Google запропонує користувачам GMail використовувати end-to-end шифрування

    Корпорація Google готується випустити спеціальне розширення для браузера Google Chrome, яке дозволить користувачам сервісу GMail зашифровувати повідомлення перед відправкою, щоб виключити можливість перехоплення повідомлень. Розширення під простою назвою End-to-End використовує стандарт OpenPGP , але поки не готове до випуску, так як Google просить допомоги у спільноти.
 
Команда Google Security прийняла рішення випустити спочатку вихідний код розширення під ліцензією Apache 2.0 , перш ніж розширення буде опубліковано в Chrome Web Store. Причина цьому проста — Google довелося зіткнутися з цілим рядом труднощів, тому в компанії поки не впевнені, що їх реалізація OpenPGP надійна. У Google відзначають, що рантайм JavaScript архітектурно не відрізняється надійністю, оскільки не може контролювати те, що відбувається на нативном рівні, тому є ризик витоку даних. Відзначаючи причини появи даного проекту, в компанії заявили, що в даний час існують GnuPG і PGP , але вони вимагають від користувача знань в області шифрування, тоді як розширення від Google спробує провести процес шифрування як можна більш дружелюбно до користувача.
 
Щоб виправити по можливості всі вади в проектуванні розширення, Google включає свій новий продукт в список доступних для винагороди за знаходження та експлуатацію вразливостей. Таким чином, допомога Google просить не безоплатну, а з можливістю отримати нагороду від $ 500 до $ 20 тисяч USD.
 
Google також просить користувачів відключити відправку анонімної статистики в компанію, так як в деяких випадках (як то падіння браузер) в Google можуть відправитися дані, що дозволяють відновити приватний ключ користувача.
 
 FAQ Раз ви опублікували вихідний код, то я міг сам опублікувати розширення в Webstore?
 ласка, не робіть цього.
Команда розробників розуміє, що потенційно цим розширенням можуть користуватися журналісти, борці за права людей та інші, хто можуть не бути технічно підкованими, отже це розширення може стати причиною неприємних наслідків.
Ми випускаємо вихідний код в надії виявити вразливі місця, які могла пропустити наша компанди. Тому як тільки ми отримаємо достатньо підтверджень, що наша реалізація надійна, ми самі випустимо розширення в каталог і забезпечимо подальшу підтримку.

 
 Чи працює шифрування з вкладеннями або тільки з самим текстом листа в GMail?
 Тільки з текстом. Пам'ятайте також, що тема листа і список одержувачів також не зашифровані.
 
 Чому ви використовуєте генерацію ключів тільки на еліптичних кривих?
 RSA-генерація повільніше, ніж на еліптичних кривих .
 
 Чи буде End-to-End працювати на мобільних пристроях?
 На даний момент Chrome на Android і iOS не підтримують розширення, тому немає.
 
 Які специфікації ви використовуєте в розширенні?
 RFC4880 — формат повідомлень OpenPGP
 RFC6637 — OpenPGP-криптографія на еліптичних кривих

На жаль, розширення поки не підтримує специфікації по MIME-захисті з OpenPGP і за алгоритмом Camellia .
 
 У мене крякозябри!
 Ми намагалися уникнути відображення крякозябри для не романських мов, але не дивуйтеся, якщо зустрінете крякозябри, особливо в службових областях. Автоматичні перевірки кодувань ми реалізовувати не стали.
 
 
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.