Facebook sagt GnuPG-Projekt finanzielle Unterstützung zu

Facebook hat am Donnerstag zugesagt, die Entwicklung des freien Verschlüsselungswerkzeugs GNU Privacy Guard – kurz GnuGP – künftig als Sponsor zu unterstützen. Wie der Bezahldienstanbieter Stripe will es jährlich 50.000 Dollar zuschießen. Damit ist die Finanzierung des zuletzt in Geldnöte geratenen Open-Source-Projekts vorerst gesichert.

Im Dezember hatte der Hauptentwickler von GnuGP zu Spenden aufgerufen, um die zukünftige Entwicklung finanzieren zu können. Außer Facebook und Stripe kam dem Aufruf auch die Linux Foundation nach, die einmalig 60.000 Dollar beisteuert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will GnuPG zudem weiterhin projektbezogen unterstützen.

GnuPG ist eine weit verbreitete Open-Source-Implementierung des PGP-Standards. Mit darauf basierenden Programmen können Nutzer Nachrichten und Dateien ver- beziehungsweise entschlüssel sowie mit einer digitalen Signatur versehen. Außerdem bietet es Funktionen für das Schlüsselmanagement.

GnuPG sowie PGP setzen sowohl symmetrische als auch asymmetrische kryptografische Verfahren ein. Erstere (wie AES und IDEA) dienen zur Datenverschlüsselung, Letztere (wie ElGamal, RSA oder DSA/DSS) zur Schlüsselverwaltung beziehungsweise Signaturbildung.

Beide Tools erzeugen und verwenden öffentliche und private Schlüssel in so genannten Schlüsselpaaren. Zu jedem privaten Schlüssel gibt es genau einen öffentlichen Schlüssel. Es ist praktisch ausgeschlossen, nur mit Kenntnis des öffentlichen Schlüssels den privaten Schlüssel zu errechnen. Eine Nachricht, die mit einem öffentlichen Schlüssel verschlüsselt beziehungsweise mit dem privaten Schlüssel signiert wurde, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt respektive mit dem öffentlichen Schlüssel des Absenders verifiziert werden. Der öffentliche Schlüssel kann jedem bekannt gemacht werden. Er dient dazu, Nachrichten an den Besitzer des privaten Schlüssels zu verschlüsseln.

Zum Nachweis von unautorisierten Manipulationen und somit zum Schutz vor Veränderungen einer Nachricht berechnen GnuPG und PGP unter Zuhilfenahme des privaten Schlüssels des Absenders einen Prüfcode über die Nachricht, die digitale Signatur. Jeder Kommunikationspartner kann mit Hilfe des öffentlichen Schlüssels des Absenders der Nachricht feststellen, ob der am Ende der Nachricht stehende Prüfcode zu der erhaltenen Nachricht passt oder ob die Nachricht unautorisiert verändert wurde.

Da GnuPG Open Source ist, steht es unter der freien GNU General Public Licence v3+. Das Projekt wird hauptsächlich durch Spenden finanziert.

„Wir halten ein vielfältiges, die Zeiten überdauerndes Software-Angebot für wichtig, und das ist eine großartige Gelegenheit, ein solches Projekt zu unterstützen“, erklärt Scott Renfro, Mitglied von Facebooks Security Infrastructure Team. „GnuPG ging vor 17 Jahren an den Start, und wir hoffen, dass es sich auch in den kommenden Jahren weiter verbessern wird.“

Seit Ende Oktober ist Facebook auch über das Anonymisierungsnetzwerk Tor erreichbar. Anonymität gegenüber dem Social Network verschafft das dem Nutzer nicht, der sich dort wie gewohnt anmeldet. Der Hidden Service soll vielmehr die Verbindung selbst sichern und vor möglicher Ausspähung schützen.

[mit Material von Charlie Osborne, ZDNet.com]