Original-URL des Artikels: https://www.golem.de/1111/87863.html    Veröffentlicht: 20.11.2011 12:41    Kurz-URL: https://glm.io/87863

GPG4Browsers

Javascript-basierte OpenPGP-Verschlüsselung für Webmail

Recurity Labs versucht, eine OpenPGP-Verschlüsselung auch im Browser in Verbindung mit Webmail-Diensten nutzbar zu machen. Die Erweiterung GPG4Browsers funktioniert bereits unter Chrome in Verbindung mit Google Mail, ist aber noch unsicher.

Das Sicherheitsunternehmen Recurity Labs entwickelt mit GPG4Browsers eine Javascript-Umsetzung von der OpenPGP-Verschlüsselung, genauer gesagt des OpenPGP Message Format [RFC 4880]. Noch handelt es sich nur um einen Prototyp, der zudem auf Googles Webbrowser Chrome und den Webmail-Dienst Google Mail zugeschnitten ist.

GPG4Browsers ist dafür gedacht, eine OpenPGP-Verschlüsselung auch in Umgebungen nutzen zu können, in denen keine Code-Ausführung oder Installation von Zusatzsoftware auf Betriebssystemebene erlaubt sind.

Die Chrome-Extension GPG4Browsers ermöglicht die OpenPGP-basierte Verschlüsselung, Entschlüsselung und Signierung von Google-Mail-Webmails. Zertifikate lassen sich im- und exportieren. Da GPG4Browsers noch keine Kompression unterstützt, können es mit GnuPG (GNU Privacy Guard) erstellte Mails nur entschlüsseln, wenn sie in GnuPG mit der Option --compress-algo none erstellt wurden.

Recurity Labs' freie und unter der GNU Lesser Public License stehende Javascript-Umsetzung von OpenPGP dient nur als einfache Sicherheitsfunktion, da es mit Javascript beispielsweise nicht möglich ist, sensible Daten unwiederruflich aus dem Arbeitsspeicher zu entfernen.

"[...] diese Umsetzung sollte nicht in Umgebungen genutzt werden, in denen die Vertraulichkeit und Integrität der übertragenen Daten wichtig sind. Die Implementierung ist noch in einem Prototypen-Status", so die Entwickler in ihrer GPG4Browsers-Dokumentation (PDF).

Der GPG4Browsers-Quellcode wurde als Zip-Archiv veröffentlicht und findet sich auch in einem Subversion-Repository bei Recurity Labs.  (ck)


Verwandte Artikel:
Git und Co: Bösartige Code-Repositories können Client angreifen   
(11.08.2017, https://glm.io/129441 )
Gpg4win 2.0 mit S/MIME-Unterstützung veröffentlicht   
(13.08.2009, https://glm.io/69028 )
Sliding right into disaster: Lücke macht kurze RSA-Schlüssel angreifbar   
(05.07.2017, https://glm.io/128749 )
HSTS: Facebook verschlüsselt alle ausgehenden Links, wenn möglich   
(06.03.2018, https://glm.io/133157 )
Inbox aufgeräumt: Hotmail bereinigt den Posteingang   
(05.10.2011, https://glm.io/86838 )

© 1997–2020 Golem.de, https://www.golem.de/