The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GPG4Browsers - открытая реализация OpenPGP на языке JavaScript

19.11.2011 20:55

В рамках проекта GPG4Browsers подготовлена написанная на языке JavaScript реализация стандарта OpenPGP (RFC 4880). Поддерживаются все хэш-функции, асимметричные и симметричные шифры (кроме IDEA), определённые в стандарте и применимые для таких областей использования, как шифрование и расшифровка сообщений, создание и проверка цифровых подписей, импорт и экспорт сертификатов.

В настоящее время GPG4Browsers доступен только в форме дополнения для браузера Chrome и поддерживает интеграцию с Gmail (подписывание, шифрование и расшифрование сообщений). GPG4Browsers полностью совместим с GnuPG со стандартными настройками, за исключением поддержки сжатия (для создания совместимого с GPG4Browsers сообщения следует использовать опцию "--compress-algo none").

Код распространяется под лицензией LGPLv2.1 и при желании может быть портирован для других браузеров. Реализация каждого метода шифрования и хэшей, а также функции манипулирования с ключами и шифрами оформлены в виде отдельных JavaScript-модулей, т.е. могут легко быть интегрированы в сторонние проекты.

Из возможностей, которые пока не реализованы в GPG4Browsers, отмечены:

  • Не поддерживается генерация, управление и создание цифровых подписей для ключей;
  • Отсутствует поддержка некоторых типов цифровых подписей для ключей;
  • Нет поддержки шифрованных сообщений, созданных только с использованием симметричных шифров;
  • Не реализована поддержка сжатых пакетов данных.

Поддерживаемые хэши и шифры:

  • Симметричные шифры: TripleDES (DES-EDE), CAST5, Blowfish, AES-128, AES-192, AES-256 и Twofish;
  • Асимметричные шифры: RSA, Elgamal, DSA (Digital Signature Algorithm, только для цифровых подписей);
  • Хэши: MD5, SHA-1, RIPE-MD/160, SHA256, SHA384, SHA512, SHA224.


  1. Главная ссылка к новости (http://www.reddit.com/r/netsec...)
  2. OpenNews: Представлен декодировщик видео H.264, оформленный на языке JavaScript
  3. OpenNews: В написанном на JavaScript эмуляторе ПК появилась поддержка постоянного хранилища
  4. OpenNews: Intel представил River Trail, расширение к JavaScript для параллельного программирования
  5. OpenNews: git.js - реализация Git, написанная целиком на JavaScript
  6. OpenNews: Увидел свет Emscripten 1.4, компилятор байткода LLVM в JavaScript-представление
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/32351-crypt
Ключевые слова: crypt, pgp, gnupg, chrome, web, browser, javascript
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (78) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:49, 19/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Новости "* на JavaScript" уже настораживают. К чему всё это, кто-нибудь может объяснить?
     
     
  • 2.2, G.NercY.uR (?), 21:56, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну как к чему? Повсеместное использование интернет технологий во всех областях. Работа, дом, основное развлечение у многих.
    Сейчас интернет - это тебе и музыка и видео и общение и практически всё остальное для чего используют компьютер. Отсюда и "переезд" всех нужных и ненужных идей и технологий в браузер.
    А так то уж что что, а реализация шифрования на JS никак не лишняя. За это только жирный +
     
  • 2.6, Аноним (-), 22:16, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А давай сравним языки программирования с точки зрения аудитории:
    Если вы напишешь программу на GTK+ ее, возможно, скачает 3,5 гика через годик, когда она попадет в репозитории. Если попадет.
    Если вы напишешь программу на C# то с вашего сайта, который еще нужно сделать, ее скачают 100 человек, тридцать из которых спросят у вас что такое ошибка "0x80070643" , .NET почему им надо его устанавливать.
    А если вы напишете программу на Javascript то ее будут использовать 1 000 000 человек.
    Думайте сами.

    Я свой выбор сделал.

