* Florian Streibelt postfix-users@de.postfix.org:
On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
Hi @ll, weil es grade durch die Medien getrieben wird
https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteil...
Hmm,
was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem caching ohne eigene Kosten.
Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu hinterlegen.
Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch teuer und ggf. nicht lohnenswert für Spammer.
Disclaimer: Habe den Draft noch nicht gelesen, aber das Beispiel aus dem Blog beschreibt genau das.
Der Blog beschreibt den Verteilmenanismus. Was fehlt sind Tools, die sich im Hintergrund um das Update, die Suche etc. der Keys kümmern. Erst wenn die da sind, bietet PGP einen brauchbaren Komfort.
Dann kann man sich auf seine Aufgabe konzentrieren und muss sich nicht dauernd die Werkzeuge verwalten. Wir haben wirklich tolle Werkzeuge am Start, aber wir vergessen dabei allzu häufig, dass die Anwender "mit dem Computer" arbeiten wollen und nicht "am Computer". Wenn wir das in unsere Köpfe reinbekämen und umsetzen würden, hätte die ganze Open Source Szene die Akkzeptanz in der Masse die sie sucht.
p@rick