Sequoia PGP (2023)

Sequoia PGP ermöglicht sichere Ende-zu-Ende-Kommunikation, die für Journalist*innen, Behörden, Unternehmen und alle Institutionen oder Einzelpersonen wichtig ist, die elektronische Kommunikation wie E-Mail nutzen und eine private, vertrauliche oder authentifizierte Kommunikation benötigen.

Durch Verschlüsselung und Authentifizierung kann die absendende Person sicherstellen, dass niemand außer der vorgesehenen empfangenden Person auf vertrauliche Informationen zugreifen kann. Durch das Signieren kann diese*r Empfänger*in überprüfen, ob die Kommunikation von der absendenden Person stammt und nicht manipuliert wurde.

Mit den geplanten Tools des Sequoia PGP Projekts kann OpenPGP unabhängig von der Transportmethode verwendet werden. Allein mit Sequoia PGP und Copy-and-Paste können Nutzer*innen verschlüsselte Nachrichten über den Facebook Messenger, über Mastodon-Direktnachrichten, per SMS, als ausgedruckte QR-Codes oder als Dateien auf einem USB-Stick versenden. Damit ist OpenPGP ein hervorragender Verschlüsselungsstandard, der zudem fast überall eingesetzt werden kann.

OpenPGP kann auch zum Signieren und Verschlüsseln von Softwarepaketen verwendet werden. Die Funktion des Signierens und Verifizierens von Signaturen wird häufig verwendet, um Entwickler*innen und Verbraucher*innen die Sicherheit zu geben, dass die Software nicht manipuliert wurde. Mit Hilfe von Signaturen können Open-Source-Projekte auch überprüfen, ob Softwarebeiträge von legitimen Mitwirkenden stammen und sich vor Akteur*innen schützen, die die Software manipulieren wollen, indem sie die Identitäten von vertrauten Kontributor*innen annehmen.

Software-Signierverfahren werden immer wichtiger und entscheidender für die digitale Infrastruktur, Softwareentwicklung und die Industrie. Im Rahmen des Projekts arbeitet das Sequoia PGP Team daran, die Bedeutung einer Signatur zu spezifizieren und eine Infrastruktur zu entwerfen und aufzubauen, mit der ein Repository und die damit verbundenen Repositorys (d. h. die Abhängigkeiten eines Repositorys) verifiziert werden können. Dies geschieht so, dass keine zentralisierte Infrastruktur, einschließlich Blockchain, benötigt wird. Das Design des Software-Signierverfahrens macht das Repository vollständig selbstbeschreibend, was für die Reproduzierbarkeit von Bedeutung ist.

Generell ist die Investition in mehrere OpenPGP Implementierungen weiterhin von strategischer Bedeutung für die Stärkung des Ökosystems. Es besteht ein deutliches öffentliches Interesse an verschiedenen, gut gewarteten Implementierungen für unterschiedliche Anwendungsfälle. Das Sequoia-PGP Team ist gut mit anderen Akteur*innen in diesem Bereich vernetzt, z. B. mit denen, die an den Javascript- und Go-Implementierungen arbeiten, und plant, sich auf Veranstaltungen wie der IETF im Rahmen der OpenPGP Arbeitsgruppe und ihrem „Crypto Refresh“-Dokument weiter zu engagieren.

Als eines der Pilotprojekte des Sovereign Tech Fund (Oktober 2022 bis Mai 2023) wurde die folgende Arbeit in Auftrag gegeben:

• Verbesserung der Nutzbarkeit von Sequoia PGP durch die Festlegung von Signierrichtlinien und die Entwicklung von Werkzeugen für Software-Lieferketten (dies verbessert die Sicherheit anderer Software und ihrer Nutzer*innen, indem ein*e Downstream-Nutzer*in leichter feststellen kann, ob eine Änderung von den Maintainer*innen des Projekts freigegeben wurde)
• die Entwicklung und Dokumentation einer API für die Verwendung mit Python und
• die Unterstützung für PGP-Smartcards weiterentwickeln.
• Die Sequoia PGP Test Suite wurde verwendet, um den Rahmen für automatisierte Interoperabilitätstests weiterzuentwickeln.

In den Jahren 2023 und 2024 plant das Team hinter Sequoia PGP, das Kommandozeilen-Tool sq zu verfeinern, sich an der Erarbeitung von Standards zu beteiligen, die Sequoia OpenPGP-Bibliothek zu verbessern und andere Projekte bei der Nutzung und Integration von Sequoia PGP zu unterstützen.