     
     
  • 3.11, Аноним (-), 23:44, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если программа ерунда, очередной CD эректор, то хоть на чем написана будет никому ненужна.
    Если программа нужная то написана ли она на gtk+ или c# или javascript пользоваться ей будет много людей. Дело не в средстве а в цели
     
     
  • 4.12, Аноним (-), 23:51, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, это совершенно не так. Каналы распространения даже важнее качества самой программы. Адобе с флешем/флексом уже прокатилась на этой карусели.
     
     
  • 5.13, Аноним (-), 00:01, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не говоря уже про то, что если у пользователя программа не запустится, как это частенько бывает с java/c#/gtk+, то угадайте что? Правильно он не будет ее использовать.

    Кстати про gtk+. Вы видели хоть одного молодого человека который бы заявлял: " GTK+ - это технология передовая, буду изучать." ? На мой взгляд, поциент скорее мертв, чем жив.

    А qt? Там благополучно перезжают на javascript + qml.

    Java. Последний раз видел Swing интерфейс лет так 5 назад.

    c# - Угадай что?

     
  • 5.19, BratSinot (?), 10:17, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет, это совершенно не так. Каналы распространения даже важнее качества самой программы.
    > Адобе с флешем/флексом уже прокатилась на этой карусели.

    А) Не Adobe, а Macromedia.
    B) Flash написан не на C# или JavaScript
    C) Он так распространен потому-что ничего другого тогда, да и сейчас, нету.

     
  • 3.25, Аноним (-), 12:42, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А если вы напишете программу на Javascript то ее будут использовать 1 000 000 человек.
    > Думайте сами.

    Подумали. Поняли что файрфокс и хром писаный на сях используют сотни миллионов человек :)

     
     
  • 4.36, Аноним (-), 13:33, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько заняло распространение файрфокса и хрома на миллионы человек?
    5 лет?
    А что бы миллионы начали пользоваться моим js приложением мне нужно, хм... три дня? Достаточно засветится на /. хабре и тд.
    И никаких установок и прочего геморроя для пользователя.
     
     
  • 5.41, Аноним (-), 16:34, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну покажи уже своё крутое js приложение. Хватит бредить про 3 дня и миллионы пользователей.
     
  • 5.44, Аноним (-), 03:58, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И сколько заняло распространение файрфокса и хрома на миллионы человек?

    У вас распостранение вашего на _любом_ ЯП займет примерно столько же. Тем более что JS это аналого "посмотрел и удалил". Если 5 000 000 юзеров посмотрят 1 раз и потом навсегда забудут про ваш сайт, а постоянных визитеров останется только 10 штук - какой вам с этого прок? На десктопе вон гугл вообще при деинсталле хрома интересуется - "за что нас так?" :)))

     
     
  • 6.56, Аноним (-), 08:41, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Если 5 000 000 юзеров посмотрят 1 раз и потом навсегда забудут про ваш сайт

    Это просто супер. Да и 5 000 000 показов рекламы это как бы 10 000$ минимум.
    И да, я своим сайтом зарабатываю. В отличии от большинства здешних "программистов"

     
     
  • 7.65, Аноним (-), 14:44, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>Если 5 000 000 юзеров посмотрят 1 раз и потом навсегда забудут про ваш сайт
    > Это просто супер. Да и 5 000 000 показов рекламы это как
    > бы 10 000$ минимум.
    > И да, я своим сайтом зарабатываю. В отличии от большинства здешних "программистов"

    Это вытягивание бабла подкладкой под г.внорекламу. Не стыдно так "зарабатывать", а, "программист"?

    Кстати, не подскажешь, из 5 млн просмотревших рекламу - кто купит хотя бы десяток единиц рекламируемых прокладок Олвэйз?

