Verschlüsselung: GnuPG-Projekt neu aufgestellt und wieder für VS-NfD zugelassen
Um das Verschlüsselungs- und Signatur-Projekt GnuPG war es längere Zeit ruhig. Es hat sich inzwischen finanziell gut positioniert und weiterentwickelt.
Das GnuPG-Projekt dient etwa zum Verschlüsseln und Signieren von E-Mails oder auch von Installationspaketen. Nachdem es etwas stiller darum wurde, erläutert Projektgründer Werner Koch jetzt aktuelle Entwicklungen: So ist etwa GnuPG für Behörden für die Vertraulichkeitsstufe VS-NfD (Verschlusssache - nur für den Dienstgebrauch) wieder zugelassen. Auch finanziell hat sich Kochs Firma hinter GnuPG, g10 Code GmbH, inzwischen besser aufgestellt.
Eine erste Zulassung von Gpg4win aus dem Frühjahr 2019 wurde im August des Jahres zurückgezogen. Die eigens entwickelte Version namens Gpg4VS-NfD erhielt eine Umbenennung in GPG VS-Desktop und steht für Windows und Linux zur Verfügung. Diese hat das BSI wieder für die niedrigste Vertraulichkeitsstufe VS-NfD zugelassen.
Behördensoftware abgelöst
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, die alte Verschlüsselungslösung Chiasmus etwa durch GPG VS-Desktop oder GreenShield abzulösen. Chiasmus sei veraltet und werde nicht mehr weiterentwickelt; eine künftige Entschlüsselung mit der Software unter neueren Betriebssystemen sei nicht sichergestellt.
Dies beschere Kochs Firma und damit dem GnuPG-Projekt nun nachhaltige Umsätze durch die Behörden-Kundschaft. Dafür erhielten zahlende Kunden Support und eine langfristige weiterentwickelte und zugelassene Software-Version, erklärt Koch in einem Blog-Beitrag. Er erläutert weiter, dass zwar bei der Migration meist symmetrische Verschlüsselung eingesetzt werde, sich aber die bessere asymmetrische Verschlüsselung künftig leicht nutzen ließe. Zudem erleichtere eine Active-Directory-Integration die Arbeit mit OpenPGP. Eine Zusammenarbeit mit Rohde & Schwarz Cybersecurity ermögliche außerdem das Zusammenspiel zwischen deren Smartcard-Verwaltungssystem und GnuPG VS-Desktop.
Koch schätzt, dass etwa eine viertel Million Arbeitsplätze mit der Software ausgestattet werden. Er bedankt sich bei allen bisherigen Unterstützern und bittet sie, ihre Spenden einzustellen und anderen Projekten zukommen zu lassen, die dringender auf Zuwendungen angewiesen seien. Bei Paypal- oder Stripe-basierten Daueraufträgen habe man bereits empfängerseitig die Aufträge beenden können; SEPA-Aufträge müssen jedoch vom Spender eingestellt werden. "Ich bin tatsächlich ein wenig stolz, eines der wenigen selbst tragfähigen Free-Software-Projekte zu leiten, die die Ziele der Bewegung nicht opfern mussten", schreibt Werner Koch dazu.
Themenseite Linux und Open-Source auf heise online
(dmk)
