OpenPGP-JavaScript-Implementierung erlaubt Webmail Verschlüsselung

2013-12-30  |  Comebuy News

Forscher aus deutschen Sicherheitsfirma Recurity Labs haben eine JavaScript-Implementierung der OpenPGP-Spezifikation veröffentlicht, die Benutzern erlaubt zu verschlüsseln und Entschlüsseln von Webmail-Nachrichten.

Comebuy Verwandte Artikel: Agentur Open Source Security SuitePGP freigeben wird weitergehen sagt InventorGoogle USV Geschwindigkeit Chrom 10Browser Kriege: IE vs. Firefox vs Chrome vs. Safari vs. OperaLinux 3.1 ist raus und unterstützt OpenRISC, NFC, Wii

Genannt GPG4Browsers, das Tool funktioniert als eine Erweiterung für Google Chrome und jetzt ist bei der Arbeit mit Google Mail.

Nach seinen Entwicklern GPG4Browsers ist ein Prototyp, aber es unterstützt fast alle asymmetrischen und symmetrischen Chiffren und Hash-Funktionen, die in der OpenPGP-Standard angegeben.

Die OpenPGP-Spezifikation verwendet Kryptografie mit öffentlichen Schlüsseln zum Verschlüsseln und Signieren von Nachrichten und andere Daten. Es basiert auf dem ursprünglichen Programm PGP (Pretty Good Privacy) und wird am häufigsten zum Sichern der e-Mail-Kommunikation.

Einrichten einer PGP beweisen Variante mit einem bestimmten e-Mail-Client auf einem lokalen Computer arbeiten lästig für weniger technische Benutzer, nicht zu erwähnen, dass es nicht tragbar ist. Ein PGP-Benutzer, der möchte zum Senden und empfangen von verschlüsselten e-Mails von einem anderen Computer, müssten zuerst auf diesem System installieren, seinen privaten und öffentlichen Schlüsseln in der lokalen Datenbank, bekannt als Schlüsselanhänger, importieren und dann seine e-Mail-Client konfigurieren.

Die Vorteile einer JavaScript-basierte Implementierung, die innerhalb des Browsers ausgeführt wird ist, dass es nicht erforderlich, eine spezielle e-Mail-Client oder andere Software auf dem Computer installiert.

Im Moment arbeitet in Google Chrome GPG4Browsers nur und ist nicht zum Download aus dem Chrome Web Store verfügbar. Jedoch wenn der Name jede Angabe, wird die Erweiterung auf andere Browser in Zukunft portiert werden.

Interessierte Nutzer in das es einen Versuch müssen es manuell downloaden und installieren es als verlängerter Arm ausgepackt. Dies kann aus dem Tools > Zusatzblatt durch Ankreuzen des Kästchens "Entwickler-Modus" und klicken auf "Load unpacked Erweiterung."

Die aktuelle Version ist begrenzt durch die Tatsache, dass es privaten Schlüssel generieren kann, obwohl das Menü dafür vorhanden ist, so dass die Funktion höchstwahrscheinlich in Zukunft umgesetzt werden.

Öffentliche und private Schlüssel importieren funktioniert und wenn Surfen auf Google Mail eine schwarze Schloss-Symbol in der Adressleiste angezeigt wird. Ein Klick darauf öffnet sich einen Dialog zum Komponieren eine verschlüsselte oder Digital signierte Nachricht.

Ebenso Wenn eine verschlüsselte Nachricht in die Google Mail-Posteingang eintrifft, fragt der Browser Benutzer Wenn sie wollen, es mit GPG4Browsers zu öffnen. Die Erweiterung entschlüsseln Nachrichten signiert mit GnuPG (GNU Privacy Guard), einer populären open-Source-PGP-Implementierung, aber nur, wenn Datenkompression verwendet ist nicht.

Der GPG4Browsers-Quellcode ist unter einer GNU Lesser Public License zur Verfügung, so dass das Tool leicht verbessert werden kann, um zusätzliche Webmail-Anbieter unterstützen. Die Entwickler bieten auch Unterlagen, die die verfügbaren APIs erklärt.

Eine OpenPGP-JavaScript-Implementierung bietet Bequemlichkeit und Tragbarkeit, sondern hat auch einige Stürze. "Da Gedächtnislöschung von privaten Daten und Validierung von einer sicheren Umgebung in JavaScript nicht erreicht werden können diese Implementierung sollte nicht verwendet werden in Umgebungen wo der Vertraulichkeit und Integrität der übermittelten Daten ist wichtig," die Entwickler gewarnt.

Dies bedeutet, dass GPG4Browsers nicht wahrscheinlich verwendet werden sollte, auf einem Computer-System besteht Grund zu der Annahme, dass es mit Malware infiziert oder gefährdet werden könnte oder in anderer Form. In solchen Fällen kann der Benutzer jedoch immer von einer live-Linux-CD oder einem ähnlichen Umfeld nur-Lese-Booten.

« Back