谷歌为用户提供了GMail的使用终端到端到端加密

谷歌公司<一href="http://googleonlinesecurity.blogspot.ru/2014/06/making-end-to-end-encryption-easier-to.html">готовится发布一个特殊的浏览器扩展谷歌Chrome浏览器,它允许用户在发送排除截取通讯的可能性之前加密Gmail服务的消息。在简单的标题扩展端至端 i>的使用标准 OpenPGP的,但还没有准备好发布,作为谷歌要求从社会的帮助。

谷歌安全团队决定释放的第一个源扩频码是根据Apache 2.0许可,前延伸将刊登在Chrome网上应用店。原因很简单 - 谷歌遇到了一些困难,所以公司不认为其执行的OpenPGP可靠。在谷歌,注意,JavaScript运行架构没有区别的可靠性,因为他无法控制对本机的水平会发生什么,所以有数据丢失的风险。注意到这个项目的原因,该公司表示,目前有的GnuPG 并的 PGP 时,但它们需要用户知识中的加密领域,而谷歌的尝试的膨胀来进行加密过程尽可能友好给用户。而对于JavaScript,然后在FAQ谷歌给出了一些解释。

要解决在扩展的设计所有可能的漏洞,谷歌包括寻找和利用漏洞可奖励列表中的新产品。因此,使用谷歌要求不是免费的,但上台领奖500元至20,000元的能力。

谷歌还要求使用延长禁止在某些情况下发送匿名的统计公司,因为(如浏览器的下降)时,用户可以去谷歌的数据,以恢复用户的私钥。

常见问题 B> 一旦您发布的源代码,我可以发表自己的扩张购物网? B>
请,不这样做。
开发团队了解到,这个扩展可以潜在地使用了记者,人权活动家和其他人谁可能不是精通技术,因此这种扩张可能会导致不愉快的后果。
我们发布的源代码,希望找出漏洞,这些漏洞可能会错过我们kompandy。因此,一旦我们得到足够的证据表明,我们的实现是可靠的,我们发布高级目录,并提供进一步的支持。 I>

加密是否带附件,或只是在Gmail中的短信? B>
只能用文字。请记住,这封信和收件人列表的主题,也将不被加密。 I>

为什么你只使用椭圆曲线密钥生成? B>
RSA代比椭圆曲线慢 I>。

请问端至端在移动设备上工作? B>
目前,Chrome浏览器在Android和iOS不支持扩展,所以有 I>

什么是扩展您使用?规范 B>
RFC4880 - 消息格式的OpenPGP
RFC6637 - OpenPGP的椭圆曲线加密 i>的
不幸的是,扩大尚不支持规格 MIME保护与OpenPGP的并的по算法茶花

I kryakozyabry! B>
我们试图避免显示器kryakozyabry的非拉丁语言,但如果你遇到kryakozyabry,特别是在服务区请不要感到惊讶。自动检查编码,我们并没有意识到。 I>

在内存中的私钥,他们每次操作后清洗干净,或者有一个密码缓存? B>
私钥加密存储在内存中。我们建议你的“魅力”进行了密码。在此情况下,私有密钥存储在加密localStorage的 I>

那么,它们是如何被保护的? B>
由于密钥是在localStorage的,有必要对它们进行加密。如果内存未加密的,那么仅仅依靠沙箱铬, I>

的JavaScript? SRSLY? B>
是的,当我们开始在终端到终端的工作,以前所有的JS-库不适合我们,所以我们不得不堆了。我们完全理解隐藏JS加密的威胁,所以采取一切浮现在脑海中缓解和消除风险 I>。

在JavaScript中的多核心的支持。凡没有它在加密呢? B>
现代引擎如V8在Chrome,支持类型数组,并提供WebCrypto保密性强的伪随机数生成器 I>。

加密项目的JavaScript在过去曾多次发生故障,从而减少对如此严重的事情落实了语言的公信力。 B>
真实的陈述。但在实践中,没有一个通用的编程语言并没有提供100%的保护,防止漏洞。
我们都知道所有的例子,所以我们最初为自己设定高标准的质量。我们开始从头开始创建一个现代化的加密礼部,测试覆盖率。它提供支持的方法的BigInteger,椭圆曲线的模运算,以及对称和公钥加密。通过这样做,我们对库顶发达OpenPGP的壳。图书馆的代码的一部分,是我们公司内部的prodakshene使用 I>。

对谷歌代码全FAQ。


对于记录 I>。哈布雷早些时候已经讨论了第三方开发商 的例子类似的扩展。

来源: habrahabr.ru/post/225147/