1027
Google ofrecerá a los usuarios un GMail utilizar de extremo a extremo de cifrado
Corporación Google готовится liberar una extensión para el navegador Google Chrome especial, que permite a los usuarios cifrar mensajes de servicio GMail antes de enviarlo para excluir la posibilidad de interceptación de las comunicaciones. Extensión bajo el sencillo título End-to-End i> utiliza el estándar OpenPGP , pero aún no está listo para el lanzamiento, como Google pide ayuda a la comunidad.
Google Security Team decidió lanzar la primera código de expansión está licenciado bajo la licencia Apache 2.0 , antes de la prórroga se publicará en Chrome Web Store. La razón es simple - Google ha detectado una serie de dificultades, por lo que la compañía no cree que su implementación OpenPGP fiable. En Google, tenga en cuenta que la arquitectura de ejecución JavaScript no difiere fiabilidad, porque no puede controlar lo que sucede a nivel nativo, por lo que existe el riesgo de pérdida de datos. Tomando nota de las causas de este proyecto, la compañía dijo que actualmente hay GnuPG y PGP, pero requieren que el usuario los conocimientos en el campo de la codificación, mientras que la expansión del intento de Google para llevar a cabo el proceso de encriptación tanto como sea posible amigable para el usuario. En cuanto al JavaScript, entonces el FAQ Google da alguna explicación.
Para solucionar todos los defectos posibles en el diseño de la expansión, Google incluye un nuevo producto en la lista de recompensas disponibles para encontrar y explotar vulnerabilidades. Por lo tanto, el uso de Google no pide libre, pero con la capacidad de recibir un premio de $ 500 a $ 20.000.
Google también pide a los usuarios cuando utilizan desactivar extensión enviando estadísticas anónimas de la empresa, ya que en algunos casos (como la caída del navegador) puede ir a los datos de Google para recuperar la clave privada del usuario.
Ayuda Una vez que haya publicado el código fuente, pude publicar el propio Webstore expansión? B>
Por favor, no lo hago.
El equipo de desarrollo entiende que esta extensión potencialmente puede utilizar los periodistas, activistas de derechos humanos y otras personas que tal vez no sean afines a la tecnología, por lo que esta expansión puede tener consecuencias desagradables.
Estamos liberando el código fuente con la esperanza de identificar las vulnerabilidades que podrían perder nuestra kompandy. Así que tan pronto como consigamos suficiente evidencia de que nuestra aplicación es confiable, estamos lanzando catálogo Avanzada y refuerce la ayuda. I>
¿El cifrado con archivos adjuntos o simplemente con los mensajes de texto en GMail? B>
sólo con texto. Recuerde, también, que el tema de la carta y lista de destinatarios también no se cifrará. I>
¿Por qué se utiliza la generación de claves sólo en curvas elípticas? B>
RSA generación más lenta que la curva elíptica i>.
¿Funcionará la de extremo a extremo en los dispositivos móviles? B>
En la actualidad, Chrome en Android y iOS no apoyo la expansión, por lo que hay. I>
¿Cuáles son las especificaciones que usted está utilizando en la expansión? B>
RFC4880 - mensaje formato OpenPGP
- criptografía de curva elíptica OpenPGP- i>
Por desgracia, la expansión todavía no admite Especificaciones MIME-protección con OpenPGP y по algoritmo Camellia .
I kryakozyabry! B>
Tratamos de evitar pantalla kryakozyabry para los idiomas no latinos, pero no se sorprenda si usted cumple kryakozyabry, especialmente en el área de servicio. Cheques codificaciones automáticas que no se dieron cuenta. I>
son las claves privadas de la memoria, que se limpian después de cada operación, o si hay una memoria caché para una frase de contraseña? B>
La clave privada se almacena sin cifrar en la memoria. Le recomendamos que su "encanto" tenía una frase de contraseña. En este caso, las claves privadas se almacenan en localStorage cifrado. I>
Bueno, y cómo se protege? B>
A medida que las llaves están en localStorage, es necesario cifrar ellos. Si una memoria sin cifrar, entonces sólo se basan en la caja de arena de cromo. I>
JavaScript? SRSLY? B>
Sí, cuando empezamos a trabajar en End-to-End, todos los anteriores JS-libs no nos conviene, así que tuvimos que apilar los suyos. Somos plenamente conscientes de las amenazas que oculta cifrado JS, así que tomamos todos vienen a la mente la mitigación y eliminación de riesgos i>.
en Javascript no hay soporte para multi-core. ¿Dónde sin ella en el cifrado? B>
Los motores modernos como el V8 de Chrome, el apoyo escribí matrices, y WebCrypto ofrece seudo número aleatorio criptográficamente fuerte generador i>.
Crypto-proyectos en JavaScript en el pasado han roto varias veces hacia abajo, lo que reduce la credibilidad de la lengua para la ejecución de ese tipo de cosas serias. B>
declaración verdadera. Pero en la práctica, ninguno de lenguaje de programación común no proporciona 100% de protección contra vulnerabilidades.
Somos muy conscientes de todos los ejemplos, por lo que originalmente fijamos altos estándares de calidad. Empezamos desde cero creado un libu criptografía moderna, cobertura de la prueba. Proporcionó los métodos de apoyo BigInteger, aritmética modular de curvas elípticas, así como el cifrado de clave simétrica y pública. Al hacer esto, hemos desarrollado OpenPGP-shell en la parte superior de la biblioteca. Parte del código de la biblioteca se utiliza dentro de nuestra empresa en prodakshene i>.
FAQ completo en Google Code .
Para el registro i>. A principios de Habré ya discutió ejemplo extensiones similares de los desarrolladores de terceros.
Fuente: habrahabr.ru/post/225147/
Google Security Team decidió lanzar la primera código de expansión está licenciado bajo la licencia Apache 2.0 , antes de la prórroga se publicará en Chrome Web Store. La razón es simple - Google ha detectado una serie de dificultades, por lo que la compañía no cree que su implementación OpenPGP fiable. En Google, tenga en cuenta que la arquitectura de ejecución JavaScript no difiere fiabilidad, porque no puede controlar lo que sucede a nivel nativo, por lo que existe el riesgo de pérdida de datos. Tomando nota de las causas de este proyecto, la compañía dijo que actualmente hay GnuPG y PGP, pero requieren que el usuario los conocimientos en el campo de la codificación, mientras que la expansión del intento de Google para llevar a cabo el proceso de encriptación tanto como sea posible amigable para el usuario. En cuanto al JavaScript, entonces el FAQ Google da alguna explicación.
Para solucionar todos los defectos posibles en el diseño de la expansión, Google incluye un nuevo producto en la lista de recompensas disponibles para encontrar y explotar vulnerabilidades. Por lo tanto, el uso de Google no pide libre, pero con la capacidad de recibir un premio de $ 500 a $ 20.000.
Google también pide a los usuarios cuando utilizan desactivar extensión enviando estadísticas anónimas de la empresa, ya que en algunos casos (como la caída del navegador) puede ir a los datos de Google para recuperar la clave privada del usuario.
Ayuda Una vez que haya publicado el código fuente, pude publicar el propio Webstore expansión? B>
Por favor, no lo hago.
El equipo de desarrollo entiende que esta extensión potencialmente puede utilizar los periodistas, activistas de derechos humanos y otras personas que tal vez no sean afines a la tecnología, por lo que esta expansión puede tener consecuencias desagradables.
Estamos liberando el código fuente con la esperanza de identificar las vulnerabilidades que podrían perder nuestra kompandy. Así que tan pronto como consigamos suficiente evidencia de que nuestra aplicación es confiable, estamos lanzando catálogo Avanzada y refuerce la ayuda. I>
¿El cifrado con archivos adjuntos o simplemente con los mensajes de texto en GMail? B>
sólo con texto. Recuerde, también, que el tema de la carta y lista de destinatarios también no se cifrará. I>
¿Por qué se utiliza la generación de claves sólo en curvas elípticas? B>
RSA generación más lenta que la curva elíptica i>.
¿Funcionará la de extremo a extremo en los dispositivos móviles? B>
En la actualidad, Chrome en Android y iOS no apoyo la expansión, por lo que hay. I>
¿Cuáles son las especificaciones que usted está utilizando en la expansión? B>
RFC4880 - mensaje formato OpenPGP
- criptografía de curva elíptica OpenPGP- i>
Por desgracia, la expansión todavía no admite Especificaciones MIME-protección con OpenPGP y по algoritmo Camellia .
I kryakozyabry! B>
Tratamos de evitar pantalla kryakozyabry para los idiomas no latinos, pero no se sorprenda si usted cumple kryakozyabry, especialmente en el área de servicio. Cheques codificaciones automáticas que no se dieron cuenta. I>
son las claves privadas de la memoria, que se limpian después de cada operación, o si hay una memoria caché para una frase de contraseña? B>
La clave privada se almacena sin cifrar en la memoria. Le recomendamos que su "encanto" tenía una frase de contraseña. En este caso, las claves privadas se almacenan en localStorage cifrado. I>
Bueno, y cómo se protege? B>
A medida que las llaves están en localStorage, es necesario cifrar ellos. Si una memoria sin cifrar, entonces sólo se basan en la caja de arena de cromo. I>
JavaScript? SRSLY? B>
Sí, cuando empezamos a trabajar en End-to-End, todos los anteriores JS-libs no nos conviene, así que tuvimos que apilar los suyos. Somos plenamente conscientes de las amenazas que oculta cifrado JS, así que tomamos todos vienen a la mente la mitigación y eliminación de riesgos i>.
en Javascript no hay soporte para multi-core. ¿Dónde sin ella en el cifrado? B>
Los motores modernos como el V8 de Chrome, el apoyo escribí matrices, y WebCrypto ofrece seudo número aleatorio criptográficamente fuerte generador i>.
Crypto-proyectos en JavaScript en el pasado han roto varias veces hacia abajo, lo que reduce la credibilidad de la lengua para la ejecución de ese tipo de cosas serias. B>
declaración verdadera. Pero en la práctica, ninguno de lenguaje de programación común no proporciona 100% de protección contra vulnerabilidades.
Somos muy conscientes de todos los ejemplos, por lo que originalmente fijamos altos estándares de calidad. Empezamos desde cero creado un libu criptografía moderna, cobertura de la prueba. Proporcionó los métodos de apoyo BigInteger, aritmética modular de curvas elípticas, así como el cifrado de clave simétrica y pública. Al hacer esto, hemos desarrollado OpenPGP-shell en la parte superior de la biblioteca. Parte del código de la biblioteca se utiliza dentro de nuestra empresa en prodakshene i>.
FAQ completo en Google Code .
Para el registro i>. A principios de Habré ya discutió ejemplo extensiones similares de los desarrolladores de terceros.
Fuente: habrahabr.ru/post/225147/