@kuketzblog
GPG ist technisch sehr cool.
Die Usability ist aber eine reine Katastrophe und macht es für nicht-Techniker zu einem Enigma (pun intended).

Was fehlt: Eine DAU-sichere Integration, die es auch für Omma und Oppa nutzbar macht.

@compl4xx
Nein

Aber ich brauche auch keine Standards.
Ich brauche Umsetzungen, die so integriert sind, dass ein Nutzer den Unterschied zu vorher fast nicht merkt.

@kuketzblog

@umrath @kuketzblog this is how you get an Umsetzung. Indem sich Entwickler beim entwickeln darauf einigen, wie sie sich umsetzen, so dass es mit allen Mail Clients gleich funktioniert, und nicht wieder ein riesen Flickenteppich aus unterschiedlichen inkompatiblen Implementierungen wird (siehe pEp, Protonmail, etc).

Umgesetzt ist es in @delta, Enigmail, k9mail, andere sind in Arbeit: autocrypt.org/dev-status.html

@compl4xx

Heißt übersetzt: Es gibt nichts, was ich heute nutzen kann.

Es ist toll, wenn es Standards gibt.
Für den Endnutzer zählen aber Produkte. Denen sind die Standards (zu Recht) herzlich egal.

@kuketzblog @delta

@umrath
An Produkten, die du heute schon nutzen kannst, habe ich 3 aufgezählt. @delta macht PGP, ohne dass man wissen muss, was ein Key ist, schon heute. k9mail ähnlich. Enigmail ist nicht ganz optimal, weil es ursprünglich für was anderes geschrieben wurde, aber ist mit den meisten Autocrypt-Features kompatibel.

Damit hat man dann schon mal automatisch verschlüsselte Mails mit allen anderen, die Autocrypt-fähige Clients benutzen, und kann trotzdem mit allen anderen schreiben.

@kuketzblog

@compl4xx

Delta ist offensichtlich für Chat, nicht Mail.
Für Chat gibt es mit Signal & Co. bereits taugliche Lösungen.

Mir fehlen Mailclients, die GPG nativ sprechen und für Otto Normalverbraucher nutzbar sind.

k9mail selbst ist schon hässlich wie die Nacht. Außerdem ist es nicht auf allen Plattformen verfügbar und damit ohnehin raus.

@delta @kuketzblog

@compl4xx Leider ist die Liste der email Clients auch nach vielen Jahren noch relativ kurz, ich habe da ehrlich gesagt keine Hoffnung mehr. Lösungen die im back-end implementiert werden können stehen dagegen jedem Client out-of-the-box zur Verfügung. Daher denke ich sind eine neue Generation von key servern, WKD's und auch Support für Sachen wie keybase auf GnuPG Ebene Erfolg versprechender.
CC @umrath @kuketzblog @delta

@bjoern

Das Backend ist das eine.
Aber der Client muss ja irgendwie sinnvoll mit dem Backend kommunizieren. Und das, was ich da in den Clients bisher gesehen habe, ist für normale Menschen unbenutzbar, da zu kompliziert und unverständlich.

Ich brauche einem normalen Menschen nichts von Keylänge oder Algorithmus zu erklären. Das Ding muss einfach tun. Im Hintergrund und möglichst ohne jede Interaktion.

@compl4xx @kuketzblog @delta

@umrath Klar, GnuPG als solches muss vom Client implementiert werden und da gibt es sicher noch viel Luft nach oben was die Usability angeht. Key discovery sollte aber im back-end passieren. Dann kann man da in Zukunft wenn nötig immer wieder neue Methoden hinzufügen und diese auch kombinieren ohne das jedes mal alle Clients wieder etwas neues implementieren müssen.
CC @compl4xx @kuketzblog @delta

@bjoern @umrath @kuketzblog nach 2 Jahren, dafür ist das gar nicht so schlecht. Ist ja ein langfristig ausgelegtes Projekt.

Keybase hat für mich leider kein bisschen leichter gemacht, da sind neue Keyserver (hagrid wird übrigens von Menschen aus dem Autocrypt-Umfeld geschrieben) schon näher dran, ja.

@kuketzblog
Wer keys.openpgp.org/ als einzigen keyserver konfiguriert und nie --refresh-keys von anderen keyservern macht wird kein web of trust haben, third-party Signaturen werden nicht verteilt, siehe FAQ keys.openpgp.org/about/faq

@kuketzblog
Als erste Quelle sehe ich den aber durchaus als sinnvoll. Als alleinige Quelle mit dem Nachteil wer seinen key (noch) nicht explizit dort abgeladen hat dessen/deren key wird auch nicht gefunden. YMMV..

@erAck @kuketzblog ja, das ist ein Nachteil davon. Aber ist WoT vertrauenswürdig und wird das überhaupt genutzt?

@julian
Die meisten werden wohl nicht mal so viele direkte und indirekte Signaturen in ihrer Schlüsselsammlung haben, dass sich ein WoT aufbauen ließe.. Falls doch, ist ob und wie weit vertrauenswürdig Sache der Benutzer, wie sie die Trust-Level definieren.

Wenn jedoch alle Schlüssel ausschließlich von diesem einen Keyserver bezogen werden, der keine 3rd-Party Signaturen ausliefert, liegt die Vertrauensinstanz stattdessen bei diesem Server.

@kuketzblog

Sign in to participate in the conversation
Mastodon

One of the first Mastodon instances, there is no specific topic we're into, just enjoy your time!