WaveBend
/

Verifiable trust for cloud software Nachweisbares Vertrauen für Cloud-Software

Don’t ask anyone to trust you.
Let them verify. Verlangen Sie kein Vertrauen.
Liefern Sie den Beweis.

WaveBend builds a cryptographic chain of proof — from your source code on GitHub to the running cloud instance — so customers, auditors and regulators can verify your security instead of taking your word for it. A fully open-source stack, built for European startups.

WaveBend schafft eine kryptografische Beweiskette — vom Quellcode auf GitHub bis zur laufenden Cloud-Instanz. So können Kunden, Auditoren und Behörden Ihre Sicherheit überprüfen, statt Ihnen einfach glauben zu müssen. Ein vollständig quelloffener Stack, entwickelt für europäische Startups.

Get a Reality Check → Attestierungs-Check → See how it works ↓ So funktioniert’s ↓

Attestation, or attestation theater? Attestierung — oder nur Attestierungs-Theater?

Plenty of teams claim a hardware root of trust — “we use Nitro / TDX / a TPM.” Far fewer can actually prove it. A hash of a closed binary verifies nothing. An attestation no one can fetch is marketing. A quote you can’t trace back to a hardware root CA is a dangling signature. If your trust story has any of these gaps, the right auditor — or customer — will find it.

Viele Teams berufen sich auf einen hardwarebasierten Vertrauensanker — „wir nutzen Nitro / TDX / ein TPM“. Nur wenige können das auch belegen. Der Hash eines geschlossenen Binärprogramms beweist nichts. Eine Attestierung, die niemand abrufen kann, ist Marketing. Ein Quote, das sich nicht bis zur Hardware-Root-CA zurückverfolgen lässt, ist eine haltlose Signatur. Hat Ihre Vertrauensgeschichte eine dieser Lücken, findet der richtige Auditor — oder Kunde — sie.

Two links, one chain of proof Zwei Glieder, eine Beweiskette

1 · Prove what the software is 1 · Beweisen, was die Software ist

Verifiable builds. Your core code is open-source and built by CI, never by a human. GitHub build attestation ties every release artifact to the exact public commit that produced it. Trust isn’t claimed — it’s proven. Get the principles right, and being ready for the hard questions costs less than the paperwork.

Verifizierbare Builds. Ihr Kerncode ist quelloffen und wird von der CI erzeugt, nie von einem Menschen. Die Build-Attestierung von GitHub verknüpft jedes Release-Artefakt mit dem exakten öffentlichen Commit, aus dem es entstand. Vertrauen behauptet man nicht — man weist es nach. Wer die richtigen Prinzipien hat, ist auf die unbequemen Fragen vorbereitet — günstiger als jeder Papierkram.

2 · Prove what it’s running on 2 · Beweisen, worauf sie läuft

Verifiable secure boot. That verified image boots under UEFI Secure Boot on locked-down cloud instances and produces a remote attestation signed by the cloud’s own hardware root of trust. A remote party can confirm exactly which image booted, and that nothing was tampered with along the way.

Verifizierbarer Secure Boot. Dieses geprüfte Image startet per UEFI Secure Boot auf abgeschotteten Cloud-Instanzen und erzeugt eine Remote-Attestierung, signiert vom hardwarebasierten Vertrauensanker der Cloud. Eine Gegenstelle kann genau nachvollziehen, welches Image gestartet ist — und dass unterwegs nichts manipuliert wurde.

Google Cloud and AWS EC2 today · Azure next. Google Cloud und AWS EC2 heute · Azure folgt.

Built for two kinds of trust Für zwei Arten von Vertrauen gebaut

European startups & enterprise procurement Europäische Startups & Enterprise-Beschaffung

Walk into security reviews, vendor questionnaires and audits with evidence, not a policy PDF. Hard technical controls that map onto SOC 2 and ISO 27001, and demonstrable GDPR and BSI C5 compliance for the EU public sector.

Gehen Sie in Security-Reviews, Lieferanten-Fragebögen und Audits mit Beweisen statt mit einem Policy-PDF. Technische Kontrollen, die sich auf SOC 2 und ISO 27001 abbilden lassen — und nachweisbare DSGVO- und BSI-C5-Konformität für den öffentlichen Sektor.

MPC & on-chain verification MPC & On-Chain-Verifizierung

For multi-party computation, jurisdictional diversity is the threat model, not a liability — spread your quorum across clouds and legal jurisdictions so no single party can be compelled. We produce attestations even where the cloud doesn’t document them (yes, including Alibaba Cloud — reverse-engineered), wrapped in vaporTPM and verifiable on-chain via RISC Zero.

Bei Multi-Party-Computation ist jurisdiktionale Vielfalt das Bedrohungsmodell, kein Nachteil — verteilen Sie Ihr Quorum über Clouds und Rechtsräume, sodass keine einzelne Partei gezwungen werden kann. Wir erzeugen Attestierungen auch dort, wo die Cloud sie nicht dokumentiert (ja, inklusive Alibaba Cloud — per Reverse Engineering), verpackt in vaporTPM und on-chain prüfbar via RISC Zero.

How we work Wie wir arbeiten

WaveBend is a consultancy with a fully open-source stack. We don’t sell a black box — we set up the build pipeline and boot infrastructure inside your repos and your cloud accounts, then hand it over with the evidence story your auditors and customers need.

WaveBend ist eine Beratung mit einem vollständig quelloffenen Stack. Keine Blackbox — wir richten Build-Pipeline und Boot-Infrastruktur in Ihren Repos und Ihren Cloud-Konten ein und übergeben sie samt der Nachweis-Dokumentation, die Auditoren und Kunden erwarten.

  1. Discovery — map your trust boundaries and compliance targets.Discovery — Vertrauensgrenzen und Compliance-Ziele erfassen.
  2. Verifiable builds — GitHub attestation wired into your release flow.Verifizierbare Builds — GitHub-Attestierung in Ihren Release-Flow integriert.
  3. Attested boot — your workload under verifiable secure boot on your cloud.Attested Boot — Ihre Workload unter verifizierbarem Secure Boot in Ihrer Cloud.
  4. Handover — docs, the open-source stack, and the evidence story.Übergabe — Dokumentation, der quelloffene Stack und die Nachweis-Story.

The open-source stack Der quelloffene Stack

Everything we deploy is open and auditable — that’s the point.

Alles, was wir ausliefern, ist offen und prüfbar — das ist der Punkt.

lockboot

Verifiable secure boot for cloud instances: one standardized, CI-built boot image performing TPM-measured, attested initialization.

Verifizierbarer Secure Boot für Cloud-Instanzen: ein standardisiertes, per CI gebautes Boot-Image für TPM-gemessene, attestierte Initialisierung.

vaporTPM

The cloud vTPM attestation library lockboot builds on. Verify an instance’s attestation anywhere, with zero C dependencies.

Die vTPM-Attestierungsbibliothek, auf der lockboot aufbaut. Attestierungen überall verifizieren — ohne C-Abhängigkeiten.

vaporTPM RISC Zero ResearchForschung

Verify instance attestations anonymously and/or on Ethereum.

Instanz-Attestierungen anonym und/oder auf Ethereum verifizieren.

Engineering notes Technische Notizen

Build now for what’s arriving. The bar for “trust us” is rising across Europe — clear it with evidence.

Bauen Sie jetzt für das, was kommt. Die Messlatte für „Vertrauen Sie uns“ steigt in ganz Europa — überspringen Sie sie mit Beweisen.

Get a Reality Check → Attestierungs-Check →

Scan & connect Scannen & verbinden

Get in touch Kontakt aufnehmen
Open this site Diese Seite öffnen