Bei der gestrigen «DeimHart»-Podcast-Aufzeichnung hatte ich unter anderem Gelegenheit, meinen privaten OpenPGP-Schlüssel durch die «DeimHart»-Macher Dirk und Roman signieren zu lassen. Dabei zeigte sich wieder einmal, dass auf dem Mac dabei einige Schwierigkeiten zu meistern sind …
Um GPG Keychain Access zu öffnen, müssen Sie Rosetta installieren. […]
PGP gibt es seit Jahren in der freien GnuPG-Variante (kurz GPG), doch kann deren Entwicklung auf dem Mac normalerweise mit neuen GPG-Versionen nicht mithalten. Momentan sind die Versionen GPG-1.4.10 beziehungsweise 2.0.13 aktuell, für den Mac sind diese Versionen beim «Mac GPG»- beziehungsweise «Mac GPG» 2-Projekt noch nicht verfügbar. Gleiches gilt für die Entwicklung der entsprechenden Hilfsprogramme, die eine komfortable GPG-Nutzung auf dem Mac ermöglichen sollten – die Anwendung «PGP Keychain Access» zur Schlüsselverwaltung beispielsweise setzt die PowerPC-Emulation «Rosetta» voraus, wie im obigen Screenshot zu sehen ist – Jahre nach Apples Wechsel von PowerPC- zu Intel-Prozessoren! Glückssache ist jeweils auch eine funktionierende GPG-Erweiterung für Apple Mail, von einer 64 Bit-Version ganz zu schweigen … 
Hochladen auf Keyserver fehlgeschlagen – Fehler beim Hochladen eines oder mehrerer Schlüssel: einige Schlüssel konnten nicht zum Server hinzugefügt werden.
Aufgrund dieser unbefriedigenden Situation mit GPG auf dem Mac verwende ich seit einiger Zeit die kommerzielle PGP-Variante des gleichnamigen Unternehmens, zumal damit auch vollständige Systemverschlüsselung möglich ist. Allerdings ist die Situation im Bezug auf das kommerzielle PGP ebenfalls unbefriedigend, denn bislang gibt es erst eine BETA-Version für Mac OS X 10.6 «Snow Leopard», die Ende September 2009 veröffentlicht und seither nicht mehr aktualisiert wurde. Die BETA-Version funktioniert grundsätzlich, nervt aber mit einer mangelhaften deutschen Lokalisierung und zahlreichen Fehlern. So erschien gestern beim Versuch, die signierten Schlüssel von Dirk und Roman auf einen OpenPGP-Server und nicht bloss das PGP-eigene «Global Directory» hochzuladen, immer eine Fehlermeldung und ich musste das Hochladen per Web vornehmen … das gleiche Problem ergab sich auch beim Versuch, meinen PGP-Schlüssel für die Key Signing Party am kommenden Freitag in Zürich hochzuladen (und auch GPG war dazu nicht in der Lage). Immerhin konnte ich das Problem zumindest im Bezug auf GPG mittlerweile lösen … 
Ich hoffe, PGP veröffentlicht so bald wie möglich eine funktionierende und stabile Version der kommerziellen PGP-Variante. Für die GPG-Entwicklung auf dem Mac wünsche ich mir, dass es früher oder später gelingt, die jeweils neuste Version inklusive Mac-Hilfsanwendungen zur Verfügung zu stellen. Die heutige Situation ist unbefriedigend und hält vermutlich viele Mac-Anwender davon ab, Verschlüsselung per PGP oder GPG zu nutzen, denn die meisten Mac-Anwender möchten, dass ihr Mac «einfach» funktioniert und legen keinen Wert auf Bastelarbeiten am System … 
Ich kenne diesen Frust!
Wegen PGP bin ich noch auf Mac OS X v10.5. gpg verwende ich nur im Terminal. gpg2 habe ich ausprobiert, sehe aber nicht was besser zu gpg ist.
Keysigning Party kannte ich noch nicht. Klingt aber sehr kompliziert! Kein Wunder, verwendet ‹niemand› PGP!
Das habe ich inzwischen aufgegeben, ich kenne niemanden in meinem Bekanntenkreis, der ernsthaft PGP oder S/MIME einsetzt. Aber den meisten ist ja gar nicht klar, dass das ganze ungefähr so sicher wie eine Postkarte ist …
Deckt sich genau mit meinen Erfahrungen.
Eine größere Akzeptanz würde man vielleicht damit erreichen, wenn man sich als Anwender überhaupt nicht um die Verschlüsselung kümmern müsste, d.h. keine Passphrase ausdenken & eingeben.
Die Mails werden automatisch verschlüsselt, sobald zu der Empfängeradresse ein gültiger Public Key vorhanden ist.
Das wäre aus Anwenersicht bequem und die Mails würden trotzdem verschlüsselt übertragen.
Das Entschlüsseln sollte genauso einfach sein. OK, dann kann jeder mit Zugang zum Rechner die Mails lesen, aber die Übertragung wäre verschlüsselt.
Diese Möglichkeit besteht mit gängigen Anwendungen, von PGP gibt es beispielsweise eine entsprechende E-Mail-Proxy-Funktionalität. Die Passphrase lässt sich üblicherweise ohne Probleme aus dem Schlüsselbund abrufen.
E-Mail-Verschlüsselung dient grundsätzlich nicht dem Schutz von lokal gespeicherten E-Mails, so dass die Verschlüsselung während der Übertragung genügt.
Bei S/MIME funktioniert das ja so, da merkt man in Mail nichts von.
Stimmt, dafür muss man bei S/MIME dem Herausgeber des Zertifikats vertrauen sowie üblicherweise für das Zertifikat bezahlen.
PGP/GnuPG lassen sich grundsätzlich auch per Proxy-Server nutzen, womit die Benutzer im Idealfall (fast) nichts von der Verschlüsselung merken.
Bei Thawte gab es die kostenlos, bei Web.de gibt es die auch kostenlos, jedoch nur für die Web.de Adresse.
Ansonsten kann man sich ein eigenes ausstellen, aber ohne CA ist das nicht so einfach zu benutzen, da niemand dem vertraut.
Bei Thawte wohl mit Betonung auf «gab»:
http://www.heise.de/security/m.....22145.html
Genau, ein solches Zertifikat ist weitgehend wertlos … und eben, man muss in jedem Fall der CA vertrauen.
Nachtrag per Kommentar: PGP Desktop 1.0 ist endlich verfügbar!
Pingback: freggeln » Empfehlungen der Woche – Monday, 18. January 2010