[cp-global] [German] einheitliche Securitylevel

[jz]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 10.10.13 06:21, schrieb Hauke Laging:
> Moin,
> 
> der Text ist auf Deutsch, deshalb belasse ich auch die Mail dabei:
> 
> http://www.crypto-fuer-alle.de/wishlist/securitylevel/
> 
> Ist nicht direkt relevant für aktuelle Cryptopartys und auch nicht
> in nächster Zukunft, aber ich denke, mittelfristig mag so etwas
> eine große Hilfe sein. Vielleicht interessiert sich hier jemand
> dafür, möchte sich einbringen oder hat eine Idee, wie ich das
> sinnvoll vorantreiben kann.
> 
> Ich halte es für ein großes Problem bei der Sensibilisierung der
> Bevölkerung für IT-Sicherheit, dass wir kaum benennen können, worum
> es jeweils geht. Das kann man schlecht messen, und eine gängige
> Kategorisierung gibt es nicht. Nicht für unsere Rechner und auch
> nicht für die Daten, mit denen wir hantieren.
> 
> Ein wichtiges konkretes Ziel wäre, dass (OpenPGP-)Schlüsseln in
> Zukunft ein solcher Level zugewiesen würde, so dass die meisten
> Leute mehrere hätten und man für das gewünschte Schutzniveau den
> passenden Schlüssel auswählen kann.


Moin Hauke,

dieses System mag zwar einen relativ guten Anhaltspunkt für diejenigen
liefern, die ein System bis Stufe gehärtet und darüber erstellen und
pflegen können. Aber für Otto-Normalverbraucher ist dieser Vorschlag
absolut kontraproduktiv.

Für die Meisten ist schon das Web-of-Trust zu kompliziert als dass sie
dies tatsächlich anwenden werden. Das Verständnis ist nicht das
Problem, wenn es gut erklärt wird. Aber die Anwendung wäre viel zu
komplex und nicht gewünscht.

Wenn du das jetzt noch mit Potentieller Geräte-/Schlüsselsicherheit
kombinierst, wird das alles sehr sehr komplex. Ich würde behaupten,
dass es so komplex würde, dass "normale" Menschen dies nicht anwenden
und verstehen würden.

Zudem gebe ich mal folgendes zu Bedenken:
Mal abgesehen davon, dass uns die entsprechenden Interfaces fehlen,
damit die Auswahl zwischen den einzelnen Schlüsseln wirklich einfach
von statten gehen kann, verrät der Fakt, mit welchem Schlüssel
verschlüsselt wurde, potentiell bereits etwas über die Wichtigkeit der
Nachricht.

D.h. allein das Anschalten eines gehärteten oder maximalen Systems
könnte bereits darüber Aufschluss geben, dass eine besonders
gesicherte E-Mail angekommen ist oder verschickt werden soll, wenn man
das nicht schon aus der E-Mail selbst rekonstruieren kann.

jz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (Darwin)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=a5jH
-----END PGP SIGNATURE-----