Obwohl PGP theoretisch fantastisch ist, sind die Vorteile von PGP in der "realen Welt" leider recht begrenzt, sofern vorhanden. Wenn PGP die Standardeinstellung wäre, die jeder verwendet, würde es rocken.
TLS bietet Ihnen (ohne die Möglichkeit von Exploits) eine sichere Verbindung zu Ihrem Mailserver. Sie haben die Garantie, dass der Server, mit dem Sie sprechen, wirklich Ihr Mailserver ist und dass niemand Ihre Kommunikation mit dem Server belauschen kann. Es gibt jedoch weder eine End-to-End-Verschlüsselung noch eine Nachrichtenauthentifizierung.
Dies bedeutet, dass Ihre Kommunikation mit dem Server zwar vertraulich ist, Ihre Nachrichten jedoch im Klartext auf dem Server gespeichert (und an den Server weitergeleitet) werden NSA, lassen Sie sich nicht täuschen, etwas anderes zu glauben.
Auch der Austausch mit dem Mailserver des Empfängers kann gesichert sein oder nicht (Sie wissen es nicht) Empfangende (und Zwischen-) Server werden im Klartext gespeichert, und der Empfänger kann eine gesicherte Verbindung mit seinem Mailserver verwenden oder nicht.
Trotz einiger Erweiterungen Die Protokolle, die beim E-Mail-Austausch verwendet werden, sind ziemlich naiv und geben wenig bis gar keine Garantie für die Herkunft einer Nachricht. Mit anderen Worten, Sie wissen nicht mit hinreichender Sicherheit, ob eine Nachricht, die Sie erhalten haben, von dem stammt, von dem Sie glauben, dass sie von überhaupt stammt, oder ob jemand einen Teil davon durch etwas anderes ersetzt hat.
PGP adressiert all dies theoretisch , indem es sowohl eine End-to-End-Verschlüsselung als auch ein Mittel zum Signieren von Nachrichten bietet. Das bedeutet, dass Sie sicher wissen, dass die Nachricht, die Sie erhalten haben, von niemandem gelesen werden kann, der die Nachricht abfängt, und dass die Nachricht wirklich von dem stammt, von dem Sie glauben, dass sie stammt und nicht geändert wurde.
Das Problem ist das für Damit dies funktioniert, müssen zwei Voraussetzungen erfüllt sein:
- Die andere Person muss PGP verwenden.
- Sie müssen über den öffentlichen Schlüssel der anderen Person verfügen und 100% sicher sein, dass Dies ist der echte Schlüssel.
ol>
Der erste Punkt regelt die Vorteile von PGP für die "reale Welt" bereits ziemlich genau. Kaum jemand benutzt PGP. Ihre Tante Sally nicht, Ihre Bank nicht, Ihr Stromversorger nicht und XYZ auch nicht. Das heißt, Sie können PGP nur mit ein paar Geeks verwenden.
Der zweite Punkt betrifft die vielen Probleme, die auch SSL / TLS hat (wie z. B. in diesem Defcon Youtube-Video in der Antwort von cremefraiche erläutert). , außer dass die Vertrauenskette in PGP eher eine "Hobby" -Sache ist, wenn ich es so nennen darf. Dies kann tatsächlich eine gute Sache sein, aber es kann auch eine schlechte Sache sein. Anstatt einem Unternehmen zu vertrauen, das Zertifikate mit Gewinn verkauft, lassen Sie Ihre Schlüssel von einer Reihe von ... nun ... Personen unterschreiben. Leute, die du gut kennst oder die du vielleicht nicht so gut kennst. Je nachdem, wer ihre Schlüssel signiert hat, vertrauen Sie ihnen ein bisschen mehr oder weniger.
Wenn Sie den Empfänger nicht mindestens einmal persönlich treffen, um Schlüssel auszutauschen, haben Sie nie die Garantie, dass Sie den richtigen Schlüssel besitzen (so oder so).
PGP verbirgt, was Sie jemandem erzählen, aber es verbirgt nicht, wen Sie verschickt haben oder dass Sie überhaupt eine E-Mail gesendet haben (nun, das kann es kaum, oder?). Die bloße Tatsache, dass Sie mit Menschen kommunizieren, kann jedoch bereits wichtig sein (umso mehr, wenn Sie mit Verschlüsselung kommunizieren).
Eine wichtige Überlegung ist, dass die überwiegende Mehrheit der Menschen dies nicht tut Wenn Sie eine End-to-End-Verschlüsselung verwenden, stehen Sie automatisch auf der Verdächtigenliste der Bösen (Bösewichte = Regierungsbehörden), wenn Sie dies tun. Wenn Sie Verschlüsselung verwenden, müssen Sie schließlich etwas verbergen, sodass Sie höchstwahrscheinlich ein Verbrecher oder Schlimmeres sind. Außerhalb von Märchenbüchern gibt es keine Unschuldsvermutung (auch wenn Ihre Verfassung etwas anderes sagt).
Wenn Sie also Ihren nächsten Bombenangriff planen, ist es wahrscheinlich eine gute Idee, die wöchentlichen Treffen Ihrer Terrorzelle nicht per E-Mail zu koordinieren und PGP zu verwenden, da die NSA Sie zu einem vorrangigen Ziel macht. Das bedeutet nicht automatisch, dass Sie Waterboarding erhalten, aber es bedeutet, dass Sie einer viel detaillierteren Profilerstellung und einer viel gründlicheren individuellen Analyse unterzogen werden.
Abhängig davon, was ihre Profilerstellung anzeigt (je nachdem, wo Sie sich befinden live, mit wem Sie sprechen, was auf Ihrem Bankkonto passiert, wohin Sie reisen, welches Kommunikationsmuster Sie haben usw.), dies kann zu allem führen, von "nichts passiert" bis "Leute mit Masken haben dich fertig gemacht, damit du deine Passwörter preisgibst" oder "in einem schwarzen Lager aufwachen" .
Zum Glück sind es für die meisten Leute die "nichts passiert" Geschmack, aber Sie wissen es nie.