Sequoia PGP (2023)
Eckdaten
- Status:
- Laufend
- Investition
- 900.000,00 €
- Investitionsjahr(e)
- 2023, 2024
OpenPGP ist ein kritischer Standard für die Verschlüsselung, Signierung und Authentifizierung. Er wird häufig für Ende-zu-Ende-Verschlüsselung von E-Mail-Kommunikation und für viele andere Basisanwendungen des Internets genutzt. OpenPGP wird auch bei der Sicherung der Software-Lieferkette eingesetzt, z. B. durch die Signierung und Verifizierung von Software-Updates und anderen digitalen Artefakten.
Die zahlreichen Bibliotheken und Werkzeuge rund um OpenPGP bilden ein Ökosystem, das eine kontinuierliche Weiterentwicklung erfordert und von Diversifizierung profitiert. Die Unterstützung und Weiterentwicklung interoperabler Implementierungen von OpenPGP kann den Standard – und sein Ökosystem – stärker und belastbarer machen, indem eine breite Akzeptanz gefördert wird und Bugs reduziert werden.
Ziel des Sovereign Tech Fund ist, das Ökosystem zu unterstützen. Dafür werden mehrere Implementierungen des Protokolls unterstützt, in diesem Fall die Rust-Implementierung Sequoia PGP.
Sequoia PGP ist eine moderne OpenPGP-Implementierung mit dem Schwerpunkt auf Sicherheit, Nutzbarkeit und Interoperabilität. Sie ist in Rust geschrieben, einer „speichersicheren“ Programmiersprache, und verfügt über eine umfangreiche Testinfrastruktur, die sicherstellt, dass die Implementierung wie vorgesehen funktioniert und auch gut mit anderen Implementierungen zusammenarbeitet.
Das Sequoia PGP Projekt arbeitet daran, die Verwendung von Kryptografie für Datenschutz und Authentifizierung alltäglicher und einfacher zu machen. Das Projekt strebt an, die Verwendung von starker Verschlüsselung und starker Authentifizierung zu vereinfachen und eine dezentralisierte, einfach zu benutzende, protokollübergreifende Public-Key-Infrastruktur aufzubauen.
OpenPGP ist in der IT-Branche und bei Freien- und Open-Source-Projekten weit verbreitet, um die Authentizität von Softwarepaketen zu überprüfen und Nachrichten zu verschlüsseln und zu authentifizieren. Das Sequoia PGP Team entwirft und baut außerdem eine dezentrale Infrastruktur (sequoia git) zur Verifizierung von Repositorys, um die Sicherheit der Softwareproduktion zu verbessern.
Für die Fortsetzung dieser Arbeit ist die Unterstützung durch den Sovereign Tech Fund für das Team von Sequoia PGP entscheidend. Für die Zukunft strebt Sequoia PGP eine Diversifizierung seiner Finanzierung an, indem es mehr Einzelspenden einwirbt und strategische Partnerschaften mit Unternehmen aufbaut, die Sequoia auch nutzen.
Warum ist das wichtig?
Sequoia PGP ermöglicht sichere Ende-zu-Ende-Kommunikation, die für Journalist*innen, Behörden, Unternehmen und alle Institutionen oder Einzelpersonen wichtig ist, die elektronische Kommunikation wie E-Mail nutzen und eine private, vertrauliche oder authentifizierte Kommunikation benötigen.
Durch Verschlüsselung und Authentifizierung kann die absendende Person sicherstellen, dass niemand außer der vorgesehenen empfangenden Person auf vertrauliche Informationen zugreifen kann. Durch das Signieren kann diese*r Empfänger*in überprüfen, ob die Kommunikation von der absendenden Person stammt und nicht manipuliert wurde.
Mit den geplanten Tools des Sequoia PGP Projekts kann OpenPGP unabhängig von der Transportmethode verwendet werden. Allein mit Sequoia PGP und Copy-and-Paste können Nutzer*innen verschlüsselte Nachrichten über den Facebook Messenger, über Mastodon-Direktnachrichten, per SMS, als ausgedruckte QR-Codes oder als Dateien auf einem USB-Stick versenden. Damit ist OpenPGP ein hervorragender Verschlüsselungsstandard, der zudem fast überall eingesetzt werden kann.
OpenPGP kann auch zum Signieren und Verschlüsseln von Softwarepaketen verwendet werden. Die Funktion des Signierens und Verifizierens von Signaturen wird häufig verwendet, um Entwickler*innen und Verbraucher*innen die Sicherheit zu geben, dass die Software nicht manipuliert wurde. Mit Hilfe von Signaturen können Open-Source-Projekte auch überprüfen, ob Softwarebeiträge von legitimen Mitwirkenden stammen und sich vor Akteur*innen schützen, die die Software manipulieren wollen, indem sie die Identitäten von vertrauten Kontributor*innen annehmen.
Software-Signierverfahren werden immer wichtiger und entscheidender für die digitale Infrastruktur, Softwareentwicklung und die Industrie. Im Rahmen des Projekts arbeitet das Sequoia PGP Team daran, die Bedeutung einer Signatur zu spezifizieren und eine Infrastruktur zu entwerfen und aufzubauen, mit der ein Repository und die damit verbundenen Repositorys (d. h. die Abhängigkeiten eines Repositorys) verifiziert werden können. Dies geschieht so, dass keine zentralisierte Infrastruktur, einschließlich Blockchain, benötigt wird. Das Design des Software-Signierverfahrens macht das Repository vollständig selbstbeschreibend, was für die Reproduzierbarkeit von Bedeutung ist.
Generell ist die Investition in mehrere OpenPGP Implementierungen weiterhin von strategischer Bedeutung für die Stärkung des Ökosystems. Es besteht ein deutliches öffentliches Interesse an verschiedenen, gut gewarteten Implementierungen für unterschiedliche Anwendungsfälle. Das Sequoia-PGP Team ist gut mit anderen Akteur*innen in diesem Bereich vernetzt, z. B. mit denen, die an den Javascript- und Go-Implementierungen arbeiten, und plant, sich auf Veranstaltungen wie der IETF im Rahmen der OpenPGP Arbeitsgruppe und ihrem „Crypto Refresh“-Dokument weiter zu engagieren.
Was unterstützen wir?
Als eines der Pilotprojekte des Sovereign Tech Fund (Oktober 2022 bis Mai 2023) wurde die folgende Arbeit in Auftrag gegeben:
- Verbesserung der Nutzbarkeit von Sequoia PGP durch die Festlegung von Signierrichtlinien und die Entwicklung von Werkzeugen für Software-Lieferketten (dies verbessert die Sicherheit anderer Software und ihrer Nutzer*innen, indem ein*e Downstream-Nutzer*in leichter feststellen kann, ob eine Änderung von den Maintainer*innen des Projekts freigegeben wurde)
- die Entwicklung und Dokumentation einer API für die Verwendung mit Python und
- die Unterstützung für PGP-Smartcards weiterentwickeln.
- Die Sequoia PGP Test Suite wurde verwendet, um den Rahmen für automatisierte Interoperabilitätstests weiterzuentwickeln.
In den Jahren 2023 und 2024 plant das Team hinter Sequoia PGP, das Kommandozeilen-Tool sq zu verfeinern, sich an der Erarbeitung von Standards zu beteiligen, die Sequoia OpenPGP-Bibliothek zu verbessern und andere Projekte bei der Nutzung und Integration von Sequoia PGP zu unterstützen.