Feedback zum Krypto-Post

Auf meinen letzten Artikel gab es einiges Feedback und das soll hier zusammengefasst abgearbeitet werden. Am Ende des Artikels gehe ich auf Dinge wie Verschlüsselung auf Mobiltelefonen ein. Wer sich also dafür interessiert, kann einfach nach unten scrollen.

Es gibt, wie ehrlich gesagt erwartet, eine ganze Reihe an Lesern des Artikels, die selbst Mails verschlüsseln. Auch mit einem Dutzend Leuten. Es gab auch das Feedback, dass jeder nachfragt, was dieser komische Anhang soll, der nicht geöffnet werden kann. Die Konversionsrate von Nicht-Nerds scheint aber vom Feedback her nicht besonders hoch zu sein.

Dann gab es auch die erwarteten Vorwürfe der schlechten Recherche und dass ich statt des Rantens doch lieber Leute aufklären soll. Natürlich durfte ich auch lesen, dass den Leuten schickes Aussehen wichtiger sei, als Sicherheit.

Hier gehe ich einmal von hinten nach vorne durch. Natürlich ist den Leuten das schickes Aussehen, Image und Einfachheit wichtiger. Das ist schließlich das Grundproblem der Sache. Das ist ja mein Punkt. Den meisten sind eben diese Sachen wichtiger. Deswegen benutzen sie heute auch Facebook für alles. Allerdings sollte uns die Geschichte auch zeigen, dass Aufklärung scheinbar nicht wirklich viel hilft. Der Kram muss eben schick aussehen und einfach sein. Ansonsten würden alle die Kommandozeile, vi(m)/emacs und mutt benutzen anstatt Klickibunti-GUI, Textverarbeitung und Webmailer (bzw. heute Facebook). Das ist die typische Nerd-Herangehensweise: Wenn man will, geht’s doch. Die anderen sind alle nur zu blöd und verstehen es nicht und wollen aus dem Grund nicht. So geht aber andere Netznutzer nicht an das Problem ran. Sie sind sich zum Einen des Problems nicht bewusst und selbst dann ist es eben nicht einfach und schön.

Zum Thema Aufklärung. Ich bat um den Elevator-Pitch für die Erklärung. Gerade von denen, die sich beschwerten kamen Mails im Format TL;DR, die mich teils in einer Weise angingen, dass ich da eigentlich keine Lust drauf hatte. Meine Favoriten waren eine verschlüsselte Mail, die ich erst Abends am Rechner lesen konnte und eine Zuschrift per Pastebin. Wenn mir ein Ei-Avatar auf Twitter einfach nur einen Link schickt, wird normalerweise sofort geblockt. Das ist typisches Spammer-Verhalten. Zum Glück habe ich nochmal ein zweites Mal hingeschaut. Von den beiden Mails, gab es auch die nützlichsten Links.

Zur Recherche. Ich hab da schon ein paar Mal recherchiert, aber ehrlich gesagt habe ich auch keine Lust mehr nach sowas zu suchen. Das ist auch Teil des Problems. Den Kram sollte man gar nicht erst suchen müssen.

Aber man kann auch mobil verschlüsseln und wohl auch in Webmailern (wenn man Firefox benutzt). Allerdings ändert das nichts am Hauptproblem: Die Leute benutzen inzwischen Facebook auf der Webseite um sich Nachrichten zu schreiben und zu chatten. Sie benutzen nicht mehr Mail- und Chat-Clients. Dahin muss man sie erstmal wieder zurückbekommen. Das ist das große Problem. Klar kann man Facebook-Chat auch mit OTR versehen. Aber wie ich schrieb, wird auf der Webseite mit komplettem Logging durch Facebook gechattet. Da wird kein Chat-Client benutzt.

Aber jetzt für die, die verschlüsseln wollen und nicht nur auf ihrem Rechner den Kram verwenden wollen.

Da ich selber privat ausschließlich Mac OS X und ein iPhone benutze, erstmal hierzu.

Benutzt man S/Mime kann man sowohl mit den großen Clients (Mail.app, Thunderbird, Postbox) und auf dem iPhone verschlüsseln. Eine Liste mit Anbietern freier Zertifikate gibt es hier. Mit ein bisschen gegoogle findet man Anleitungen wie man die Zertifikate in seinen Mail-Client einbindet. Ich habe mir das Zertifikat dann noch selbst zugemailt und konnte es dann einfach auf dem iPhone installieren.

Da sich die Leute ja nicht einig sind, ob man lieber S/Mime oder GPG benutzt, empfehle ich die Verwendung von Mail.app auf dem Mac. Mit dem Nightly Build) der GPGTool lässt sich S/Mime und GPG dann parallel auf dem Mac benutzen.

Auf dem iPhone gibt es dann noch zwei Anwendungen zum Ver- und Entschlüsseln mit GPG. Bei beiden wird der Private Key auf dem Gerät gespeichert. Außerdem funktionieren sie beide über Copy&Paste aus der Mail-Anwendung, wenn Inline-GPG verwendet wird.

Beide sind hässlich, iPGMail ist eine der hässlichsten Anwendungen, die ich je für das iPhone gesehen habe, aber es funktioniert. Imho fühlt es sich von der Bedienung schmerzfreier als oPenGP an. Ist trotzdem hässlich wie die Nacht und komfortable Bedienung ist was anderes.

Für den Chat mit OTR gibt es ChatSecure. Das beherrscht XMPP (einfach GMail anklicken und seinen Jabber-Account eintragen) und AIM. Das ist aber auch hässlich wie die Nacht, kann kein Push und da wurde nicht mal auch nur ansatzweise versucht etwas schöner zu machen.

Alles drei fällt unter die Kategorie: “Hurra! Es geht aber börks ist das hässlich”. Das ist keine Software, die ich irgendwem zumuten will.

Für Android geht man am Besten zum GuardianProject/. Da gibt es einen Link zu einem Mail-Client, der GPG eingebaut hat und auch einen Chat-Client, der OTR kann. Zusätzlich bieten die auch Tor für Android an und es gibt noch Links zu anderen Apps, wie eine für verschlüsselte VoIP-Gespräche. Wenn ich es richtig verstehe, will das Projekt mobile Kommunikation sicher machen. Zusätzlich gibt es noch Beem als OTR-Chat-Client. Da wurde mir aber von einem Kollegen erzählt, dass es wohl hässlich wie die Nacht ist. Aber das könnt ihr selbst entscheiden. Zu S/Mime unter Android wurde mir nichts geschrieben und mein Kollege konnte mir dazu leider auch nichts sagen.

Als Abschluss noch die Liste mit Dingen, die ich noch nicht erwähnt habe von @antifarben, die ich kommentarlos hier wiedergebe.