     
  • 4.40, Аноним (-), 14:16, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати сколько человек сидит на устаревшей неподдерживаемой и дырявой версии firefox? Миллионы (15% от всех). А сколько Сидит на устаревшей версии gmail? Ровно 0(ноль!) человек.
    Имо, за использование с/с++/с# там где можно обойтись html+js надо наказывать как за распространение вредоносных программ.
     
     
  • 5.45, Аноним (-), 04:01, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Имо, за использование с/с++/с# там где можно обойтись html+js надо наказывать как
    > за распространение вредоносных программ.

    Ага. Даешь браузер на JS + HTML?! Кстати на сайте убунты вполне можно посмотреть на что-то такое и даже устроить рекурсию. Только вот это не совсем честные браузеры :P

    p.s. и да, засуньте ваш гмыл себе в глотку. Мне не нравится когда гугл за меня может решить что мне удобно так и сяк и все переколбасить а мне останется только покорно всосать. Поэтому я пользуюсь тундербердом. И что-то меня никто не поломал за столько лет. Странно.

     
  • 3.51, Аноним (-), 04:37, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Я свой выбор сделал.

    О, очередной разработчик весёлых ферм. Ну сделали и славно, хорошо что ваших поделок мы не увидим. Что же касается нормального софта, то именно тем "3.5 гикам" он прежде всего и нужен, если под "3.5 гиками" вы имеете в виду программистов, дизайнеров, инженеров и всех остальных кто работает, а не х*и пинает. Да и 1000000, как только появится альтернатива вашей поделке, для которой не надо постоянно сидеть в сети и которая не тормозит как адский ад, сразу перейдут на наё, GTK+ она там или C#.

     
     
  • 4.57, Аноним (-), 08:50, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > программистов,

    Программистам мне нужен ГТК. Самый популярный язык програмирования JS.
    >дизайнеров,

    Дизайнерам не нужен ГТК. Самое популярное и высокооплачиваемое направление дизайна - дизайн веб сайтов.
    >инженеров

    Инженерам тем более не нужен ГТК. Инженерам полезнее системы совмесной совмесного проектирования и общения - позволяющие вместе работать людям из разных стран - что может предложить Web но ни как не ГТК.
    >и всех остальных

    И кто остается? Правильно 3,5 маргинала на мнение которых не существенно.
    > для которой не надо постоянно сидеть в
    > сети

    Зачем постоянно сидеть в сети? Gmail offline хороший пример.
    > и которая не тормозит как адский ад,

    Gmail работает быстрее thunderbird. GDoc быстрее LibreOffice, что у вас тормозит, расскажите?

     
     
  • 5.63, Crazy Alex (??), 14:24, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Программистам нужны средства разработки - хорошо контролируемые и стыкующиеся ме... большой текст свёрнут, показать
     
  • 5.70, Аноним (-), 17:51, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Те кто на нем пишут в 99 являются скрипткиддями, и только 1 достоин названия п... большой текст свёрнут, показать
     
  • 5.77, qwerty (??), 09:54, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    (Ложка дегдя) В каком бразере он работает быстрее? Все кроме Chrome адский тормозит. Так что все что вы тут втираете правда работает но с большим НО.
     
  • 5.78, Nicknnn (ok), 18:28, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Самый популярный - C Если сравнивать языки как токовые GTK - C Но сравнени... большой текст свёрнут, показать
     
  • 2.18, ДФ (ok), 06:04, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Google и другие американские мегакорпорации хотят подмять под себя рынок разрабо... большой текст свёрнут, показать
     
     
  • 3.21, klalafuda (?), 10:46, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Google и другие американские мегакорпорации хотят подмять под себя рынок разработки ПО, особенно в Web.

    Замечательное предложение! В фортунки :)))

    PS: Не вы странные какие-то чес слово. А кому вчера сейчас и по всей очевидности завтра принадлежал этот рынок? Неужели России? А может Индии? Или Бразилии? Не смешите мои тапки. Есть Штаты и есть вся остальная мелочь. Разве что Китай. Но там как на Луне своя жизнь.

