social.tchncs.de is one of the many independent Mastodon servers you can use to participate in the fediverse.
A friendly server from Germany – which tends to attract techy people, but welcomes everybody. This is one of the oldest Mastodon instances.

Administered by:

Server stats:

3.9K
active users

Senioradmin

Oha, das ist provokativ: Dieser Blogartikel sagt:

- Nutzt kein /
- Nutzt kein + OMEMO
- Nutzt kein (im Sinne: verlasst euch nicht auf die Verschlüsselung)
- E-Mails verschlüsseln ist sinnlos

Ich kenne den Autor nicht und würde ihn nicht erwähnen, würde der Artikel nicht in ernstzunehmenden ITSec-Newslettern zitiert

soatok.blog/2024/11/15/what-to

Meinungen?

Dhole Moments · What To Use Instead of PGP - Dhole Moments
More from Soatok
@Haydar Die PGP Kritik ist berechtigt aber wirklich nicht neu.

Was XMPP+OMEMO angeht beschränkt sich die Kritik im Grunde darauf das e2ee nicht zwangsweise aktiviert ist, ansonsten unterscheidet sich OMEMO nicht groß von der Verschlüsselung in Signal.

Verschlüsselung in Matrix ist leider immer wieder dadurch negativ aufgefallen das eigentlich gute Methoden stark aufgeweicht wurden um es für die Nutzer bequemer zu machen, was leider e2ee etwas sinnlos macht. Ausserdem entsteht dadurch der Eindruck das es bei e2ee in Matrix vor allem ums Marketing geht.

@Haydar nur kurz überflogen, die Kritik hat durchaus valide Punkte.
OpenSSL ist ein SPOF in vielen Bereichen
Zudem sollte wirklich keiner pgp einsetzen, sondern gnupg nehmen, aber das nur am Rande.
Einige Vorschläge sind zu kurz geraten, zb Dateien einfach per rsync verschlüsselt zu übertragen. Auf linux und Mac ein no-brainer, auf windows nicht ganz so einfach.
Borg als Backup Tool ist toll und empfehlenswert, aber auch nur für bestimmte Systeme. Und das sage ich als Linux-Befürworter.

@Haydar "Don't encrypt email, because there's always metadata! But do use Signal (with metadata on one central server, tied to KYCd phone numbers), because some XMPP clients let you turn off OMEMO!!"

Logic, how does it work? ¯\_(ツ)_/¯

@Haydar Looks like the whole article boils down to an ad for their private key directory thing. And the first half is basically just "listen to me, I'm an expert, all these other people are dumb".

en.wikipedia.org/wiki/Argument

en.wikipedia.orgArgument from authority - Wikipedia

@raucao @Haydar This is a common failure mode of security specialists. They make perfect the enemy of the good, and start building or promoting systems that are secure but deficient in some other way: too centralized, or too difficult to use, or too difficult to implement. And ironically, those defects often make their systems less secure.

@3bf0c63fcb93463407af97a5e5ee64fa883d107ef9e558472c4eb9aaaefa459d @Haydar Not absolutely, no. But relying on a single central server that cannot be audited is not ideal, so we shouldn't have everyone using it exclusively IMO.

Well, there is also the KYC phone numbers, the fact that they don't allow alternative clients, and the CIA involvement.

I have also read more than once that just the metadata about conversations is worth more than the actual contents for most use cases, so in that case Signal is already worse than even NIP-17, yes or no? I guess it makes some sense that analysing all the random garbage people say in DMs will be very costly and useless for the most part, while just looking at the overall trends can be much easier and give good insights from a big picture.

@Haydar Der Autor ist bekannt für krude Argumentation.

@Haydar @RoterClaus Ich stimme zu, dass email so broken ist das man Verschlüsselung nicht machen sollte und stattdessen ein anderes Medium nutzen (Signal). In Kontexten, wo das nicht sinnvoll möglich ist, ist IMHO S/MIME die sinnvollste Methode zur Verschlüsselung und Signatur.