Hallo Karl Heinz,

Statt die Verbindung mit SSL/TLS bzw. STARTTLS zu verschlüsseln könnte ich das sein lassen und stattdessen Login und Passwort mit PGP verschlüsseln, damit würde ich Login und Passwort genauso wie den E-Mail Inhalt verschlüsseln. Warum ist die Verschlüsselung von Login und Passwort über SSL/TLS bzw. STARTTLS besser als die Verschlüsselung über PGP?

Abseits davon, dass TLS etabliert ist, ist OpenPGP für einen ganz anderen Einsatzzweck als als Transportverschlüsselung gedacht. So beherrscht es im Gegensatz zu TLS kein Forward Secrecy. Das war und ist bei asynchroner Kommunikation wohl schwieriger umzusetzen als bei der Kommunikation von Client zu Server oder Server zu Server.

Nur so nebenbei: Das Signal-Protokoll und die darauf aufbauende Adaption für XMPP – OMEMO – beherrschen das. XMPP mit OMEMO als WhatsApp-, Telegram-, Threema-, und/oder Signal-Ersatz ist einen Versuch wert.

Gruß
Julius