OpenPGP.js/GopenPGP

Sichere E-Mails und sichere Signaturen im Browser

Website

OpenPGP ist ein Standard, der für Verschlüsselung und Signaturen verwendet wird. Er wird vor allem für die verschlüsselte Ende-zu-Ende-Kommunikation per E-Mail sowie die Signierung und Überprüfung von Softwarepaketen verwendet. Dies macht ihn zu einem kritischen Standard für viele Basisanwendungen des Internets. Die Unterstützung und Förderung interoperabler Implementierungen kann das Protokoll - und das Ökosystem - widerstandsfähiger machen, indem eine breite Anwendung gefördert wird und Fehler wirksam beseitigt werden.

Mit der Beauftragung wird die Weiterentwicklung und Verbesserung der JavaScript-Implementierung „OpenPGP.js” als auch die Go-Implementierung „GopenPGP” in Auftrag gegeben, um das Ökosystem in seiner Gesamtheit zu unterstützen. 

OpenPGP.js ist eine leichtgewichtige JS-Implementierung von openPGP, die im Browser läuft. Das ermöglicht die Entwicklung von Browser-Extensions und Webanwendungen, welche die Verwendung von OpenPGP wesentlich vereinfachen. Dadurch wird Innovation im Bereich von PGP-Anwendungen ermöglicht und die potentielle Nutzerschaft erhöht, da keine separate Software installiert werden muss. GopenPGP ist eine OpenPGP-Bibliothek, die es Projekten auf einfache Weise ermöglicht, eine hochsichere, gut geprüfte und moderne Implementierung von OpenPGP zu nutzen.

GopenPGP ist eine OpenPGP-Bibliothek, die es Projekten auf einfache Weise ermöglicht, eine hochsichere, gut geprüfte und moderne Implementierung von OpenPGP zu nutzen. GopenPGP wird von Millionen von Nutzern für E2EE-Mails verwendet, und die ihr zugrundeliegende Kryptographie-Bibliothek go-crypto ist auch die Grundlage für die Hockeypuck Keyserver Software, die es Nutzer:innen ermöglicht, Millionen von öffentlichen OpenPGP-Schlüsseln zu suchen und auszutauschen.

Warum ist das wichtig?

Die ausgewählten OpenPGP-Implementierungen ermöglichen eine Vielzahl von Anwendungsfällen. Durch die Verschlüsselung kann der Absender sicherstellen, dass niemand außer dem Empfänger auf die vertrauliche Kommunikation zugreifen kann. Durch das Signieren kann der Empfänger überprüfen, ob die Mitteilung vom Absender stammt und nicht manipuliert wurde. Durch die Überprüfung der öffentlichen Schlüssel können beide Seiten sicherstellen, dass sie mit demjenigen kommunizieren, mit dem sie zu kommunizieren beabsichtigen. Der Anwendungsfall der sicheren Ende-zu-Ende-Kommunikation ist vor allem für Journalist:innen, Regierungsbehörden, Unternehmen sowie alle Institutionen oder Personen geeignet, die E-Mail verwenden und einen Bedarf an privater, vertraulicher oder signierter Kommunikation haben.

So wie OpenPGP zum Signieren und Verschlüsseln von E-Mails verwendet werden kann, kann es auch zum Signieren und Verschlüsseln von Softwarepaketen eingesetzt werden. Während die Verschlüsselung von Open-Source-Software nur von begrenztem Nutzen ist, da sie oft nicht vertraulich ist, wird die Funktion des Signierens und Verifizierens von Signaturen häufig verwendet, um Entwickler:innen und Verbraucher:innen die Gewissheit zu geben, dass die Software nicht manipuliert wurde. Das Signieren ermöglicht es Open-Source-Projekten auch, zu überprüfen, ob ein Software-Beitrag von einem rechtmäßigen Mitwirkenden stammt, und hilft damit, sich vor Akteuren zu schützen, die die Software manipulieren wollen, indem sie die Identität eines vertrauenswürdigen Mitwirkenden annehmen.

Was unterstützen wir?

Der Standard OpenPGP durchläuft gerade eine Erneuerung namens „Crypto Refresh“. Sowohl für GopenPGP als auch OpenPGP.js wird die Implementierung der Verbesserung und Ergänzungen beauftragt, um die Sicherheit und Performance im Sinne der Nutzbarkeit zu erhöhen. So können Endnutzer:innen von den Weiterentwicklungen direkt profitieren. 

Zu den Projekten