Abo
  • Services:
Anzeige
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek.
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek. (Bild: Google/Screenshot: Golem.de)

End-to-End: Google will mit Javascript verschlüsseln

Mit der Erweiterung End-to-End für Chrome will Google die Verschlüsselung per PGP erleichtern. Dazu wurde eine Kryptobibliothek für Javascript umgesetzt. Jetzt soll End-to-End rigoros getestet werden.

Anzeige

Mit der Erweiterung End-to-End für den Browser Chrome will Google die Verschlüsselung per OpenPGP erleichtern. Damit soll sich künftig beispielsweise der Inhalt von E-Mails in Googles Gmail verschlüsseln lassen. End-to-End verlässt sich dabei auf eine eigens erstellte Javascript-Bibliothek, die ebenfalls von Google entwickelt wurde. Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung. Jetzt hat Google End-to-End zum Testen freigegeben. Vor dem Einsatz der Erweiterung in Produktivumgebungen raten die Google-Entwickler zunächst jedoch vehement ab.

End-to-End soll in einer eigenen Sandbox im Chrome-Browser laufen. Erstellte private und öffentliche Schlüssel werden in einem eigenen Schlüsselbund gespeichert. Nur dieser ist mit dem Passwort abgesichert. Bereits vorhandene Schlüssel können importiert werden, sie werden nach einer einmaligen Passwortabfrage im Schlüsselbund gespeichert.

Mit elliptischen Kurven

Die Google-Entwickler hätten sich für ECC (Elliptic Curve Cryptography) entschieden, denn damit ließen sich Schlüsselpaare schneller generieren als mit dem RSA-Kryptosystem, heißt es in dem Blogeintrag. Da End-to-End selbst Schlüssel auf Basis von elliptischen Kurven erstellt, werden sie außerhalb von End-to-End nur von GnuPG ab Version 2.1 beta und Symantecs PGP-Software unterstützt. Der Import bereits vorhandener RSA-Schlüssel funktioniere aber uneingeschränkt.

Während der Browser läuft, werden private Schlüssel unverschlüsselt im Speicher gehalten. Da die Erweiterung aber in einer Sandbox laufe, seien sie dort sicher. Auf der Festplatte würden sie im Schlüsselbund verschlüsselt, daher sei es unabdingbar, den Schlüsselbund mit einer ausreichend starken Passphrase zu versehen, schreiben die Entwickler.

Eigene Javascript-Bibliothek

Bislang gilt Javascript als völlig ungeeignet, um ausreichend sicher zu verschlüsseln. Auf diese Einwände gehen die Entwickler in ihrem Blogposting ein. End-to-End benutze eine eigens von Google erstellte Javascript-Bibliothek, die ebenfalls zum Testen freigegeben wurde und später auch in anderen Projekten genutzt werden kann. Teile davon seien intern bereits seit längerem im Einsatz. Die Bibliothek unterstütze Ganzzahlen von beliebiger Größe (BigInteger), Kongruenz, elliptische Kurven sowie die Verschlüsselung symmetrischer und öffentlicher Schlüssel.

Auch auf mögliche Schwachstellen gehen die Entwickler ein: Das Risiko von Seitenkanalangriffen würde weitgehend minimiert, da End-to-End meist Eingaben vom Benutzer verlange. Die nur ganz wenigen automatischen Operationen würden zeitlich begrenzt. Außerdem würden die Kryptooperationen von End-to-End und dessen Javascript-Bibliothek in einem anderen Prozess ausgeführt als die Web-App, mit der sie interagieren.

Mögliche Angriffsszenarien berücksichtigt

Auch das Auslesen des Speichers sei durch die Sicherheitsfunktionen des Chrome-Browsers weitgehend unmöglich. Wer physischen Zugang zu einem Rechners des Opfers habe, dem stünden zahlreiche andere Möglichkeiten zur Verfügung, deshalb werde dieses Angriffsszenario nicht berücksichtigt, schreiben die Entwickler.

In Hinsicht auf mögliche Cross-Site-Scripting-Angriffe hätten die Entwickler beispielsweise Content Security Policy und strikte Closure Templates implementiert. End-to-End würde keinen unverschlüsselten DOMs von Webseiten vertrauen. Ohnehin sei die Interaktion zwischen der Erweiterung und Webseiten minimal.

Mit der Veröffentlichung der Javascript-Bibliothek und der Erweiterung leiten die Google-Entwickler jetzt eine öffentliche Prüfungsphase ein. Externe Entwickler würden für gefundene Bugs nach Googles Vulnerability Rewards Program entlohnt. Ihnen sei klar, dass eine neue OpenPGP-Lösung erst reifen müsse. Sie raten unbedingt davon ab, den existierenden Code bereits in eigenen Erweiterungen einzusetzen und im Chrome Web Store anzubieten. Damit würden nicht versierte Anwender wie Journalisten oder Aktivisten einer unnötigen Gefahr ausgesetzt.


eye home zur Startseite
itbane 06. Jun 2014

Das ist einfach nur um openpgp platt zu machen - das kann nämlich keine ECs. Folglich...

zwergberg 04. Jun 2014

Da Javascript soll doch ausschlieich von lokal kommen, z.B. als Erweiterung, so...

luckyiam 04. Jun 2014

Ich bin bei der ganzen Diskussion immer noch der Meinung, dass die Bösen allein beim...

bluesummerz4 04. Jun 2014

AES 128bit, DH 1024bit und Whirlpool-Hash 512bit alles per javascript und kostenlos...

gehtDichNichtsAn 04. Jun 2014

ja im gegensatz zu trotteln, die nur scheiße labern, ist das extrem professionel. Es...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Frankfurt
  2. Hemmersbach GmbH & Co. KG, Nürnberg
  3. noris network AG, Nürnberg
  4. CERATIZIT Deutschland GmbH, Empfingen


Anzeige
Top-Angebote
  1. und 15€ Cashback erhalten
  2. 17,99€ statt 29,99€
  3. (u. a. Assassins Creed IV Black Flag 9,99€, F1 2016 für 29,99€, XCOM 4,99€, XCOM 2 23,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  2. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  3. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  4. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  5. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  6. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  7. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  8. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  9. Rule 41

    Das FBI darf jetzt weltweit hacken

  10. Breath of the Wild

    Spekulationen über spielbare Zelda



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. ... die Pay-TV-Plattform Freenet TV ...

    GenervterLeser | 22:56

  2. Weiergabe sicherheitsrelevanter Daten vs Kartellamt

    My1 | 22:56

  3. Re: Nichts aus Russland ist vertrauenswürdig

    TC | 22:55

  4. Re: Wie kann man so etwas berechnen ?

    Gucky | 22:51

  5. Re: Bullshitbingo auf Golem.de

    Eheran | 22:43


  1. 18:27

  2. 18:01

  3. 17:46

  4. 17:19

  5. 16:37

  6. 16:03

  7. 15:34

  8. 15:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel