From bernhard at intevation.de Wed May 4 10:25:56 2016 From: bernhard at intevation.de (Bernhard Reiter) Date: Wed, 4 May 2016 10:25:56 +0200 Subject: Vision und "User Stories" (Re: [Gpg4win-users-de] Public tender "EasyGpg", BSI Germany) In-Reply-To: <201602180915.09439.bernhard@intevation.de> References: <201509230948.46858.bernhard@intevation.de> <56C48030.2020502@mack-mc.de> <201602180915.09439.bernhard@intevation.de> Message-ID: <201605041026.00263.bernhard@intevation.de> Moin Henning, Am Donnerstag, 18. Februar 2016 09:15:04 schrieb Bernhard Reiter: > On Wednesday 17 February 2016 at 15:14:08, Henning Mack wrote: > >     Kann man sich in Puncto Spec beteiligen? > >     Wir nutzen jahrelang GPG (ca. seit 2004) in der Firma > >     und mir persönlich ist es seit 1999 ein Anliegen und ich würde gerne > >     ein paar Ideen einfließen lassen. > > wir sind für Ideen und Mithilfe (Code, Dokumentation, Grafik, Finanzierung) > grundsätzlich immer offen und freuen uns darüber. > > In der Praxis ist es manchmal nicht ganz so einfach sich einzubringen. > Das hätten wir gern anders und arbeiten immer wieder dran. (Nicht alles > liegt aber in unserem Wirkungsbereich.) Du musst sicher etwas Zähigkeit und > Geduld mitbringen. von https://wiki.gnupg.org/EasyGpg2016 erreichtst Du nun eine erste Übersicht für eine Vision zukünftiger GnuPG Produkte nach der Verbesserung durch den Auftrag inklusive einiger Archetypen und Nutzer "Stories". Schau doch mal drüber, wie gut passt das auf Deine Vorstellungen? Haben wir was Wesentliches noch nicht drin? Gruß, Bernhard ps.: Ich schicke das zusätzlich mal an gpg4win-users-de@ und gnupg-de at . Wenn wir auf Deutsch disktutieren möchten, schlage ich gnupg-de at gnupg.org für das Thema vor! Ihr seit alle eingeladen! ;) -- www.intevation.de/~bernhard +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: This is a digitally signed message part. URL : From bernhard at intevation.de Wed May 4 17:54:01 2016 From: bernhard at intevation.de (Bernhard Reiter) Date: Wed, 4 May 2016 17:54:01 +0200 Subject: [Gpg4win-users-de] Vision und "User Stories" (Re: Public tender "EasyGpg", BSI Germany) In-Reply-To: <4f10dbc8-edcb-9ded-f327-db8f5fb6e764@mack-mc.de> References: <201509230948.46858.bernhard@intevation.de> <201605041026.00263.bernhard@intevation.de> <4f10dbc8-edcb-9ded-f327-db8f5fb6e764@mack-mc.de> Message-ID: <201605041754.01970.bernhard@intevation.de> Hallo Henning, [Diskussion über https://wiki.gnupg.org/EasyGpg2016/VisionAndStories] Am Mittwoch, 4. Mai 2016 11:46:31 schrieb Henning Mack: > Werbung für Encryption: Sobald jemand ein Modul installiert hat, welches > verschlüsselt, dann gibts in der mail eine Autosignatur Werbe- und Kontaktmöglichkeiten anzubieten halte ich auch für gut. Ob die automatisch vorkonfiguriert werden sollten, da bin ich mir nicht sicher. Wir möchten die Nutzer auch nicht belästigen. Bei unseren Archetypen kann ich es mir auch nur für Annika vorstellen, bei den anderen wäre das eher nicht gewollt. > Ablauf visuell z.B. in Thunderbird: Dicke farbliche Anzeige, ähnlich > Threema: ROT = böse unverschlüsselt, GELB = eigentlich verschlüsselt, > gibt aber ein Problem (z.B. Schlüssel sehr alt oder Quelle fraglich), > GRÜN = alles sicher. Gleiches gilt dann für andere Clients, damit eine > "unique user experience" gegeben ist. Vermutlich verwerden wir differenzierter werden müssen als rot-gelb-grün. Wir möchten die Leute ja anregen, mehr vom System kennen zu lernen und egal ob Bod oder Erna, die Anzeigen sollten in der Grundsicht gleich bleiben, wenn möglich. > Die Schlüssel würde ich rein logisch (=public keys) ins Adressbuch > stopfen. Ob das gefährlich ist für den Fall, dass man auf dem Handy > diese dann evtl. unbeabsichtigt auch direkt Google und Co zur Verfügung > stellt, da bin ich überfragt. Im Adressbuch wäre auch für mich der logische Platz, um zu sehen, wie mein Crypto-Status bezüglich eines Empfängers. Die Zerts (="public keys") sind ja