     
     
  • 4.23, Аноним (-), 11:00, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем  ты разговариваешь с копипастой?


     
  • 4.42, ДФ (ok), 17:30, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > кому вчера сейчас и по всей очевидности завтра принадлежал этот рынок? Неужели России? А может Индии?

    Сегодня и тем более завтра - уже НИКОМУ! Т.к. "рынок" ПО стремительно переходит на свободную модель разработки, открытый код и проч. Американские мегакорпорации теряют от этого доходы за продажу КОПИЙ софта, поэтому с помощью Гугла и других корпораций пытаются перехватить инициативу на этой волне. Боятся полного доминирования социализма в ИТ индустрии, которая может перекинутся и на другие отрасли. "Этим людишкам только дай волю", и они сразу же забудут все "американские ценности" и начнут мутить социлизм-коммунзм http://www.opennet.ru/openforum/vsluhforumID3/81285.html?n=%E4%E6#4

     
     
  • 5.64, Crazy Alex (??), 14:26, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Никуда он не перекинется - по крайней мере пока стоимость разработки и копирования в других отраслях не станет так же низка, как в софте. Да и в софте - происходит всего лишь вполне капиталистическая оптимизация затрат, не более. Разумеется, те, кто за счёт этих затрат живёт, сопротивляются.
     
  • 5.68, Клыкастый (ok), 15:36, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому с помощью Гугла и других корпораций пытаются перехватить инициативу

    правильно читать:
    "возглавили это движение". а то складывается впечатление что их это напрягает и они вот прямо засуетились, что не соответсвует истине. они прикинули вариант утечки денег и начали строить дамбу заранее.

     
  • 2.50, Аноним (-), 04:32, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Модно. Javascript стал отставать от нормальных языков не в 100 в а 10 раз, и народ подуал что на нём можно писать всё. Это продёт.
     
     
  • 3.58, Аноним (-), 08:50, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Отставать? Превосходить.

     
     
  • 4.81, axe (??), 02:57, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Отставать? Превосходить.

    в тормозах?

     

  • 1.3, Аноним (-), 22:06, 19/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот людям делать нечего, криптографию на js переписывают.
     
     
  • 2.5, Аноним (-), 22:10, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Побенчить JS вполне можно. Правда, в данном случае - увы, не выйдет.
     
  • 2.10, Аноним (-), 22:35, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да вы батенька ...
    То что они делаю очень нужно. Я бы например все свои Коментарии/твитты/личные данные оставляемые в интернете подписывал бы своим ключом, если бы такая возможность была. А то некоторые модераторы/администраторы пошли. Да и ломают сайты через два дня на третий.

    А как вам возможность sha1 текущей страницы и запомнить, чтоб знать не изменилась ли она?

     
     
  • 3.26, Аноним (-), 12:51, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Капитан намекает что твиты больно короткие чтобы туда еще и подпись влезла А о... большой текст свёрнут, показать
     
     
  • 4.38, Аноним (-), 14:06, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет Нет Подчищать пробелы и убирать всевозможное форматирование типа b b ... большой текст свёрнут, показать
     
     
  • 5.46, Аноним (-), 04:23, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В твит даже просто пубкей не влезет В лучшем случае его fingerprint только Ну ... большой текст свёрнут, показать
     
     
  • 6.54, Аноним (-), 04:42, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати к вопросу о изменении текста сервером и тегах {b}. Вот например сервер в одном из вариантов просмотра выполняет тег. Сволочь :)
     
  • 6.59, Аноним (-), 09:02, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько вариантов подписывания информации вы знаете Дай угадаю - ноль, правильн... большой текст свёрнут, показать
     
     
  • 7.69, Клыкастый (ok), 15:46, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > При 7,5gb почты thunderbird загружается 5,5 минут и ищет от 7 до
    > 10 минут. Против 1 и 1 секунды gmail. Быстрые программы такие
    > быстрые!

