Heute habe ich relativ spontan mit den Studierenden über das Elend mit der Verschlüsselung bei E-Mail gesprochen und dass Kommunikationspartner fehlen, denen man verschlüsselte E-Mails senden könnte - schickt mir nicht prompt heute Abend eine Versicherung ein neues Angebot zu einem bestehenden Vertrag … verschlüsselt mit meinem aktuellen, auf einem Schlüsselserver abgelegten public key? Das kam unerwartet. 😲

#E-Mail-Verschlüsselung #PGP #OpenPGP #GnuPG

Bądźmy szczerzy. Byłem zwolennikiem #OpenPGP (czy ogólniej #PGP) przez długi czas. I w sumie nadal nie jestem w stanie wskazać żadnej sensownej alternatywy. I wierzyłem, że PGP nie jest "tak trudne" — ale wcale nie staje się łatwiejsze. A wielkim problemem z tego typu standardami są narzędzia.

#WebOfTrust jest trudne, i dla wielu ludzi niepraktyczne. I nie pomaga tu to, w jaki sposób wiele programów decyduje się obsługiwać kwestie zaufania kluczy. Czasem dostaję zaszyfrowaną pocztę — i #EvolutionMail znacznie utrudnia mi jednorazową odpowiedź z szyfrowaniem, o ile nie zdecyduję się *permanentnie* zaufać nadawcy.

Bajzel z serwerami kluczy SKS nie pomógł. Dziś znaleźć czyjś klucz to szukanie igły w stogu siana. Jeżeli mamy szczęście, wystarczy WKD. Jeżeli nie, to możemy przeszukać serię różnych serwerów kluczy, GitHuba, strony internetowe. I czasem po drodze znajdziemy klucze już nieważne, bo ludzie aktualizują tylko w niektórych miejscach, albo w ogóle zapominają wysłać aktualne.

No i wchodzi problem niezgodności programów. Nie świadczy to dobrze o PGP, że GnuPG nie jest w stanie zaimportować kluczy z popularnych serwerów, bo nie mają identyfikatorów użytkownika. A to tylko czubek góry lodowej.

Za rogiem czeka rozbieżność standardów OpenPGP, która dopiero przyniesie prawdziwe problemy. Wyobraźcie sobie, że przekonaliście kogoś do OpenPGP, i za chwilę musicie tej osobie wyjaśniać, że użyła nieprzenośnego narzędzia albo niewłaściwych ustawień, i stworzyła klucz, którego nie jesteście w stanie użyć.

Nie tak zachęca się ludzi do szyfrowania.

#szyfrowanie

Let's be honest. I've been a strong supporter of #OpenPGP (or #PGP in general) for a long time. And I still can't think of any real alternative that exists right now. And I kept believing it's not "that hard" — but it doesn't seem like it's getting any easier. The big problem with standards like that are tools.

#WebOfTrust is hard, and impractical for a lot of people. It doesn't really help how many tools implement trust. I mean, I sometimes receive encrypted mail via #EvolutionMail — and Evolution makes it really hard for me to reply encrypted without permanently trusting the sender!

The whole SKS keyserver mess doesn't help PGP at all. Nowadays finding someone's key is often hard. If you're lucky, WKD will work. If you're not, you're up for searching a bunch of keyservers, GitHub, or perhaps random websites. And it definitely doesn't help that some of these may hold expired keys, with people uploading their new key only to a subset of them or forgetting to do it.

On top of that, we have interoperability issues. Definitely doesn't speak well when GnuPG can't import keys from popular keyservers over lack of UIDs. And that's just the tip of the iceberg.

Now with diverging OpenPGP standards around the corner, we're a step ahead from true interoperability problems. Just imagine convincing someone to use OpenPGP, only to tell them afterwards that they've used non-portable tool / settings, and their key doesn't work for you.

That's really not how you advocate for #encryption.

No to poprawcie mnie, jeżeli się mylę, co do aktualnego stanu #OpenPGP.

Po pierwsze, jest dawne #RFC4880bis, aktualnie przepychane jako "#LibrePGP", używane przez #GnuPG (i #rnp?), z formatem kluczy "v5" — i zdaje się, że każdy inny projekt spogląda na to z politowaniem.

Po drugie, jest #RFC9580 z formatem kluczy "v6", używany przez #OpenPGPjs, #SequoiaPGP (i inne narzędzia), ale odrzucony przez GnuPG. I wygląda na to, że jest przepychane z założeniem, że GnuPG ugnie się pod presją.

Więc mamy dwa niezgodne ze sobą standardy, ze "wspólnym mianownikiem" w postaci zabytkowego #RFC4880; jedne narzędzia przepychają jeden standard i ignorują drugi, a inne decydują się wspierać oba, by pomóc swoim użytkownikom. A #Gentoo ostatecznie utknie z tym, co wspierać będzie GnuPG, bo potrzebujemy kryptografii, która działa na wszystkich wspieranych platformach, a nie tylko tam, gdzie Rust.

https://bugs.gentoo.org/963069

Okay, so please correct me if I'm wrong about the state of #OpenPGP right now.

So first there's the former #RFC4880bis which is now pursued as "#LibrePGP", used by #GnuPG (and #rnp?), with a "v5" key format, that everyone else seem to looks "politely" at.

Then there's #RFC9580 with a "v6" key format, used by #OpenPGPjs, #SequoiaPGP (and more) but explicitly rejected by GnuPG. However, it seems to be pushed forward under the assumption that GnuPG will yield to pressure.

So we effectively have two incompatible standards, with a "common denominator" of ancient #RFC4880, some tools pursuing one of them with disregard for the other, and a few supporting both for the sake of the users. And #Gentoo is effectively stuck with whatever GnuPG supports, because we need working crypto on all supported platforms, not just the "Rust subset".

https://bugs.gentoo.org/963069