Oha, das ist provokativ: Dieser Blogartikel sagt:
- Nutzt kein #PGP / #GPG
- Nutzt kein #XMPP + OMEMO
- Nutzt kein #Matrix (im Sinne: verlasst euch nicht auf die Verschlüsselung)
- E-Mails verschlüsseln ist sinnlos
Ich kenne den Autor nicht und würde ihn nicht erwähnen, würde der Artikel nicht in ernstzunehmenden ITSec-Newslettern zitiert
@Haydar nur kurz überflogen, die Kritik hat durchaus valide Punkte.
OpenSSL ist ein SPOF in vielen Bereichen
Zudem sollte wirklich keiner pgp einsetzen, sondern gnupg nehmen, aber das nur am Rande.
Einige Vorschläge sind zu kurz geraten, zb Dateien einfach per rsync verschlüsselt zu übertragen. Auf linux und Mac ein no-brainer, auf windows nicht ganz so einfach.
Borg als Backup Tool ist toll und empfehlenswert, aber auch nur für bestimmte Systeme. Und das sage ich als Linux-Befürworter.
@Haydar "Don't encrypt email, because there's always metadata! But do use Signal (with metadata on one central server, tied to KYCd phone numbers), because some XMPP clients let you turn off OMEMO!!"
Logic, how does it work? ¯\_(ツ)_/¯
@Haydar Looks like the whole article boils down to an ad for their private key directory thing. And the first half is basically just "listen to me, I'm an expert, all these other people are dumb".
@raucao @Haydar This is a common failure mode of security specialists. They make perfect the enemy of the good, and start building or promoting systems that are secure but deficient in some other way: too centralized, or too difficult to use, or too difficult to implement. And ironically, those defects often make their systems less secure.
https://people.eecs.berkeley.edu/~tygar/papers/Why_Johnny_Cant_Encrypt/OReilly.pdf
https://cups.cs.cmu.edu/soups/2006/posters/sheng-poster_abstract.pdf
https://arxiv.org/pdf/1510.08555
It's been about 10 years, time for "Why Johnny Still, Still, Still, Can't Encrypt".
@3bf0c63fcb93463407af97a5e5ee64fa883d107ef9e558472c4eb9aaaefa459d @Haydar Not absolutely, no. But relying on a single central server that cannot be audited is not ideal, so we shouldn't have everyone using it exclusively IMO.
@3bf0c63fcb93463407af97a5e5ee64fa883d107ef9e558472c4eb9aaaefa459d @Haydar (Not just because of security, but also resilience.)
@Haydar@social.tchncs.de
ach ja - der muss ja eine Ahnung haben
@Haydar Der Autor ist bekannt für krude Argumentation.
@Haydar @RoterClaus Ich stimme zu, dass email so broken ist das man Verschlüsselung nicht machen sollte und stattdessen ein anderes Medium nutzen (Signal). In Kontexten, wo das nicht sinnvoll möglich ist, ist IMHO S/MIME die sinnvollste Methode zur Verschlüsselung und Signatur.