    Это не программы "такие быстрые" это кто-то жОстко спекулирует смыслом. Если чел хранит почту локально, то 7,5 Гиг ящик характеризует его как человека, готового на подвиг. В частности, подождать XXX минут на поиск. А если человек не хранит локально, он использует IMAP. А там уже немножко поиначе.

     
  • 7.71, Аноним (-), 18:33, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно Куда уж нам, дуракам, чай пить Мне не понятно вот что 1 Если сервер ... большой текст свёрнут, показать
     
  • 2.15, fork (??), 00:33, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    *Сначала им нечего было делать и они придумали компьютер, потом интернет, а теперь вот это...*
     

  • 1.4, Аноним (-), 22:09, 19/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > доступен только в форме дополнения для браузера Chrome

    FAIL.

     
     
  • 2.7, Аноним (-), 22:17, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сурсы открыты, перепиши под тормозилу, кто мешает.


     
     
  • 3.27, Аноним (-), 12:52, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Сурсы открыты, перепиши под тормозилу, кто мешает.

    А при чем тут фурифокс? По логике вещей, единственная польза от JS - то что работает в любом браузере и это не надо доустанавливать явно. А тут и этого нет. Ну и нахрена оно такое нужно?

     
     
  • 4.39, Аноним (-), 14:07, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А при чем тут фурифокс? По логике вещей, единственная польза от JS
    > - то что работает в любом браузере и это не надо
    > доустанавливать явно. А тут и этого нет. Ну и нахрена оно
    > такое нужно?

    На глупые вопросы не отвечаю.

     
     
  • 5.49, Аноним (-), 04:28, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > На глупые вопросы не отвечаю.

    Что, разумного ответа не придумалось даже на столь простой вопрос? :)

     
  • 2.8, Анонизмус (?), 22:18, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Перепиши для своего фуррифокса, опенсорс же
     
     
  • 3.72, Аноним (-), 18:34, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Перепиши для своего фуррифокса, опенсорс же

    Спасиб, уже наелся всяких irc на js и прочих. И понял что обычный севый xchat умеет в 20 раз больше а тормозит в 20 раз меньше.

     

  • 1.9, Аноним (-), 22:21, 19/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >поддерживает интеграцию с Gmail (подписывание, шифрование и расшифрование сообщений).

    Это просто бомба.
    От гугла то такого не дождешься.
    *ужел перепиливать под яндекс и мыломс.ру*

     
     
  • 2.28, Аноним (-), 12:57, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > От гугла то такого не дождешься.

    Ну еще бы, ему это индексировать мешает.

    > *ужел перепиливать под яндекс и мыломс.ру*

    Откройте уже для себя нормальные почтовики, которые интегрируются с gnupg. И у вас сразу отпадет вагон геморроя: одна связка почтаря + gpg сможет работать с гуглом, мылом, яндексом, рамблером и вообще любым почтовым сервисом. В том числе обеспечивая шифрование и подписывание сообщений.

    Хотя конечно когда все просто работает - это же так скучно! Вот изобрести супер-пепелац на ява скрипте, кривой, тормозной и только под один сервис - это круто! (но ведь свое не пахнет, поэтому http://lurkmore.ru/%D0%92%D1%81%D0%B5%D0&#)

     
     
  • 3.37, Аноним (-), 13:42, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Откройте уже для себя нормальные почтовики, которые интегрируются с gnupg.

    Нормальные это какие? Outглюк? Мозилу с отваливающимися каждые полтора месяца расширениями?
    И какие из этих нормальных почтовиков имеют версии под андроид/iPad/winMo? А js выполняется везде.
    > вас сразу отпадет вагон геморроя:

    И появится два вагона нового, от тормозов до уязвимостей.

    > работать с гуглом, мылом, яндексом, рамблером и вообще любым почтовым сервисом.

    Ага по pop3. У меня 7,5 гигов почты - спасибо не надо.

