GPG muss endlich weg

    Interessanter Beitrag. Die Reaktion von Werner ist in der Tat recht barsch. Das wirkt so, als sei ihm schon in der Vergangenheit nahegelegt worden, solche längst üblichen Standard Checks durchzuführen.

    Ich kann nicht beurteilen, wie schlecht es um den Code wirklich gestellt ist. Vielleicht hat auch nur der Autor ein persönliches Problem damit. (Vielleicht hat er sich beim Einrichten im Thunderbird schwer getan ;) )

    In den Kommentaren schreibt jemand:

    Zitat

    Die Thunderbird Leute hatten in der Vergangenen 15 Jahren 363 Lücken mit nem CVE-Score über 9. Das GnuPG-Projekt einen und 7 Execution/Memory Corruption/Overflows. Für Thunderbird waren es ~750.

    Wenn das stimmt, relativiert sich das doch etwas. Oder wir müssten uns Sorgen um die Qualität des Thunderbirds machen.

    Die Frage wäre die nach einer vollständigen Alternative zu zu GnuPG. Kennt jemand eine OpenPGP-Implementierung, mit der man z.B. Elliptic-Curve Schlüssel erzeugen kann inklusive Sub- und Offline-Keys?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    An sich fand ich den Artikel interessant, wenn allerdings mein Verständnis der Sache richtig ist, ist der hier zitierte Abschnitt grob falsch.

    Zitat

    Nur wirklich neu sind alle diese Erkenntnisse und Diskussionen eben nicht. In der Security-Community sind der schlechte Zustand von GnuPG und mögliche Alternativen dazu seit Jahren immer wieder ein Thema. Das fängt bereits bei der extrem komplizierten Nutzung des Codes durch andere Projekte an. So hat sich allein deshalb das Team von Thunderbird dazu entschieden, auf GnuPG zu verzichten und für die E-Mail-Verschlüsselung mit RNP auf eine andere Implementierung zurückzugreifen.

    Meines Wissens nach ist Thunderbird nicht von GPG weg, weil die Qualität so schlecht gewesen wäre, sondern hauptsächlich/ausschließlich(?), weil die Lizenzmodelle nicht kompatibel miteinander sind und Thunderbird somit GPG nicht in die eigene Installation hätte packen dürfen, sondern den Nutzer zur manuellen Installation von GPG hätte auffordern müssen.

    Zitat von pedrito

    Meines Wissens nach ist Thunderbird nicht von GPG weg, weil die Qualität so schlecht gewesen wäre,

    Naja, das behauptet der Autor ja auch nicht. Er sagt, es sei für andere kompliziert, den Code in ihren Produkten zu nutzen. Dazu könnte man im weitesten Sinne dann neben den technischen Aspekten auch das Lizenzmodell zählen.

    Zitat von pedrito

    sondern hauptsächlich/ausschließlich(?), weil die Lizenzmodelle nicht kompatibel miteinander sind

    Das ist auch mein Kenntnisstand dazu.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Community-Bot 3. September 2024 um 20:50

    Hat das Thema geschlossen.