Voor generiek email gebruik is m.i. PGP/GPG en WoT inderdaad wel dood en mislukt moeten we zeggen.
Binnen wat specifieke niche-gemeenschappen wordt PGP/GPP wel gebruikt, zichtbaar of onder water.

CERTs publiceren nog steeds PGP keys , en ik dacht dat in de wandelgangen van (security) conferenties certs/leden ook wel elkaars keys signen .
Maar hoofdzakelijk komt de trust van 'zie de key op onze officiele website - en het hele TLS mechanisme' .

Wat minder zichtbaar, maar wel gebruikt :

Linus eist dat kernel maintainers hun git-commit tags pgp-signen , en wil een key met trust van die maintainers.
Dat is (lijkt mij) een web of trust met hooguit één of twee tussenschakels tussen een nieuwe maintainer en Linus ;
Er zijn regelmatig kernel conferenties waarop (ook) keys gesigned kunnen worden dus binnen die specifieke gemeenschap is er veel verwevenheid van mensen elkaar persoonlijk ontmoet hebben en keys kunnen signen.

(Onlangs - Kent Overstreet wil bcachefs mergen in de kernel . Linus :

De rest van git garandeert allerlei integriteits zaken, dus met (alleen) een signature op een commit tag is bron en integriteit van de hele branch verder gegarandeerd.

Hopelijk zijn er buiten de Linux kernel meer belangrijke projecten die dit soort mechanismen gebruiken tussen developers/maintainers.


En nog verder onder water : RPM en DEB packages kunnen met pgp keys gesigned zijn.
De standaard distributies doen dat ook, en daarmee zijn updates betrouwbaar te downloaden ongeacht de betrouwheid van mirrors .
De trust hangt alleen af of de oorspronkelijke installatie die "de" trusted distributie key bevatte inderdaad "echt" is .
Daarvoor hangt uiteindelijk de zaak weer of die (of alleen de key) op "de echte" website van "de distributie" staat, en het hele TLS mechanisme dat de authenticiteit en integriteit van die website moet garanderen.


Dus bij elkaar : onder water in technische systemen (linux distro's) , met effectief "geen WoT" maar de basis installatie van een betrouwbare site halen.

Niches van nauw verweven communities zoals kernel developers, of CERTs .

Wat detail over wat er allemaal mis is met PGP:
https://blog.cryptographyengineering.com/2014/08/13/whats-matter-with-pgp/
(en Matthew Green heeft serieuze crypto credentials)

Nieuwe optie: PostGuard / Yivi combinatie

Een duidelijk antwoord kan ik niet geven, wel wat opheldering;
Binnenkort hechten er vast meer mensen waarde aan wanneer client side scanning begint, (CSS) dan gaan meer ontwikkelaars tools maken om berichten te kunnen versleutelen met PGP, eigenlijk onmisbaar voor deze toepassing.
Daarnaast wordt er ongetwijfelt nog veel gebruik van gemaakt via E-Mail.
Veel mensen vinden het aan de andere kant onhandig in het gebruik of denken het niet te snappen alvorens het te proberen...

PGP key signing parties lijken mij vooral nuttig voor de TLA. Je kan van elke PGP enthousiasteling of Remailer Operator een foto maken en een handje schudden. Voor toekomstig gebruik.

Op de hacker festivals als CCC waren ook altijd veel mensen van de 'overheid'. Die ook een praatje kwamen maken met iedereen (heb ik van horen zeggen).

Niet elke overheid in de wereld is even vriendelijk als de onze. Laat ik het daar bij laten.

Zelf vind ik dat je iemand kan leren kennen door zijn of haar berichten te lezen of door met hem of haar te mailen met encryptie. Dan krijg je vanzelf een band. Niet met iemands naam of foto op zijn paspoort, maar wel met zijn of haar pseudoniem waarvan je hem of haar kent. Dat is veel waardevoller als een key signing party.

Wat mij betref is WoT dood geboren. Maar gelukkig kan je het rustig negeren en de rest van PGP gebruiken zoals je wilt. Ik gebruik PGP om random 'base64' wachtwoorden te genereren uit 'pgp -ea' ascii armor.

Ik vind het wel ironisch dat Phil Zimmerman, de bedenker van PGP, zelf geen PGP meer gebruikt.

Er zijn ook nauwelijks nog keyservers online.

Het gebruil van PGP met email op een mobieltje is best omslachtig, zeker als je met meerdere partijen werkt.

Een text file op de computer encrypten of signen is geen problem maar de PC wordt ook steeds minder gebruikt.

Keyservers is ook niet meer van deze tijd en de keys niet altijd meer even betrouwbaar.
Misschien moet je eens naar WKD kijken.

Met de juiste tools is ook op een mobiel gnupg goed te gebruiken.

De grote open source projecten hebben ieder hun eigen, goed beheerde en besloten keyservers voor de ontwikkelaars.