    > Хотя конечно когда все просто работает - это же так скучно!

    А у меня все работает в браузере без установки кривых, текущих поделок на с/с++.


     
     
  • 4.52, Аноним (-), 04:39, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я мозиллу юзаю На десктопе На телефоне n900 - допиленной нокией почтарь на о... большой текст свёрнут, показать
     
     
  • 5.62, Аноним (-), 09:19, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И умеющий ее подписывать Или какого вы его приплели Ваши личные проблемы А эт... большой текст свёрнут, показать
     
     
  • 6.73, Аноним (-), 18:52, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Умеющий при сильном желании Кстати, всегда можно поставить gpg и подписать прои... большой текст свёрнут, показать
     

  • 1.14, solardiz (ok), 00:27, 20/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В дискуссии на /r/netsec/ эту ссылку уже запостили, но считаю не лишним запостить ее и сюда:

    "Javascript Cryptography Considered Harmful"
    http://www.matasano.com/articles/javascript-cryptography/

    Одна из основных проблем - с (не)доступностью из JavaScript генератора случайных чисел, пригодного для криптографических целей. (Вероятно, ситуация будет постепенно улучшаться. Пока один из подходов - накапливать в коде на JavaScript свой entropy pool, но это менее надежно и менее удобно, чем тот же /dev/*random, до которого не доберешься.)

    Например, в случае реализации DSA, это может привести к утечке секретного ключа, даже если исходно пара ключей генерировалась как положено (например, с помощью GnuPG и лишь потом была импортирована в реализацию на JavaScript для использования).

    http://rdist.root.org/2010/11/19/dsa-requirements-for-random-k-value/
    http://en.wikipedia.org/wiki/Digital_Signature_Algorithm#Sensitivity

    grep'нул содержимое GPG4Browsers-v0.1.zip на эту тему. Пока что js/ciphers/asymetricencryption/dsa.js выглядит недописанным. Там есть функция generateK(), которая использует нигде не определенную randomfn().

     
     
  • 2.16, Онаним (?), 01:09, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно попросить юзера подёргать мышку туда-сюда (если только кто-нибудь это уже не запатентовал :))
     
     
  • 3.29, Аноним (-), 12:58, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно попросить юзера подёргать мышку туда-сюда (если только кто-нибудь это уже не
    > запатентовал :))

    Даже если запатентовали, если не ошибаюсь, putty именно так и делает, много лет, так что наверное прокатит за prior art.

     
  • 2.22, Аноним (-), 10:58, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >People log in to it with usernames and passwords. You'd rather they didn't send their passwords in the clear, where attackers can capture them. You could use SSL/TLS to solve this problem, but that's expensive and complicated. So instead, you create a challenge-response protocol, where the application sends Javascript to user browsers that gets them to send HMAC-SHA1(password, nonce) to prove they know a password without ever transmitting the password.

    Глупая статья.
    >SSL/TLS ... expensive and complicated

    Дальше можно не читать.

     
     
  • 3.31, Аноним (-), 13:03, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>SSL/TLS ... expensive and complicated
    > Дальше можно не читать.

    А ведь как ни странно, эти жабаскриптовые бакланы правы. Куча недавних атак на оные протоколы это подтверждает. Не говоря уж о том что при наличии в доверяемых 100500 CA, слом одного CA ведет к подставе всех остальных. И где-то заныкался comodohacker с его поддельными сертификатами и парой потенциально раздолбаных CA. Поэтому он может выписать сертификат на что угодно. Толку от такого протокола и его сертификатов не густо, если какой-то галимый хакер может на раз подписаться что он и гугл, и мозилла, и ebay и прочие скайпы.

     
     
  • 4.32, Аноним (-), 13:08, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Шнайер об этом писал давным-давно. Задолго до того, как этот трэш повсеместно стал применяться как супер-пупер-мега-дупер-крутейшая технология безопасности.
     
