Sequoia PGP

Sichere Kommunikation, Signaturen und Authentifizierung, in Rust

Website

OpenPGP ist ein Standard, der die authentifizierte und verschlüsselte Ende-zu-Ende-Kommunikation per E-Mail sowie die Signierung und Überprüfung von Softwarepaketen ermöglicht. Dies macht ihn zu einem kritischen Standard für viele Basisanwendungen des Internets, wie z.B. die sichere Kommunikation und die Sicherung der Software-Lieferkette. Die Unterstützung und Förderung mehrerer interoperabler Implementierung kann die Resilienz des Standards und des Ökosystems stärken, indem eine breite Anwendung gewährleistet wird und Fehler beseitigt werden.

Die verschiedenen Bibliotheken und Implementierungen rund um PGP müssen als Ökosystem verstanden werden, das kontinuierliche Weiterentwicklung und Diversifizierung benötigt. Mit der Beauftragung wird die Weiterentwicklung und Verbesserung der Rust-Implementierung „Sequoia PGP“ in Auftrag gegeben, um das Ökosystem in seiner Gesamtheit zu unterstützen.

Sequoia PGP ist eine moderne OpenPGP-Implementierung mit dem Schwerpunkt auf Sicherheit, Nutzbarkeit und Interoperabilität. Dies wird dadurch erreicht, dass sie in Rust, einer sogenannten „Memory Safe Language“ geschrieben ist und eine umfangreiche Testinfrastruktur besitzt, die sicherstellt, dass die Implementierung nicht nur wie beabsichtigt funktioniert, sondern auch mit anderen Implementierungen gut zusammenarbeitet.

Warum ist das wichtig?

Die ausgewählten OpenPGP-Implementierungen ermöglichen eine Vielzahl von Anwendungsfällen. Durch die Verschlüsselung kann der Absender sicherstellen, dass niemand außer dem Empfänger auf die vertrauliche Kommunikation zugreifen kann. Durch das Signieren kann der Empfänger überprüfen, ob die Mitteilung vom Absender stammt und nicht manipuliert wurde. Durch die Überprüfung der öffentlichen Schlüssel können beide Seiten sicherstellen, dass sie mit demjenigen kommunizieren, mit dem sie zu kommunizieren beabsichtigen. Der Anwendungsfall der sicheren Ende-zu-Ende-Kommunikation ist vor allem für Journalisten, Regierungsbehörden, Unternehmen sowie alle Institutionen oder Personen geeignet, die E-Mail verwenden und einen Bedarf an privater, vertraulicher oder signierter Kommunikation haben.

So wie OpenPGP zum Signieren und Verschlüsseln von E-Mails verwendet werden kann, kann es auch zum Signieren und Verschlüsseln von Softwarepaketen eingesetzt werden. Während die Verschlüsselung von Open-Source-Software nur von begrenztem Nutzen ist, da sie oft nicht vertraulich ist, wird die Funktion des Signierens und Verifizierens von Signaturen häufig verwendet, um Entwicklern und Verbrauchern die Gewissheit zu geben, dass die Software nicht manipuliert wurde. Das Signieren ermöglicht es Open-Source-Projekten auch, zu überprüfen, ob ein Software-Beitrag von einem rechtmäßigen Mitwirkenden stammt, und hilft damit, sich vor Akteuren zu schützen, die die Software manipulieren wollen, indem sie die Identität eines vertrauenswürdigen Mitwirkenden annehmen.

Was unterstützen wir?

Die Nutzbarkeit und Sicherheit von Sequoia PGP soll erhöht werden, indem Git-Signaturen für Software-Supply-Chains ausgearbeitet werden, eine API für die Verwendung über Python entwickelt und dokumentiert sowie der Support für PGP-Smartcards weiterentwickelt wird. Weiterhin wird das Framework für automatisierte Interoperabilitäts-Tests weiterentwickelt, um sicherzustellen, dass die OpenPGP-Implementierungen interoperabel sein. Dafür wird die Testsuite von Sequoia PGP verwendet.

Zu den Projekten