zur Startseitezur Info-Startseite

OpenPGP-Nutzungsniveaus

Version 1.0, 19.10.2014

Unterschiedliche Anwender haben unterschiedliche Bedürfnisse; ebenso hat jeder Anwender Daten mit unterschiedlichem Schutzbedarf. Es gibt also nicht die eine richtige Nutzung, sondern eine den Umständen angepasste oder eben unangepasste Nutzung.

Von großer Bedeutung ist allerdings, dass man sich darüber im Klaren ist, auf welchem Niveau man sich befindet und was es einem bietet – und was nicht.

Kategorie Schlüsselsicherheit Organisatorisches Schutz vor bietet Anmerkungen
  offizielle Zertifizierung nur bei sicheren Schlüsseln sinnvoll (und angeboten) Zertifizierung durch eine (staatlich) anerkannte Organisation Beweisbarkeit gegenüber Dritten, dass eine Signatur zu der jeweiligen Person / Organisation gehört qualifizierte Signaturen sind mit OpenPGP derzeit nicht möglich; alles unterhalb einer qualifizierten Signatur schafft rechtliche Unsicherheit (die man durch anderweitig beweisbare Vereinbarungen reduzieren kann)
  hochsicher hochsicher Verwendung nur auf gesonderten (Offline-)Systemen falscher Verwendung hochsichere Verschlüsselung oder Signaturen für den normalen E-Mail-Einsatz nicht praktikabel
  Offline-Hauptschlüssel gemischt gesondertes System für Hauptschlüsselaktionen der Notwendigkeit, komplette Zertifikate zu ersetzen dauerhafte digitale Identität; ggf. hochsichere Verschlüsselung oder Signaturen im Einzelfall bisher kaum Softwaresupport; "Handarbeit" erforderlich
  verifiziert normal ("keine") Zertifikat verifiziert (Fingerprint, WoT) Man-in-the-Middle-Angriffe (aktive Angriffe) GnuPG-Standardeinstellung (ebenso KMail); konfigurierbar bei Enigmail
  unverifiziert normal ("keine") nichts Massenüberwachung (solange nicht massenhaft Schlüssel geklaut werden; passive Angriffe) Enigmail (Standardeinstellung), GPGTools
  ohne Krypto unverschlüsselt, unsigniert nichts Nachrichten können gelesen und gefälscht werden (die DKIM-Signaturen mancher Mailanbieter bieten nur die Sicherheit des Mail-Passworts)