Abo
  • Services:
Anzeige
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek.
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek. (Bild: Google/Screenshot: Golem.de)

End-to-End: Google will mit Javascript verschlüsseln

Mit der Erweiterung End-to-End für Chrome will Google die Verschlüsselung per PGP erleichtern. Dazu wurde eine Kryptobibliothek für Javascript umgesetzt. Jetzt soll End-to-End rigoros getestet werden.

Anzeige

Mit der Erweiterung End-to-End für den Browser Chrome will Google die Verschlüsselung per OpenPGP erleichtern. Damit soll sich künftig beispielsweise der Inhalt von E-Mails in Googles Gmail verschlüsseln lassen. End-to-End verlässt sich dabei auf eine eigens erstellte Javascript-Bibliothek, die ebenfalls von Google entwickelt wurde. Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung. Jetzt hat Google End-to-End zum Testen freigegeben. Vor dem Einsatz der Erweiterung in Produktivumgebungen raten die Google-Entwickler zunächst jedoch vehement ab.

End-to-End soll in einer eigenen Sandbox im Chrome-Browser laufen. Erstellte private und öffentliche Schlüssel werden in einem eigenen Schlüsselbund gespeichert. Nur dieser ist mit dem Passwort abgesichert. Bereits vorhandene Schlüssel können importiert werden, sie werden nach einer einmaligen Passwortabfrage im Schlüsselbund gespeichert.

Mit elliptischen Kurven

Die Google-Entwickler hätten sich für ECC (Elliptic Curve Cryptography) entschieden, denn damit ließen sich Schlüsselpaare schneller generieren als mit dem RSA-Kryptosystem, heißt es in dem Blogeintrag. Da End-to-End selbst Schlüssel auf Basis von elliptischen Kurven erstellt, werden sie außerhalb von End-to-End nur von GnuPG ab Version 2.1 beta und Symantecs PGP-Software unterstützt. Der Import bereits vorhandener RSA-Schlüssel funktioniere aber uneingeschränkt.

Während der Browser läuft, werden private Schlüssel unverschlüsselt im Speicher gehalten. Da die Erweiterung aber in einer Sandbox laufe, seien sie dort sicher. Auf der Festplatte würden sie im Schlüsselbund verschlüsselt, daher sei es unabdingbar, den Schlüsselbund mit einer ausreichend starken Passphrase zu versehen, schreiben die Entwickler.

Eigene Javascript-Bibliothek

Bislang gilt Javascript als völlig ungeeignet, um ausreichend sicher zu verschlüsseln. Auf diese Einwände gehen die Entwickler in ihrem Blogposting ein. End-to-End benutze eine eigens von Google erstellte Javascript-Bibliothek, die ebenfalls zum Testen freigegeben wurde und später auch in anderen Projekten genutzt werden kann. Teile davon seien intern bereits seit längerem im Einsatz. Die Bibliothek unterstütze Ganzzahlen von beliebiger Größe (BigInteger), Kongruenz, elliptische Kurven sowie die Verschlüsselung symmetrischer und öffentlicher Schlüssel.

Auch auf mögliche Schwachstellen gehen die Entwickler ein: Das Risiko von Seitenkanalangriffen würde weitgehend minimiert, da End-to-End meist Eingaben vom Benutzer verlange. Die nur ganz wenigen automatischen Operationen würden zeitlich begrenzt. Außerdem würden die Kryptooperationen von End-to-End und dessen Javascript-Bibliothek in einem anderen Prozess ausgeführt als die Web-App, mit der sie interagieren.

Mögliche Angriffsszenarien berücksichtigt

Auch das Auslesen des Speichers sei durch die Sicherheitsfunktionen des Chrome-Browsers weitgehend unmöglich. Wer physischen Zugang zu einem Rechners des Opfers habe, dem stünden zahlreiche andere Möglichkeiten zur Verfügung, deshalb werde dieses Angriffsszenario nicht berücksichtigt, schreiben die Entwickler.

In Hinsicht auf mögliche Cross-Site-Scripting-Angriffe hätten die Entwickler beispielsweise Content Security Policy und strikte Closure Templates implementiert. End-to-End würde keinen unverschlüsselten DOMs von Webseiten vertrauen. Ohnehin sei die Interaktion zwischen der Erweiterung und Webseiten minimal.

Mit der Veröffentlichung der Javascript-Bibliothek und der Erweiterung leiten die Google-Entwickler jetzt eine öffentliche Prüfungsphase ein. Externe Entwickler würden für gefundene Bugs nach Googles Vulnerability Rewards Program entlohnt. Ihnen sei klar, dass eine neue OpenPGP-Lösung erst reifen müsse. Sie raten unbedingt davon ab, den existierenden Code bereits in eigenen Erweiterungen einzusetzen und im Chrome Web Store anzubieten. Damit würden nicht versierte Anwender wie Journalisten oder Aktivisten einer unnötigen Gefahr ausgesetzt.


eye home zur Startseite
itbane 06. Jun 2014

Das ist einfach nur um openpgp platt zu machen - das kann nämlich keine ECs. Folglich...

zwergberg 04. Jun 2014

Da Javascript soll doch ausschlieich von lokal kommen, z.B. als Erweiterung, so...

luckyiam 04. Jun 2014

Ich bin bei der ganzen Diskussion immer noch der Meinung, dass die Bösen allein beim...

bluesummerz4 04. Jun 2014

AES 128bit, DH 1024bit und Whirlpool-Hash 512bit alles per javascript und kostenlos...

gehtDichNichtsAn 04. Jun 2014

ja im gegensatz zu trotteln, die nur scheiße labern, ist das extrem professionel. Es...



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Hannover
  2. ifb KG, Seehausen am Staffelsee
  3. DMG MORI Software Solutions Germany GmbH, Pfronten (Allgäu)
  4. BIOTRONIK SE, Berlin


Anzeige
Spiele-Angebote
  1. (-57%) 9,99€
  2. 69,99€ (Release 31.03.)
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  2. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  3. DirectX 12

    Microsoft legt Shader-Compiler offen

  4. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  5. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  6. Innogy

    Telekom will auch FTTH anmieten

  7. Tissue Engineering

    3D-Drucker produziert Haut

  8. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  9. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen

  10. Aktionsbündnis Gigabit

    Nordrhein-Westfalen soll flächendeckend Glasfaser erhalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hyperloop: Nur der Beste kommt in die Röhre
Hyperloop
Nur der Beste kommt in die Röhre
  1. Hyperloop HTT baut ein Forschungszentrum in Toulouse
  2. ÖPNV Ganz schön abgefahren!
  3. Transport Hyperloop One plant Trasse in Dubai

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

  1. Re: Ehrlich gesagt...

    triplekiller | 20:16

  2. Re: Deadpool - Beileid

    trapperjohn | 20:16

  3. Re: Sitzabstand

    neocron | 20:15

  4. Re: Noch 10 Jahre...

    b10111 | 20:14

  5. Re: Unverständlich

    Komischer_Phreak | 20:13


  1. 18:21

  2. 18:16

  3. 17:44

  4. 17:29

  5. 16:57

  6. 16:53

  7. 16:47

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel