Nochmal wegen GnuPG/PGP und Amazon und was ganz anderes

Ihr erinnert Euch vielleicht an den Aufruf Amazon wegen der Nutzung von GnuPG/PGP anzuschreiben. Man kann da durchaus anderer Ansicht sein. Matthias ist anderer Meinung. Er denkt, die Lösung wäre bereits da und zwar in Form von SMTP/TLS, was Amazons Mailserver unterstützen.
Jetzt ist SMTP/TLS durchaus eine tolle Sache, aber es wird längst nicht von allen Mailservern unterstützt und mehr als genug Anbieter von Maildiensten denken noch nicht mal daran SMTP/TLS zu unterstützen. Und der Enduser hat nun wirklich eher selten Einfluss darauf, was der Anbieter seiner Maildienste auf dem Server unterstützt und was nicht. Es ergab sich eine kleine Diskussion, die letztlich durch die nicht begründete Löschung meines letzten Kommentars abgewürgt wurde. Schade eigentlich, mir hat mein Kommentar ganz gut gefallen 😉
Ich versuche den mal hier halbwegs wiederzugeben.


Ich bezog mich auf den Kommentar von Matthias:

Warum muss es Aufgabe des Endbenutzers sein? Im Gegenteil, da die grosse Zahl der Endbenutzer damit überfordert sind (egal ob PGP oder S/MIME), bringt es wesentlich mehr Benefit, wenn die Identifizierung und Authentifizierung zentral erfolgt.

Sicher ist SMTP/TLS nicht die Lösung für alle Probleme, und wenn Anbieter Methoden wie PGP unterstützen ist das eine Gute Sache™.

Aber: Endbenutzer-Crypto-Lösungen sind äusserst aufwändig in der organisatorischen und administrativen Handhabung; ihr Nutzen hängt stark davon ab, ob die Endbenutzer richtig damit umgehen können—was in vielen Fällen bezweifelt werden darf.

Also: auf den Strassenverkehr übertragen bedeutet seine Argumentation dann, dass wir den Individualverkehr abschaffen. Denn es ist ja viel aufwändiger, wenn jeder selbst mit dem Auto fährt, man darf auch in vielen Fällen anzweifeln, dass die Leute mit ihrem Auto richtig umgehen können und wir haben ja Busse und Bahn. Doofe Argumentation, oder?

Dann kommt noch der Punkt, dass SMTP/TLS nun mal alleine nicht die Lösung des genannten Problems ist: das Problem ist, dass A und B sicher kommunizieren wollen und dass über die Nachrichtenübermittler C und D. Der Weg: A schickt die Nachricht an C, C leitet weiter an D und D liefert an B aus. Was aber, wenn einer der Transporteure kein SMTP/TLS kann? Oder aber was passiert, wenn A oder B einem der Mailserverbetreiber C oder D nicht vertrauen?

In einer perfekten Welt, in der alle Mailserver SMTP/TLS einsetzen, alle Mailserverbetreiber absolut vertrauenswürdig sind und kein Mailserver irgendwie geknackt und abgehört werden könnte… ja, in so einer Welt würde SMTP/TLS wirklich ausreichen. Wir leben aber leider nicht in so einer Welt. Deswegen ist und bleibt die Absicherung der Kommunikation unabhängig vom gewählten Kommunikationsweg äußerst wichtig. Und deswegen ist auch Matthias’ Behauptung man bräuchte kein GnuPG/GPG für Mails, weil es ja SMTP/TLS gäbe einfach nur eins: falsch.

Soweit dazu… schade, dass Matthias meinen Kommentar einfach so gelöscht hat und auch nicht bereit ist, mir eine Begründung zu geben, warum er ihn gelöscht hat. Eigentlich egal und bleibt dann eben jedem selbst überlassen. Für mich ein Grund mehr diskussionswürdige Themen bevorzugt hier aufzugreifen statt in einem Weblog zu kommentieren, in dem ich damit rechnen muss, dass Beiträge einfach nur kommentarlos gelöscht werden, weil dem Blogbetreiber meine Meinung gerade nicht passt. Nicht falsch verstehen, es gibt durchaus gute Gründe Kommentare zu löschen, angefangen bei Beleidigungen oder ständiges Provozieren. Aber selbst dann sollte man dem Kommentator so möglich doch sagen, warum sein Kommentar gelöscht wird. Man könnte sogar vor der Löschung verwarnen. Man kann vieles machen, aber sachliche Kommentare löschen, einfach weil man anderer Meinung ist… das ist schon schwach. Dann braucht man keine Kommentarfunktion im Weblog, dann kann man sich die Kommentare auch selber schreiben… g