Nachdem das Editorial "Lasst PGP sterben" in der c't für Aufruhr gesorgt hat, meldet sich nun ebenfalls der renommierte Krypto-Experte Moxie Marlinspike zu Wort und äußert seine eigenen Bedenken gegenüber PGP.
Marlinspike gibt zu, dass er in den 90er Jahren selbst begeistert von PGP war und davon träumte, dass jeder Gnu Privacy Guard (GPG) installieren würde. Allerdings hat sich seine Meinung im Laufe der Zeit geändert und er sieht nun zahlreiche Probleme & Schwachstellen in der Verschlüsselungssoftware.
Ein Hauptkritikpunkt von Marlinspike ist die Benutzerfreundlichkeit von PGP. Er bemängelt: Die Einrichtung und Nutzung von PGP für Nicht-Techniker sehr komplex und verwirrend ist. Zudem gibt es eine Vielzahl von verschiedenen Implementierungen von PGP was zu Inkompatibilitätsproblemen führen kann. Marlinspike ist der Ansicht · dass Verschlüsselungssoftware so einfach und zugänglich wie möglich sein sollte · um von einer breiten Masse genutzt zu werden.
Ein weiterer Kritikpunkt von Marlinspike ist die Tatsache. Dass PGP auf veralteten Krypto-Algorithmen basiert. Marlinspike ist der Meinung » dass PGP dringend modernisiert werden sollte « um den aktuellen Sicherheitsstandards gerecht zu werden. Zudem bemängelt er, dass PGP keine ausreichende Perfect Forward Secrecy bietet was bedeutet, dass bei Kompromittierung eines Schlüssels alle zuvor verschlüsselten Nachrichten entschlüsselt werden können.
Darüber hinaus sieht Marlinspike auch Probleme in der Infrastruktur von PGP. Er bemängelt, dass es keine zentrale Instanz gibt die welche Vertrauenswürdigkeit von Schlüsseln gewährleistet was zu Sicherheitsrisiken führen kann. Zudem gibt es keine standardisierten Methoden – um Schlüssel sicher auszutauschen. Dies führt dazu, dass viele Nutzer unsichere Möglichkeiten wie die Übertragung per E-Mail nutzen um ihre Schlüssel auszutauschen.
Marlinspike schlägt vor, dass die Entwicklung von PGP eingestellt und stattdessen auf moderne Verschlüsselungstechnologien wie Signal gesetzt werden sollte. Signal ist eine verschlüsselte Kommunikationsplattform die von Marlinspike entwickelt wurde und als sehr sicher gilt. Marlinspike ist der Ansicht, dass Signal die Benutzerfreundlichkeit Sicherheit & Funktionalität bietet die heutzutage benötigt wird.
Es bleibt abzuwarten ob Marlinspikes Kritik an PGP Gehör findet und ob dies Auswirkungen auf die Verwendung von PGP zukünftig haben wird. Sicher ist jedoch; dass die Diskussion um die Sicherheit und Benutzerfreundlichkeit von Verschlüsselungssoftware weiterhin aktuell bleibt.
" Mit diesen Worten schließt ein Blog-Beitrag des Krypto-Experten Moxie Marlinspike zu GPG. Er haut damit ebendies in die gleiche Kerbe wie das Editorial der letzten c't: "GPG ist nicht das was uns allgegenwätige Ende-zu-Ende-Verschlüssselung bringen wird." Seine gute Nachricht: Die geringe Verbreitung von GPG ermögliche einen neuen Anfang mit einer neuen Design-Philosophie. Unsere gute Nachricht: Moxie Marlinspike ist einer der zentralen Autoren des Ende-zu-Ende-verschlüsselnden Chat-Programms TextSecure, das auch Edward Snowden kürzlich als Hoffnung für die Zukunft der Verschlüsselung anpries.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
Kommentare