Proton

Letzten Monat kamen Entwickler von zahlreichen OpenPGP-bezogenen Projekten im Hauptsitz von Proton in Genf zusammen, um gemeinsam zu arbeiten und die Zukunft von Ende-zu-Ende-verschlüsselten E-Mails unter Verwendung des OpenPGP-Standards zu diskutieren. Proton bot an, das sechste (normalerweise) jährliche Gipfeltreffen auszurichten, nachdem das vorherige Treffen 2019 in Berlin stattfand. Jedoch wurde dieses Treffen aufgrund der Pandemie verschoben. Jetzt, da die Lockdowns in Europa enden, konnten wir endlich wieder zusammenkommen.

Anwesend waren Entwickler von Projekten wie Thunderbird(neues Fenster), Enigmail(neues Fenster) und Proton Mail(neues Fenster), OpenPGP-Implementierungen wie Sequoia-PGP(neues Fenster), PGPainless(neues Fenster), OpenPGP.js(neues Fenster) und GopenPGP(neues Fenster), sowie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI)(neues Fenster). Die diskutierten Themen reichten von der Integration von Post-Quanten-Kryptographie in OpenPGP bis hin zur Verbesserung der Benutzerfreundlichkeit von verschlüsselten E-Mails.

Das Timing war günstig, da der OpenPGP-Standard (RFC 4880) derzeit in den letzten Zügen liegt, eine „Krypto-Aktualisierung“ zu erhalten, die die kryptografischen Grundelemente des Standards modernisiert, indem sicherere Signatur- und Verschlüsselungsalgorithmen hinzugefügt werden. Das Ergebnis davon wird in naher Zukunft als neuer RFC veröffentlicht. Daher drehten sich die Diskussionen auch um mögliche zukünftige Themen für die Standardisierung nach Abschluss dieser Arbeit in einer möglichen „Neuausrichtung“ der OpenPGP-Arbeitsgruppe.

Mögliche Ideen umfassten das automatische Weiterleiten eingehender E-Mails, wenn der Empfänger „abwesend“ ist, auf eine sichere Weise (ohne den privaten Schlüssel teilen zu müssen) sowie die Verbesserung der Sicherheit und Leistung der E-Mail-Archivierung durch symmetrisches Neuverschlüsseln von E-Mails zur Speicherung. Auch der Schutz von Kopfzeilen (z. B. das Verschlüsseln von Betreffzeilen) und Vorwärtsgeheimnis wurden unter anderem diskutiert.

Die Verbesserung des OpenPGP-Standards und die Standardisierung dieser neuen Funktionen sind wichtig, um die fortlaufende Interoperabilität zwischen verschiedenen E-Mail-Anbietern zu gewährleisten, auch wenn die E-Mails verschlüsselt sind. Das ist besonders relevant in der aktuellen Diskussion um Interoperabilität versus Ende-zu-Ende-Verschlüsselung: Es ist möglich, beides zu erreichen, wie die OpenPGP-Gemeinschaft zeigt, obwohl dies einige gezielte Anstrengungen erfordert. Treffen wie das OpenPGP-E-Mail-Gipfeltreffen erleichtern offene Diskussionen zwischen den Beteiligten.

Ein besseres Internet erfordert starke, quelloffene Verschlüsselung

Proton ist ein starker Befürworter von offenen Standards und Open-Source-Software. Das Öffnen von Vorschlägen zur Peer-Review verbessert die Qualität und Sicherheit und passt gut zu unserem Hintergrund als Physiker und Wissenschaftler. Deshalb haben wir alle Proton-Apps Open Source gemacht(neues Fenster) und zahlreichen Drittanbieter-Audits unterzogen.

Wir pflegen auch die OpenPGP.js und GopenPGP(neues Fenster) Open-Source-Verschlüsselungsbibliotheken. Wir sind der Meinung, dass die Pflege dieser Verschlüsselungsbibliotheken ein kritischer Teil unserer Arbeit ist, um ein besseres Internet zu schaffen, in dem Privatsphäre die Voreinstellung ist. Wenn starke Verschlüsselung interoperabel, einfach zu verwenden und frei verfügbar ist, ist es für Entwickler einfacher, mehr Apps zu erstellen, die standardmäßig privat sind, was allen zugutekommt.

Insgesamt war das Gipfeltreffen sehr nützlich und produktiv. Es ermöglichte uns, bedeutende Fortschritte bei den zuvor genannten Themen zu machen. Zusätzlich wurden konkrete Zusagen von uns und anderen gemacht, um in der Zwischenzeit an verschlüsselten E-Mails zu arbeiten.

Wir danken allen, die zum Gipfeltreffen gekommen sind, und hoffen, alle wiederzusehen (und einige zum ersten Mal) beim nächsten!

Verwandte Artikel

A phone screen with a speech bubble with a phone number in it
en
Your email address and passwords aren't the only information hackers can use to scam you. Here's what someone can do with your phone number — and how to protect it.
A web application screen with an unlock icon in the bottom right corner
en
Your best defense against a data breach could be improving your web application security: Find out how Proton Pass can help.
Investigative journalist Vegas Tenold explains the gear he uses to protect his privacy and stay safe.
en
  • Neuigkeiten zur Privatsphäre
Follow investigative journalist Vegas Tenold as he explains his gear and how it keeps him safe from surveillance as he works in the field.
Coinbase, the largest Bitcoin exchange in the US, suffered a data breach
en
  • Neuigkeiten zur Privatsphäre
  • Proton Wallet
Coinbase employees sold sensitive personal information to attackers, including government IDs and BTC transaction history. Proton Wallet is built to avoid these risks.
Whistleblower's whistle. Journalists must use secure channels to communicate with whistleblowers.
en
  • Privatsphäre-Richtlinien
Whistleblowers risk everything to expose the truth. This guide helps journalists keep their sources safe using secure tools like Proton Mail, Signal, and SecureDrop.
An image showing a phone screen with a child icon and three icons with '17+' '8-12' and '3-5' to indicate age ratings
en
  • Privatsphäre-Richtlinien
Parents can help their children develop healthy screen habits by learning about dark design patterns — Proton investigates how