GPG-Entwickler: Sequoia-Projekt baut OpenPGP in Rust

Das GPG-Projekt ist zwar de facto die Standardimplementierung von OpenPGP, wird aber auch immer wieder für seine alte Codebasis, schlechte Entscheidungen und schwierig zu nutzende API kritisiert. Drei ehemalige GnuPG-Entwickler arbeiten deshalb an der nach dem Mammutbaum benannten Bibliothek Sequoia, die eine neue freie Implementierung von OpenPGP liefern soll. Unterstützt wird das Projekt durch die Pep-Foundation und die Wau-Holland-Stiftung.

Die in Rust geschriebene Implementierung soll modular aufgebaut sein, was bedeutet, dass von Sequoia kein Arbeitsablauf bei der Nutzung des Codes vorgegeben wird. Das Projekt soll sich sprachübergreifend integrieren lassen, wofür es unter anderem ein C-API mitbringt. Weitere Sprachanbindungen sollen folgen.

Sequoia hilft unter anderem dabei, die Schlüssel der eigenen Kontakte zu verwalten. Der integrierte Keystore speichert die Schlüssel nicht nur, sondern aktualisiert sie auch. Das ist insbesondere bei zurückgezogenen Schlüsseln hilfreich. Ebenso lassen sich mit Sequoia Dateien ver- und entschlüsseln. Die eingebaute Key Rotation ahmt dabei einen ähnlichen Effekt wie Forward Secrecy nach. Genutzt werden können soll Sequoia künftig auch für das Verschlüsseln von E-Mails. An einer Chat-Anwendung auf Basis der Kryptografie von OpenPGP arbeitet das Team ebenfalls.

Ein über die Webseite erreichbarer Guide hilft nicht nur beim Installieren der Software, sondern zeigt auch an einem Beispielprojekt, wie sich Sequoia verwenden lässt. Einen Überblick über Sequoia liefert ein Vortrag (PDF), demzufolge eine erste Version der OpenPGP-Implementierung bereits im Herbst dieses Jahres zur Verfügung stehen soll.