Hast du diesbezüglich schon Praxiserfahrungen gemacht, insbesondere im Bereich der Kommunikation zu Personen und Institutionen, die kein PGP verwenden?
Ich bin nämlich am Überlegen, ob ich mir den Guard nicht doch noch einrichte...
Bei mailbox.org nicht, jedoch bei Tutanota. Die verwenden ja im Prinzip genau das selbe. Es hat gut geklappt, liegt aber auch immer an der Akzeptanz deines Gesprächpartners. Ich hatte einen ausländischen Kontakt und wir haben über ein paar Dinge gesprochen, die Behörden in dem Land betrafen. Das Ganze endete dann damit, dass besagter Kontakt komplett auf GPG/PGP umgestiegen ist.
Ich denke, man muss sich hier eine wichtige Frage stellen: Will man den privaten Schlüssel einem fremden Server/Anbieter anvertrauen?
Ich habe hier lange überlegt, mich eingelesen, es durchgespielt. Ich sage **ja**. Hinter Mailbox.org steckt Peer Heinlein und der hat einfach schon so oft bewiesen, dass er das Vertrauen der Nutzer verdient hat. Er wirkt mitunter etwas "speziell" - dennoch halte ich ihn auf diesem Gebiet für einen der absolut fähigsten Menschen. Und die Philosophie von mailbox.org ist einfach klasse. Schau dir nur deren Transparenzbericht an oder wie die regelmäßig eine Behördliche Anfrage nach der anderen wegen Verfahrensfehler niederschmettern. Und du darfst eines nicht vergessen: Du zahlst 1 EUR im Monat und dafür bekommst du im Prinzip deren gesamte Rechtsabteilung. Wenn eine Behörde Daten von dir will und das nicht 100% astrein ist, sagen die nein.
Wobei man auch sagen muss, dass man vermutlich ganz andere Probleme hat, wenn Behörden an das eigene Postfach wollen.
Dein privater Schlüssel liegt auf deren Server, ist dort aber erneut verschlüsselt und wird durch dein Passwort erst entschlüsselt. Mailbox.org kommt also weder an die Nachrichten ran - noch an den Key. Und ich glaube denen einfach, dass es so ist.
Wem vertraut man denn seine Schlüssel sonst an? Den Blendern von ProtonMail? Dem Browser, umgesetzt durch Java? Dubiosen Apps und mobilen Geräten? Na dann doch lieber einer Institution, die mehrmals bewiesen hat, dass sie das Vertrauen verdient hat. Aber das ist eine persönliche Entscheidung. Muss jeder selbst wissen.
Wichtig ist vermutlich dein "Bedrohungsszenario". Ich persönlich will in erster Linie einen Anbieter, der meine Mails nicht mitliest (vom Spamfilter abgesehen). Ich will nicht, dass meine Daten für Werbung oder Dritte benutzt werden. Zudem möchte ich es neugierigen Augen einfach etwas schwieriger machen.
Hochsensible Daten habe ich nicht. Wäre ich Terrorist, Aktivist, Verfolgter, etc würde ich nicht via Mail kommunizieren. Da gibt es bessere Lösungen. Aber ich will aus Prinzip einfach meine Privatsphäre so gut es geht bei Mails schützen. Würde mein key kompromittiert werden, hätte ich keine Sanktionen, Strafen, etc zu befürchten. Es wäre einfach ärgerlich - mehr aber nicht.
Nachtrag:
Ich nutze übrigens iOS. Dort hat man genau 2 Möglichkeiten: Canary Mail und pep. Und beiden vertraue ich meine Keys auf keinen Fall an. Dann also lieber die mobile Seite von mailbox.org für den Fall, dass ich mal verschlüsselt kommunizieren muss.