GPG4Browsers: Javascript-basierte OpenPGP-Verschlüsselung für Webmail

Das Sicherheitsunternehmen Recurity Labs entwickelt mit GPG4Browsers eine Javascript-Umsetzung von der OpenPGP-Verschlüsselung, genauer gesagt des OpenPGP Message Format [RFC 4880]. Noch handelt es sich nur um einen Prototyp, der zudem auf Googles Webbrowser Chrome und den Webmail-Dienst Google Mail zugeschnitten ist.

GPG4Browsers ist dafür gedacht, eine OpenPGP-Verschlüsselung auch in Umgebungen nutzen zu können, in denen keine Code-Ausführung oder Installation von Zusatzsoftware auf Betriebssystemebene erlaubt sind.

Die Chrome-Extension GPG4Browsers ermöglicht die OpenPGP-basierte Verschlüsselung, Entschlüsselung und Signierung von Google-Mail-Webmails. Zertifikate lassen sich im- und exportieren. Da GPG4Browsers noch keine Kompression unterstützt, können es mit GnuPG (GNU Privacy Guard) erstellte Mails nur entschlüsseln, wenn sie in GnuPG mit der Option --compress-algo none erstellt wurden.

Recurity Labs' freie und unter der GNU Lesser Public License stehende Javascript-Umsetzung von OpenPGP dient nur als einfache Sicherheitsfunktion, da es mit Javascript beispielsweise nicht möglich ist, sensible Daten unwiederruflich aus dem Arbeitsspeicher zu entfernen.

"[...] diese Umsetzung sollte nicht in Umgebungen genutzt werden, in denen die Vertraulichkeit und Integrität der übertragenen Daten wichtig sind. Die Implementierung ist noch in einem Prototypen-Status", so die Entwickler in ihrer GPG4Browsers-Dokumentation (PDF).

Der GPG4Browsers-Quellcode wurde als Zip-Archiv veröffentlicht und findet sich auch in einem Subversion-Repository bei Recurity Labs.