PGP ist sehr unbequem. War es zumindest früher und die bequeme Bezahlversion kann sich vielleicht nicht jeder leisten.
Man konnte früher wohl auch nicht Emails von Fremden dekodieren ohne sie in die Keychain eintragen zu müssen. Ich will aber nicht jeden in die Keychain eintragen. So ähnlich wie Kommentare bei Facebook die nur gingen wenn man vorher geliked hatte obwohl man etwas dagegen schreiben wollte. Brauchbare Systeme sind nicht so einfach wie viele tun. Outlook Express hat schon ewig S/MIME usw. Bisher bestand aber eher wohl nicht der Bedarf.
Wenn nichts offen rumliegt werden gerne alle Rechner einkassiert. Die Auswertung dauert möglicherweise nicht gerade kurz. Aber man hat ja Backups in der Cloud und kann sich Ersatz-AirBooks leisten und ist täglich auf die Betriebsprüfung vorbereitet. Und die Kunden interessiert das vielleicht auch nicht. Wer als Admin arbeitet, kennt die Häufigkeit von Abfragen und Zugriffen.
Sowas kann schnell jedem kleinen Mitarbeiter passieren. Denn bei Insolvenzen nämlich lassen die Gläubiger schon mal wegen Insolvenz-Verschleppung und/oder Insolvenz-Betrug ermitteln. Die Behörden kommen nämlich besser an alle Daten als ein kleiner oder großer Gläubiger.
http://www.golem.de/news/digineo-polizei-durchsucht-bremer-provider-wegen-ebookspender-1412-111126.html
Und sowas betrifft dann vielleicht auch alle Mitarbeiter-Geräte in der Firma und zu Hause im Home-Office wenn z.B. der Chef möglicherweise vielleicht ungern Steuern gezahlt hat:
golem.de: “ manwin “ . Mehrere Artikel.
http://www.golem.de/news/lieferheld-gegen-lieferando-dos-attacken-im-konkurrenzkampf-zwischen-pizzaplattformen-1204-91331.html
Bald greifen Viren sicher auch Keys ab und müssen nicht man die Handschrift imitieren um eine rechtsverbindliche digitale Unterschrift unter Briefe zu setzen. Da freuen sich die Hacker sicher schon.
http://www.golem.de/1008/76966.html
Und gefälschte Zertifikate kommen praktisch ständig vor:
http://www.golem.de/news/tls-zertifikate-comodo-stellt-gefaelschtes-microsoft-zertifikat-aus-1503-113000.html
http://www.golem.de/news/zertifikatsfaelschungen-microsoft-update-sperrt-indische-zertifizierungsstelle-1407-107828.html
http://www.golem.de/news/internet-im-flugzeug-gogo-benutzt-gefaelschte-ssl-zertifikate-fuer-youtube-1501-111488.html
http://www.golem.de/1109/86204.html
http://www.golem.de/1109/86286.html
Ich will schon ewig das public-Keys an mehreren Stellen hinterlegt sein müssen. Heutzutage z.B. bei google+, Facebook, ebay, Amazon, Xing, Linked-In usw. Diese Stellen fragt man ab und sieht schnell das die Prokura erloschen ist oder der Key revoked wurde. Man kann den Key ja bei Bing und Google suchen und alle Webseiten sehen wo er eingetragen wurde. Sowas ist Firmen und Freiberuflern vermutlich lieber als ein Zertifizierer wie DigiNotar oder Behörden in Diktaturen wo der Privkey gleich an den Geheimdienst übertragen wird um das Geständnis digital zu unterschreiben.
Key-Abgreifung wird wohl die nächste Stufe von ID-theft-Spam-Mail“Viren“. Eigentlich gehören Keys auf Chipkarten oder USB-Sticks oder Sim-Karten die nicht auslesbar sind und wo ausserhalb des vielleicht schon virenverseuchten Betriebs-Systems die Verschlüsselung bzw. Überprüfung stattfindet. M$-Mitarbeiter haben wohl schon 20 Jahre lang Single-Sign-On-Chipkarten. Wer wurde öfter gehackt ? M$ oder Google und Facebook durch Spear-Phishing bei Mitarbeitern ?
Alte Android-Handies und teilweise vielleicht auch iOS-Geräte sind auslesbar, hack- und crack-bar. Wenn man also die Volks-App für Volks-Verschlüsselung drauflädt hat man nur teilweise Schutz. So wie eine sicheres Türschloss aber eine Tür aus dünnem Holz. Verschlüsselung sollte möglichst autonom sein und möglichst nicht auf Rechnern die vielleicht schon seit Jahren zu Botnetzen gehören. Vielleicht weil Botnetz-betroffene FirmenPCs und Privat-Rechner über Weihnachten abgeschaltet werden, gibts Weihnachten deutlich weniger Spam.
Genau wie bei gefakten Dr.Arbeiten und gefakten Papers gibts kaum Infrastrukturen und saubere Protokolle um z.b. zu markieren ab wann der Key gecracked wurde und welche Digitalen Mails sauber sind und welche als nicht rechtsgültig gelten müssen. Soll man wohl im Mail-Archiv der Firma mit der Hand markieren… Oder plötzlich kommen welche und wollen alle Pizzabestellungen oder Ebay-Verkäufe der letzten 5 Jahre rückgängig machen weil das angeblich die bösen Hacker unterschrieben hätten.
Das Keys nur eine begrenzte Lebenszeit haben, realisieren die Infrastrukturen bis heute nicht. Der Papstring hingegen wird eingeschmolzen bzw. geschliffen damit ein toter bzw. zurückgetretener Papst keine Dokumente mehr damit signieren kann. Was passiert wenn ein Geschäftsführer zurücktritt ? Wie weiss ich das sein Key nicht mehr gilt ?
Die Idee ist also schon Ok. Aber die Infrastruktur und drumherum muss auch passen.