Abo
  • Services:

End-to-End: Google will mit Javascript verschlüsseln

Mit der Erweiterung End-to-End für Chrome will Google die Verschlüsselung per PGP erleichtern. Dazu wurde eine Kryptobibliothek für Javascript umgesetzt. Jetzt soll End-to-End rigoros getestet werden.

Artikel veröffentlicht am ,
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek.
Google entwicklet eine PGP-Erweiterung für Chrome samt Javascript-Bibliothek. (Bild: Google/Screenshot: Golem.de)

Mit der Erweiterung End-to-End für den Browser Chrome will Google die Verschlüsselung per OpenPGP erleichtern. Damit soll sich künftig beispielsweise der Inhalt von E-Mails in Googles Gmail verschlüsseln lassen. End-to-End verlässt sich dabei auf eine eigens erstellte Javascript-Bibliothek, die ebenfalls von Google entwickelt wurde. Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung. Jetzt hat Google End-to-End zum Testen freigegeben. Vor dem Einsatz der Erweiterung in Produktivumgebungen raten die Google-Entwickler zunächst jedoch vehement ab.

Stellenmarkt
  1. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft, München
  2. SV Informatik GmbH, Wiesbaden

End-to-End soll in einer eigenen Sandbox im Chrome-Browser laufen. Erstellte private und öffentliche Schlüssel werden in einem eigenen Schlüsselbund gespeichert. Nur dieser ist mit dem Passwort abgesichert. Bereits vorhandene Schlüssel können importiert werden, sie werden nach einer einmaligen Passwortabfrage im Schlüsselbund gespeichert.

Mit elliptischen Kurven

Die Google-Entwickler hätten sich für ECC (Elliptic Curve Cryptography) entschieden, denn damit ließen sich Schlüsselpaare schneller generieren als mit dem RSA-Kryptosystem, heißt es in dem Blogeintrag. Da End-to-End selbst Schlüssel auf Basis von elliptischen Kurven erstellt, werden sie außerhalb von End-to-End nur von GnuPG ab Version 2.1 beta und Symantecs PGP-Software unterstützt. Der Import bereits vorhandener RSA-Schlüssel funktioniere aber uneingeschränkt.

Während der Browser läuft, werden private Schlüssel unverschlüsselt im Speicher gehalten. Da die Erweiterung aber in einer Sandbox laufe, seien sie dort sicher. Auf der Festplatte würden sie im Schlüsselbund verschlüsselt, daher sei es unabdingbar, den Schlüsselbund mit einer ausreichend starken Passphrase zu versehen, schreiben die Entwickler.

Eigene Javascript-Bibliothek

Bislang gilt Javascript als völlig ungeeignet, um ausreichend sicher zu verschlüsseln. Auf diese Einwände gehen die Entwickler in ihrem Blogposting ein. End-to-End benutze eine eigens von Google erstellte Javascript-Bibliothek, die ebenfalls zum Testen freigegeben wurde und später auch in anderen Projekten genutzt werden kann. Teile davon seien intern bereits seit längerem im Einsatz. Die Bibliothek unterstütze Ganzzahlen von beliebiger Größe (BigInteger), Kongruenz, elliptische Kurven sowie die Verschlüsselung symmetrischer und öffentlicher Schlüssel.

Auch auf mögliche Schwachstellen gehen die Entwickler ein: Das Risiko von Seitenkanalangriffen würde weitgehend minimiert, da End-to-End meist Eingaben vom Benutzer verlange. Die nur ganz wenigen automatischen Operationen würden zeitlich begrenzt. Außerdem würden die Kryptooperationen von End-to-End und dessen Javascript-Bibliothek in einem anderen Prozess ausgeführt als die Web-App, mit der sie interagieren.

Mögliche Angriffsszenarien berücksichtigt

Auch das Auslesen des Speichers sei durch die Sicherheitsfunktionen des Chrome-Browsers weitgehend unmöglich. Wer physischen Zugang zu einem Rechners des Opfers habe, dem stünden zahlreiche andere Möglichkeiten zur Verfügung, deshalb werde dieses Angriffsszenario nicht berücksichtigt, schreiben die Entwickler.

In Hinsicht auf mögliche Cross-Site-Scripting-Angriffe hätten die Entwickler beispielsweise Content Security Policy und strikte Closure Templates implementiert. End-to-End würde keinen unverschlüsselten DOMs von Webseiten vertrauen. Ohnehin sei die Interaktion zwischen der Erweiterung und Webseiten minimal.

Mit der Veröffentlichung der Javascript-Bibliothek und der Erweiterung leiten die Google-Entwickler jetzt eine öffentliche Prüfungsphase ein. Externe Entwickler würden für gefundene Bugs nach Googles Vulnerability Rewards Program entlohnt. Ihnen sei klar, dass eine neue OpenPGP-Lösung erst reifen müsse. Sie raten unbedingt davon ab, den existierenden Code bereits in eigenen Erweiterungen einzusetzen und im Chrome Web Store anzubieten. Damit würden nicht versierte Anwender wie Journalisten oder Aktivisten einer unnötigen Gefahr ausgesetzt.



Anzeige
Top-Angebote
  1. 38,90€ + Versand (Bestpreis!)
  2. (u. a. Sharkoon Skiller SGK4 für 19,99€ + Versand und Sharkoon SilentStorm Icewind Black 750 W...

itbane 06. Jun 2014

Das ist einfach nur um openpgp platt zu machen - das kann nämlich keine ECs. Folglich...

zwergberg 04. Jun 2014

Da Javascript soll doch ausschlieich von lokal kommen, z.B. als Erweiterung, so...

luckyiam 04. Jun 2014

Ich bin bei der ganzen Diskussion immer noch der Meinung, dass die Bösen allein beim...

bluesummerz4 04. Jun 2014

AES 128bit, DH 1024bit und Whirlpool-Hash 512bit alles per javascript und kostenlos...

gehtDichNichtsAn 04. Jun 2014

ja im gegensatz zu trotteln, die nur scheiße labern, ist das extrem professionel. Es...


Folgen Sie uns
       


Oneplus 6T - Test

Das Oneplus 6T ist der Nachfolger des Oneplus 6 - und als T-Modell ein Hardware Refresh. Neu sind unter anderem ein größeres Display mit kleinerer Notch sowie der Fingerabdrucksensor unter dem Displayglas. Im Test hat das neue Modell einen guten Eindruck hinterlassen.

Oneplus 6T - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    •  /