Letzten Monat kamen Entwickler von zahlreichen OpenPGP-bezogenen Projekten im Hauptsitz von Proton in Genf zusammen, um gemeinsam zu arbeiten und die Zukunft von Ende-zu-Ende-verschlüsselten E-Mails unter Verwendung des OpenPGP-Standards zu diskutieren. Proton bot an, das sechste (normalerweise) jährliche Gipfeltreffen auszurichten, nachdem das vorherige Treffen 2019 in Berlin stattfand. Jedoch wurde dieses Treffen aufgrund der Pandemie verschoben. Jetzt, da die Lockdowns in Europa enden, konnten wir endlich wieder zusammenkommen.

Anwesend waren Entwickler von Projekten wie Thunderbird(neues Fenster), Enigmail(neues Fenster) und Proton Mail(neues Fenster), OpenPGP-Implementierungen wie Sequoia-PGP(neues Fenster), PGPainless(neues Fenster), OpenPGP.js(neues Fenster) und GopenPGP(neues Fenster), sowie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI)(neues Fenster). Die diskutierten Themen reichten von der Integration von Post-Quanten-Kryptographie in OpenPGP bis hin zur Verbesserung der Benutzerfreundlichkeit von verschlüsselten E-Mails.

Das Timing war günstig, da der OpenPGP-Standard (RFC 4880) derzeit in den letzten Zügen liegt, eine „Krypto-Aktualisierung“ zu erhalten, die die kryptografischen Grundelemente des Standards modernisiert, indem sicherere Signatur- und Verschlüsselungsalgorithmen hinzugefügt werden. Das Ergebnis davon wird in naher Zukunft als neuer RFC veröffentlicht. Daher drehten sich die Diskussionen auch um mögliche zukünftige Themen für die Standardisierung nach Abschluss dieser Arbeit in einer möglichen „Neuausrichtung“ der OpenPGP-Arbeitsgruppe.

Mögliche Ideen umfassten das automatische Weiterleiten eingehender E-Mails, wenn der Empfänger „abwesend“ ist, auf eine sichere Weise (ohne den privaten Schlüssel teilen zu müssen) sowie die Verbesserung der Sicherheit und Leistung der E-Mail-Archivierung durch symmetrisches Neuverschlüsseln von E-Mails zur Speicherung. Auch der Schutz von Kopfzeilen (z. B. das Verschlüsseln von Betreffzeilen) und Vorwärtsgeheimnis wurden unter anderem diskutiert.

Die Verbesserung des OpenPGP-Standards und die Standardisierung dieser neuen Funktionen sind wichtig, um die fortlaufende Interoperabilität zwischen verschiedenen E-Mail-Anbietern zu gewährleisten, auch wenn die E-Mails verschlüsselt sind. Das ist besonders relevant in der aktuellen Diskussion um Interoperabilität versus Ende-zu-Ende-Verschlüsselung: Es ist möglich, beides zu erreichen, wie die OpenPGP-Gemeinschaft zeigt, obwohl dies einige gezielte Anstrengungen erfordert. Treffen wie das OpenPGP-E-Mail-Gipfeltreffen erleichtern offene Diskussionen zwischen den Beteiligten.

Ein besseres Internet erfordert starke, quelloffene Verschlüsselung

Proton ist ein starker Befürworter von offenen Standards und Open-Source-Software. Das Öffnen von Vorschlägen zur Peer-Review verbessert die Qualität und Sicherheit und passt gut zu unserem Hintergrund als Physiker und Wissenschaftler. Deshalb haben wir alle Proton-Apps Open Source gemacht(neues Fenster) und zahlreichen Drittanbieter-Audits unterzogen.

Wir pflegen auch die OpenPGP.js und GopenPGP(neues Fenster) Open-Source-Verschlüsselungsbibliotheken. Wir sind der Meinung, dass die Pflege dieser Verschlüsselungsbibliotheken ein kritischer Teil unserer Arbeit ist, um ein besseres Internet zu schaffen, in dem Privatsphäre die Voreinstellung ist. Wenn starke Verschlüsselung interoperabel, einfach zu verwenden und frei verfügbar ist, ist es für Entwickler einfacher, mehr Apps zu erstellen, die standardmäßig privat sind, was allen zugutekommt.

Insgesamt war das Gipfeltreffen sehr nützlich und produktiv. Es ermöglichte uns, bedeutende Fortschritte bei den zuvor genannten Themen zu machen. Zusätzlich wurden konkrete Zusagen von uns und anderen gemacht, um in der Zwischenzeit an verschlüsselten E-Mails zu arbeiten.

Wir danken allen, die zum Gipfeltreffen gekommen sind, und hoffen, alle wiederzusehen (und einige zum ersten Mal) beim nächsten!