1 · Prove what the software is 1 · Beweisen, was die Software ist

Verifiable builds. Your core code is open-source and built by CI, never by a human. GitHub build attestation ties every release artifact to the exact public commit that produced it. Trust isn’t claimed — it’s proven. Get the principles right, and being ready for the hard questions costs less than the paperwork.

Verifizierbare Builds. Ihr Kerncode ist quelloffen und wird von der CI erzeugt, nie von einem Menschen. Die Build-Attestierung von GitHub verknüpft jedes Release-Artefakt mit dem exakten öffentlichen Commit, aus dem es entstand. Vertrauen behauptet man nicht — man weist es nach. Wer die richtigen Prinzipien hat, ist auf die unbequemen Fragen vorbereitet — günstiger als jeder Papierkram.

2 · Prove what it’s running on 2 · Beweisen, worauf sie läuft

Verifiable secure boot. That verified image boots under UEFI Secure Boot on locked-down cloud instances and produces a remote attestation signed by the cloud’s own hardware root of trust. A remote party can confirm exactly which image booted, and that nothing was tampered with along the way.

Verifizierbarer Secure Boot. Dieses geprüfte Image startet per UEFI Secure Boot auf abgeschotteten Cloud-Instanzen und erzeugt eine Remote-Attestierung, signiert vom hardwarebasierten Vertrauensanker der Cloud. Eine Gegenstelle kann genau nachvollziehen, welches Image gestartet ist — und dass unterwegs nichts manipuliert wurde.

Google Cloud and AWS EC2 today · Azure next. Google Cloud und AWS EC2 heute · Azure folgt.

European startups & enterprise procurement Europäische Startups & Enterprise-Beschaffung

Walk into security reviews, vendor questionnaires and audits with evidence, not a policy PDF. Hard technical controls that map onto SOC 2 and ISO 27001, and demonstrable GDPR and BSI C5 compliance for the EU public sector.

Gehen Sie in Security-Reviews, Lieferanten-Fragebögen und Audits mit Beweisen statt mit einem Policy-PDF. Technische Kontrollen, die sich auf SOC 2 und ISO 27001 abbilden lassen — und nachweisbare DSGVO- und BSI-C5-Konformität für den öffentlichen Sektor.

MPC & on-chain verification MPC & On-Chain-Verifizierung

For multi-party computation, jurisdictional diversity is the threat model, not a liability — spread your quorum across clouds and legal jurisdictions so no single party can be compelled. We produce attestations even where the cloud doesn’t document them (yes, including Alibaba Cloud — reverse-engineered), wrapped in vaporTPM and verifiable on-chain via RISC Zero.

Bei Multi-Party-Computation ist jurisdiktionale Vielfalt das Bedrohungsmodell, kein Nachteil — verteilen Sie Ihr Quorum über Clouds und Rechtsräume, sodass keine einzelne Partei gezwungen werden kann. Wir erzeugen Attestierungen auch dort, wo die Cloud sie nicht dokumentiert (ja, inklusive Alibaba Cloud — per Reverse Engineering), verpackt in vaporTPM und on-chain prüfbar via RISC Zero.

lockboot

Verifiable secure boot for cloud instances: one standardized, CI-built boot image performing TPM-measured, attested initialization.

Verifizierbarer Secure Boot für Cloud-Instanzen: ein standardisiertes, per CI gebautes Boot-Image für TPM-gemessene, attestierte Initialisierung.

vaporTPM

The cloud vTPM attestation library lockboot builds on. Verify an instance’s attestation anywhere, with zero C dependencies.

Die vTPM-Attestierungsbibliothek, auf der lockboot aufbaut. Attestierungen überall verifizieren — ohne C-Abhängigkeiten.

vaporTPM RISC Zero ResearchForschung

Verify instance attestations anonymously and/or on Ethereum.

Instanz-Attestierungen anonym und/oder auf Ethereum verifizieren.