/MIME – Eine Verschlüsselungsoption weniger). Es zeigt halt einfach wie Tod das ganze Konzept inzwischen ist. Man kann es gleich neben dem Pendant für Echtzeitkommunikation XMPP beerdigen.

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein