1030
Google запропонує шифрування користувачів GMail
Google готується до виходу спеціального розширення для браузера Google Chrome, який дозволить користувачам служби GMail зашифрувати повідомлення перед відправкою для усунення можливості перехоплення повідомлень. Розширення, просто називається End-to-End, використовує стандарт OpenPGP, але ще не готовий до виходу, оскільки Google просить допомогти від спільноти.
Команда Google Security прийняла рішення випустити вихідний код для продовження за ліцензією Apache 2.0 перед розширенням публікується в Chrome Web Store. Причина цього проста – Google зіткнулася з низкою труднощів, тому компанія не впевнена, що їх реалізація OpenPGP є надійним. Відзначається, що JavaScript є архітектурно ненадійним, оскільки він не може контролювати, що відбувається на рідному рівні, тому існує ризик витоку даних. На даний момент компанія GnuPG і PGP, але вимагає знань користувачів в галузі шифрування, а розширення від Google намагатиметься проводити процес шифрування максимально дружнім до користувача. Як для себе JavaScript, Google надає деякі пояснення в FAQ.
Щоб виправити будь-які недоліки в дизайні розширення, Google додає свій новий продукт до списку доступних винагород для пошуку та експлуатації вразливостей. Так, Google не просить безкоштовної допомоги, але з можливістю отримання винагороди від $500 до $20 тис.
Google також просить користувачів при використанні розширення для відключення анонімної статистики компанії, оскільки в деяких випадках дані браузера можуть надсилатися в Google для відновлення приватного ключа користувача.
Про насЯкщо ви опублікували вихідний код, я можу купити розширення на Webstore?
Ми не робимо цього.
Команда розвитку розуміє, що це розширення може бути використана журналістами, активістами прав людини та іншими, які не можуть бути технічними, тому це розширення може призвести до неприємних наслідків.
Ми випустили вихідний код надії виявлення вразливостей, які наша команда може пропустити. Ми можемо самі зателефонувати одержувачу і узгодити зручний час і місце вручення квітів, а якщо необхідно, то збережемо сюрприз.
Чи працює шифрування з вкладеннями або тільки з текстом листа в GMail?
Просто текст. Також пам'ятайте, що список суб'єкта і одержувача не буде зашифровано.
Чому ви використовуєте тільки генерацію ключів на еліптичних кривих?
генерація RSA є повільним, ніж на еліпсихічних вигинах.
Чи буде робота над мобільними пристроями?
На даний момент Chrome на Android і iOS не підтримує розширення, тому немає.
Які характеристики ви використовуєте в розширенні?
RFC4880 - Формат повідомлення OpenPGP
RFC6637 – Криптографія елептичного криві OpenPGP
На жаль, розширення ще не підтримує характеристики захисту MIME з алгоритмом OpenPGP та Camellia.
У мене є кваски!
Ми намагалися уникнути відображення аллардів для неромантичних мов, але не дивилися, якщо ви зіткнулися з аллардами, особливо в області обслуговування. Ми не виконали автоматичні перевірки коду.
Чи є приватні ключі в пам'яті, вони очищені після кожної операції, або є кеш для фрази коду?
Приватні ключі зберігаються нешифровані в пам'яті. Ми радимо Вам ознайомитися з фразою коду. У цьому випадку приватні ключі зберігаються в зашифрованому локальному режимі.
Ну, як вони захищені?
Так як ключі локальні Зберігання, необхідно зашифрувати їх. Якщо це просто розшифровується в пам'яті, то спирається тільки на піщану скриньку Хромію.
Українська СРСЛИ?
Так, коли ми почали працювати над End-to-End, всі попередні JS-ліби не підходять для нас, тому нам довелося побудувати свій власний. Ми добре знаємо про всі загрози, що JS відповідає за шифрування, тому ми вжили всі заходи, які прийшли до нашого розуму, щоб пом'якшити і усунути ризики.
JavaScript licenses API Веб-сайт Де шифрування без нього?
Сучасні двигуни, такі як V8 в Chrome, підтримують типовані масиви, і WebCrypto забезпечує криптостійкий генератор псевдоміну.
У минулому багато разів порушили криптографічні проекти, зменшуючи довіру до мови для реалізації таких серйозних речей.
Це право. Але на практиці не існує загальної мови програмування, забезпечує 100% захист від вразливостей.
Ми добре знаємо всі приклади, тому ми встановлюємо високий стандарт для себе з самого початку. Ми почалися з нуля, щоб створити сучасну криптографічну лігу, покриту тестами. Він забезпечує підтримку методів BigInteger, модульних арифметичних, еліптичних кривих, а також симетричного та публічного шифрування ключів. Зробивши це, ми розробили оболонку OpenPGP на вершині бібліотеки. В нашій компанії використовується частина бібліотечного коду.
Повний запит на Google Code.
Для посилання. На прикладі подібного розширення від сторонніх розробників, Habre обговорювався приклад аналогічного розширення.
Джерело: habrahabr.ru/post/225147/
Команда Google Security прийняла рішення випустити вихідний код для продовження за ліцензією Apache 2.0 перед розширенням публікується в Chrome Web Store. Причина цього проста – Google зіткнулася з низкою труднощів, тому компанія не впевнена, що їх реалізація OpenPGP є надійним. Відзначається, що JavaScript є архітектурно ненадійним, оскільки він не може контролювати, що відбувається на рідному рівні, тому існує ризик витоку даних. На даний момент компанія GnuPG і PGP, але вимагає знань користувачів в галузі шифрування, а розширення від Google намагатиметься проводити процес шифрування максимально дружнім до користувача. Як для себе JavaScript, Google надає деякі пояснення в FAQ.
Щоб виправити будь-які недоліки в дизайні розширення, Google додає свій новий продукт до списку доступних винагород для пошуку та експлуатації вразливостей. Так, Google не просить безкоштовної допомоги, але з можливістю отримання винагороди від $500 до $20 тис.
Google також просить користувачів при використанні розширення для відключення анонімної статистики компанії, оскільки в деяких випадках дані браузера можуть надсилатися в Google для відновлення приватного ключа користувача.
Про насЯкщо ви опублікували вихідний код, я можу купити розширення на Webstore?
Ми не робимо цього.
Команда розвитку розуміє, що це розширення може бути використана журналістами, активістами прав людини та іншими, які не можуть бути технічними, тому це розширення може призвести до неприємних наслідків.
Ми випустили вихідний код надії виявлення вразливостей, які наша команда може пропустити. Ми можемо самі зателефонувати одержувачу і узгодити зручний час і місце вручення квітів, а якщо необхідно, то збережемо сюрприз.
Чи працює шифрування з вкладеннями або тільки з текстом листа в GMail?
Просто текст. Також пам'ятайте, що список суб'єкта і одержувача не буде зашифровано.
Чому ви використовуєте тільки генерацію ключів на еліптичних кривих?
генерація RSA є повільним, ніж на еліпсихічних вигинах.
Чи буде робота над мобільними пристроями?
На даний момент Chrome на Android і iOS не підтримує розширення, тому немає.
Які характеристики ви використовуєте в розширенні?
RFC4880 - Формат повідомлення OpenPGP
RFC6637 – Криптографія елептичного криві OpenPGP
На жаль, розширення ще не підтримує характеристики захисту MIME з алгоритмом OpenPGP та Camellia.
У мене є кваски!
Ми намагалися уникнути відображення аллардів для неромантичних мов, але не дивилися, якщо ви зіткнулися з аллардами, особливо в області обслуговування. Ми не виконали автоматичні перевірки коду.
Чи є приватні ключі в пам'яті, вони очищені після кожної операції, або є кеш для фрази коду?
Приватні ключі зберігаються нешифровані в пам'яті. Ми радимо Вам ознайомитися з фразою коду. У цьому випадку приватні ключі зберігаються в зашифрованому локальному режимі.
Ну, як вони захищені?
Так як ключі локальні Зберігання, необхідно зашифрувати їх. Якщо це просто розшифровується в пам'яті, то спирається тільки на піщану скриньку Хромію.
Українська СРСЛИ?
Так, коли ми почали працювати над End-to-End, всі попередні JS-ліби не підходять для нас, тому нам довелося побудувати свій власний. Ми добре знаємо про всі загрози, що JS відповідає за шифрування, тому ми вжили всі заходи, які прийшли до нашого розуму, щоб пом'якшити і усунути ризики.
JavaScript licenses API Веб-сайт Де шифрування без нього?
Сучасні двигуни, такі як V8 в Chrome, підтримують типовані масиви, і WebCrypto забезпечує криптостійкий генератор псевдоміну.
У минулому багато разів порушили криптографічні проекти, зменшуючи довіру до мови для реалізації таких серйозних речей.
Це право. Але на практиці не існує загальної мови програмування, забезпечує 100% захист від вразливостей.
Ми добре знаємо всі приклади, тому ми встановлюємо високий стандарт для себе з самого початку. Ми почалися з нуля, щоб створити сучасну криптографічну лігу, покриту тестами. Він забезпечує підтримку методів BigInteger, модульних арифметичних, еліптичних кривих, а також симетричного та публічного шифрування ключів. Зробивши це, ми розробили оболонку OpenPGP на вершині бібліотеки. В нашій компанії використовується частина бібліотечного коду.
Повний запит на Google Code.
Для посилання. На прикладі подібного розширення від сторонніх розробників, Habre обговорювався приклад аналогічного розширення.
Джерело: habrahabr.ru/post/225147/