"Bernhard E. Reiter" bernhard@fsfe.org wrote on 2021-12-14 at 11:03:54:
OpenPGP mit Behörden erscheint mit zusätzlich sehr sinnvoll, wenn es darum geht, die Vertraulichkeit über Verschlüsselung hoch zu halten oder die Prüfen, dass eine bestimmte Info wirklich von der Behörde kommt (zum Beispiel bei IT-Sicherheitsinformationen).
Das sehe ich natürlich auch so, aber zu beachten ist aus meiner Sicht, dass manche deutsche Behörden natürlich proprietäre Software einsetzen um "gefährliche" Mails mit OpenPGP-Signaturen komplett "abzuwehren".
Siehe dazu z.B. den Schriftverkehr unter: https://www.fabiankeil.de/blog-surrogat/2014/03/30/demo-am-dagger-complex.html
Schon aus pädagogischen Gründen sende ich natürlich auch weiterhin OpenPGP-Signaturen an Behörden und gehe optimistisch erst mal davon aus, dass die Mails trotzdem empfangen werden können.
Bei der Polizei Köln, mit der ich deutlich häufiger maile als mit der Polizei in Hessen (Details siehe "Blog"), führen OpenPGP-signierte Mails angeblich zu einer gefährlich klingenden Warnung beim Empfänger. Diese Information habe ich aber, wenn ich mich recht entsinne, nur mündlich erhalten und ich habe die Meldung auch nie selbst gesehen.
Die Spezial-Experten beim Bundesamt für Sicherheitssimulation im Bereich der Informationstechnik (BSI) haben natürlich keine Angst vor OpenPGP und schicken laut Presse gelegentlich gleich den privaten Schlüssel mit:
| Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. | Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz. https://www.golem.de/news/verschluesselung-bsi-verschickt-privaten-pgp-schluessel-2111-161073.html
Das halte ich persönlich nicht für sinnvoll aber dazu passt das Folgende Zitat von Felix von Leitner:
| Auf der anderen Seite erwartet vom BSI ja auch niemand | faktenbasiertes Risikomanagement oder Security. | Vom BSI erwartet man Compliance-Gehampel und Security-Theater. https://blog.fefe.de/?ts=9f6d691f
Fabian