Abo
  • Services:
Anzeige
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek.
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek. (Bild: Google/Screenshot: Golem.de)

End-to-End: Google will mit Javascript verschlüsseln

Mit der Erweiterung End-to-End für Chrome will Google die Verschlüsselung per PGP erleichtern. Dazu wurde eine Kryptobibliothek für Javascript umgesetzt. Jetzt soll End-to-End rigoros getestet werden.

Anzeige

Mit der Erweiterung End-to-End für den Browser Chrome will Google die Verschlüsselung per OpenPGP erleichtern. Damit soll sich künftig beispielsweise der Inhalt von E-Mails in Googles Gmail verschlüsseln lassen. End-to-End verlässt sich dabei auf eine eigens erstellte Javascript-Bibliothek, die ebenfalls von Google entwickelt wurde. Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung. Jetzt hat Google End-to-End zum Testen freigegeben. Vor dem Einsatz der Erweiterung in Produktivumgebungen raten die Google-Entwickler zunächst jedoch vehement ab.

End-to-End soll in einer eigenen Sandbox im Chrome-Browser laufen. Erstellte private und öffentliche Schlüssel werden in einem eigenen Schlüsselbund gespeichert. Nur dieser ist mit dem Passwort abgesichert. Bereits vorhandene Schlüssel können importiert werden, sie werden nach einer einmaligen Passwortabfrage im Schlüsselbund gespeichert.

Mit elliptischen Kurven

Die Google-Entwickler hätten sich für ECC (Elliptic Curve Cryptography) entschieden, denn damit ließen sich Schlüsselpaare schneller generieren als mit dem RSA-Kryptosystem, heißt es in dem Blogeintrag. Da End-to-End selbst Schlüssel auf Basis von elliptischen Kurven erstellt, werden sie außerhalb von End-to-End nur von GnuPG ab Version 2.1 beta und Symantecs PGP-Software unterstützt. Der Import bereits vorhandener RSA-Schlüssel funktioniere aber uneingeschränkt.

Während der Browser läuft, werden private Schlüssel unverschlüsselt im Speicher gehalten. Da die Erweiterung aber in einer Sandbox laufe, seien sie dort sicher. Auf der Festplatte würden sie im Schlüsselbund verschlüsselt, daher sei es unabdingbar, den Schlüsselbund mit einer ausreichend starken Passphrase zu versehen, schreiben die Entwickler.

Eigene Javascript-Bibliothek

Bislang gilt Javascript als völlig ungeeignet, um ausreichend sicher zu verschlüsseln. Auf diese Einwände gehen die Entwickler in ihrem Blogposting ein. End-to-End benutze eine eigens von Google erstellte Javascript-Bibliothek, die ebenfalls zum Testen freigegeben wurde und später auch in anderen Projekten genutzt werden kann. Teile davon seien intern bereits seit längerem im Einsatz. Die Bibliothek unterstütze Ganzzahlen von beliebiger Größe (BigInteger), Kongruenz, elliptische Kurven sowie die Verschlüsselung symmetrischer und öffentlicher Schlüssel.

Auch auf mögliche Schwachstellen gehen die Entwickler ein: Das Risiko von Seitenkanalangriffen würde weitgehend minimiert, da End-to-End meist Eingaben vom Benutzer verlange. Die nur ganz wenigen automatischen Operationen würden zeitlich begrenzt. Außerdem würden die Kryptooperationen von End-to-End und dessen Javascript-Bibliothek in einem anderen Prozess ausgeführt als die Web-App, mit der sie interagieren.

Mögliche Angriffsszenarien berücksichtigt

Auch das Auslesen des Speichers sei durch die Sicherheitsfunktionen des Chrome-Browsers weitgehend unmöglich. Wer physischen Zugang zu einem Rechners des Opfers habe, dem stünden zahlreiche andere Möglichkeiten zur Verfügung, deshalb werde dieses Angriffsszenario nicht berücksichtigt, schreiben die Entwickler.

In Hinsicht auf mögliche Cross-Site-Scripting-Angriffe hätten die Entwickler beispielsweise Content Security Policy und strikte Closure Templates implementiert. End-to-End würde keinen unverschlüsselten DOMs von Webseiten vertrauen. Ohnehin sei die Interaktion zwischen der Erweiterung und Webseiten minimal.

Mit der Veröffentlichung der Javascript-Bibliothek und der Erweiterung leiten die Google-Entwickler jetzt eine öffentliche Prüfungsphase ein. Externe Entwickler würden für gefundene Bugs nach Googles Vulnerability Rewards Program entlohnt. Ihnen sei klar, dass eine neue OpenPGP-Lösung erst reifen müsse. Sie raten unbedingt davon ab, den existierenden Code bereits in eigenen Erweiterungen einzusetzen und im Chrome Web Store anzubieten. Damit würden nicht versierte Anwender wie Journalisten oder Aktivisten einer unnötigen Gefahr ausgesetzt.


eye home zur Startseite
itbane 06. Jun 2014

Das ist einfach nur um openpgp platt zu machen - das kann nämlich keine ECs. Folglich...

zwergberg 04. Jun 2014

Da Javascript soll doch ausschlieich von lokal kommen, z.B. als Erweiterung, so...

luckyiam 04. Jun 2014

Ich bin bei der ganzen Diskussion immer noch der Meinung, dass die Bösen allein beim...

bluesummerz4 04. Jun 2014

AES 128bit, DH 1024bit und Whirlpool-Hash 512bit alles per javascript und kostenlos...

gehtDichNichtsAn 04. Jun 2014

ja im gegensatz zu trotteln, die nur scheiße labern, ist das extrem professionel. Es...



Anzeige

Stellenmarkt
  1. Daimler AG, Neu-Ulm
  2. Robert Bosch Start-up GmbH, Ludwigsburg
  3. Bosch Rexroth AG, Schwieberdingen
  4. MVV EnergySolutions GmbH, Mannheim


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. täglich neue Deals

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Wegfall bedeutet kein Recht auf...

    ermic | 00:47

  2. Re: 50MBps

    DerDy | 00:44

  3. Re: Was ist eigentlich mit der Option "DayFlat"?

    ermic | 00:42

  4. Re: Smartphonehalterung

    ha00x7 | 00:40

  5. Re: Gesichtserkennung unsicherere Fingerabdruckleser?

    DragonHunter | 00:39


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel