Pretty Great People

Dem Verleger der New York Times, Arthur Jay Ochs Sulzberger, ist offenbar so langweilig, dass er ein Diskussionsforum voller Idealistinnen mit einer Anfrage zum PGP-Schlüssel eines Konkurrenzblatts trollt. Die Mitglieder des Forums korrigieren die fehlerhafte Formatierung des Schlüsssels, berichten von der Ignoranz der Washington Post, informieren die Zeitung, übermitteln den Schlüssel an einen Keyserver, erläutern die Funktionsweise und den aktuellen Status des SKS-Netzwerks (im Vergleich zu WKD) und beklagen die deutlich größere Popularität von verschlüsselten Messenger-Apps.

Ich kann gnupg-users nur wünschen, dass dieses geballte Engagement nicht demnächst von wirklich bösartigen Trollen ausgenutzt wird. Andererseits ist die GnuPG-Gemeinschaft bei aller Hilfsbereitschaft von einem konstitutiven Misstrauen erfüllt, so dass man sich um sie wahrscheinlich keine Sorgen machen muss.

Update (2022-10-14) – Einige GnuPG-Nutzerinnen sind nicht nur idealistisch, sondern auch ausgesprochen realistisch:

We need encryption available, but culturally encrypt-by-default is not going to fly.

Almost all email usage locally is Gmail, with the browser app or the official Gmail mobile apps. That is not going to change.

We have to have a sensible means of key discovery for exchanging encrypted mail when the situation warrants it, such as distributing sensitive data or receiving security reports. This is not about signing. This is about using encrypted content being a PITA for most people.

The clients encrypting all mail by default are killing the use of OpenPGP and MIME-integrated PGP-encrypted email locally. It's another hammer in the coffin-lid of PGP's reputation as a reasonable technical solution for the problem spaces we care about.

It is not hyperbole to say that this one issue has done more to drive the use of age encryption (with copy/paste into and out of emails as intact ASCII-armored blobs) than anything else. And age armored ciphertext pasted into Slack. It might seem clunky, but it works reliably and it aligns with cultural expectation of only use this for things which really need the protection, otherwise just rely upon TLS and professional service operators. TLS for SMTP is not end-to-end, but it turns out to be good enough for most daily usage, particularly within a domain or with a few business partners.