öffentlich, also wenn ich das Adressbuch eh auf einen Speicheranbieter hochlade, dann dürften da auch die Zerts dabei sein. > 4. Höchste Sicherheitseinstelungen vorkonfiguriert (z.B. 4kbit > Schlüssellänge) Da würde ich allgemein nicht mitgehen. Höhere Sicherheit ist in der Regel individuell, es kommt also darauf an, gegen was sich der jeweilige Nutzer höher absichern möchte. Einfach nur die RSA-Schlüssellänge zu vergrößern reicht da nicht und alles einzuschalten, was geht, führt wieder zu Nutzbarkeitsnachteilen. Die GnuPG-Gemeinschaft empfiehlt aktuell weiterhin RSA 2048 als beste Sicherheitsabwägung, siehe https://wiki.gnupg.org/LargeKeys > 6. Automatische Gültigkeitsbeschränkung Da stellen sich gleich die Fragen: Wie lange? Und was passiert, wenn die Gültigkeit abläuft? > 7. Das mit dem Passwort ist die große Frage, ich würde es irgendwie > weglassen wollen und nur als Option anbieten für die, die es wirkich > sicher wollen. Das überlegen wir auch, gerade weil dem Rechner auch vertraut werden muss. Die Kennwort Option könnte dann nach einiger Zeit oder einigen Nutzungen aufgebracht werden. > 8. Fertig + Bitte sichere dein Schlüsselpaar: Ich würde hier sogar etwas > zum audrucken anbieten, was man später wieder einscannen kann, z.B. auf > QR-Code basis. Auch hier denken wir daran, dass erst später wieder in Erinnerung zu bringen. > Im Grunde ist das ähnlich, wie es auf deinem Link steht, ich wollte nur > nochmal die unbedingt notwendige Einfachheit betonen, Ah, das ist natürlich erfreulich und zeigt, dass wir schon ein paar wesentliche Dinge ganz gut erfasst haben. Danke nochmal fürs Durchlesen. > Die große Frage ist dann: Wie kriege ich das auf die Handys und Co > dieser Welt, ohne dass ich den private key über einen Server tausche? Dafür habe mal "User Story T5" auf die Seite aufgenommen. > Die Schlüsselverwaltung, zumindest aus Nutzersicht, im jeweiligen > Mailprogramm zu lassen reduziert auch die mögliche Verwirrung, das ist > bei mir in der Firma auch immer ein Thema. Am liebsten wollen die Leute > einfach einen Button drücken und dann ist die verschlüsselte > Kommunikation für die jeweiligen Empfänger eingerichtet. Ja, deshalb möchten wir, dass Erna, John und Ernst im Regelfall kein ausführliches Crypto-GUI mehr sehen, sondern aus dem Kontext heraus die Funktionen aus den Anwendungen heraus aufrufen. (In wie weit wir das in dem Auftrag technisch hinbekommen können, ist noch eine offene Frage.) > Idee: Evtl. baut man, z.B. mit Powerpoint oder Libreoffice mal einen > grafischen Ablauf (man kann dort interaktiv Buttons klickbar machen als > UI Simulation), welchen man dann an ein paar nicht Technikern testet und > hat somit eine top-down usability Entwicklung. Wir möchten natürlich Mockups oder so anbieten, dass jeder mitmachen kann, dafür nehmen wir dann nur Freie Software Werkzeuge her, wenn es irgendwie geht. Wir kennen sowas, wie http://pencil.evolus.vn/Default.html ,dass es da was für Libreoffice gibt, wußte ich noch nicht, hast Du da mal einen Link? Gruß, Bernhard -- www.intevation.de/~bernhard +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: This is a digitally signed message part. URL : From carnap at gmx.at Fri May 20 13:04:17 2016 From: carnap at gmx.at (Josef Carnap) Date: Fri, 20 May 2016 13:04:17 +0200 Subject: =?UTF-8?Q?GnuPG_2.0.30_f=c3=bcr_Raspberry_Pi?= Message-ID: <18a22239-477d-29b3-db48-513fbf367738@gmx.at> Hallo GnuPG-User, ich würde gerne meinen Raspberry Pi (Rev. B, 512 MByte) als sicheren Offline-Rechner für GnuPG Version 2.0.30 verwenden. Das Betriebssystem Raspbian unterstützt in den Paketquellen nur Version 1.4, Arch-Linux für ARM unterstützt 2.1.x. Ich würde aber lieber 2.0.30 verwenden. Abgesehen davon, dass man aus den Quellen eine Binärversion bauen kann -- weiß jemand zufällig, ob es vielleicht ein anderes OS für den Rasppi gibt, das auch Version 2.0.30 unterstützt? Im Raspberry-Pi-Forum habe ich keine wirklich klare Antwort erhalten. Gruß Josef