  • 3.43, solardiz (ok), 20:32, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этой статье такой стиль - приводятся абсурдные точки зрения некоторых сторонников JavaScript crypto и показывается их абсурдность. Именно такие участки Вы процитировали - например, мол "SSL/TLS слишком тяжел, и поэтому мы реализуем свою альтернативу на JS" - что авторы статьи не считают хорошей идеей и обоснуют почему. Если не читать, а лишь просмотреть мельком - да, может создаться впечатление, что статья глупая. Пожалуй, это не самый удачный способ подачи информации, либо такие участки авторам следовало более явно выделить шрифтом/цветом. Если же все же прочесть - там дельные мысли. Не требуется соглашаться со всеми, но и глупыми их не назовешь.
     
     
  • 4.53, Аноним (-), 04:41, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А JS вообще не защищен от MITM. Если ремотный атакующий засевший у меня на проводе мне левый скрипт криптографии вдует - я могу еще и с своими привкеями на ровном месте расстаться. JS с ремотного серванта априори untrusted и доверять ему свои пубкеи - глупость несусветная.
     
     
  • 5.60, Аноним (-), 09:08, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >в форме дополнения для браузера Chrome
    >JS с ремотного серванта
    > ремотного

    - Там же написано!
    - Так они же не читают!!!

     
  • 4.61, Аноним (-), 09:10, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем мне разбирать в бреде сумасшедшего речения святых?
     
  • 2.24, pavlinux (ok), 12:29, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Одна из основных проблем - с (не)доступностью из JavaScript генератора случайных чисел,

    На тебе случайных чисел http://www.random.org/integers/?num=1000&min=1&max=999999999&col=1&base=16&fo

    ---
    Вот, там же клиенты, в том числе на JS - http://www.random.org/clients/http/archive/  

    один из них - https://github.com/11rcombs/node-random/blob/master/main.js

     
     
  • 3.30, Аноним (-), 13:00, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот, там же клиенты, в том числе на JS - http://www.random.org/clients/http/archive/

    И откуда ты знаешь что они тебе будут рандом отгружать? :)
    А то вон соня уже поюзала рандом. Везде одинаковый. В эллиптической криптографии. Хакеры оценили это по достоинству и вычислили ключи :)

    //Вот например капча - 88876. Стопроцентный рандом, не заметно разве? :)

     
     
  • 4.33, Аноним (-), 13:09, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Вот, там же клиенты, в том числе на JS - http://www.random.org/clients/http/archive/
    > И откуда ты знаешь что они тебе будут рандом отгружать? :)
    > А то вон соня уже поюзала рандом. Везде одинаковый. В эллиптической криптографии.
    > Хакеры оценили это по достоинству и вычислили ключи :)
    > //Вот например капча - 88876. Стопроцентный рандом, не заметно разве? :)

    Рандом вообще без нефигового криптоанализа на качество не проверить. Однако реально. Только ресурсов это укушает немерено. И времени. Опять же, выборка нужна офигительной длинны для качественной проверки.

     
     
  • 5.47, Аноним (-), 04:25, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. И дебианщики вон разок вкусили что бывает за предсказуемый рандом. Потом баааааальшая пачка ключей полетела в блеклист. Как расхаканые.
     
  • 4.35, pavlinux (ok), 13:24, 20/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вот, там же клиенты, в том числе на JS - http://www.random.org/clients/http/archive/
    > И откуда ты знаешь что они тебе будут рандом отгружать? :)

    Дело в том, как ты их потом заюзаешь. СЧ нужны лишь для раскрутки генератора,
    а дальше сам уж, нормальную энтропию состяпашь с нужным МА и дЫспэрсиёй и
    только потом уже из неё будешь сосать байты для своих ПСЧ.

     
     
  • 5.48, Аноним (-), 04:27, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело в том, как ты их потом заюзаешь. СЧ нужны лишь для раскрутки генератора,

    Дык если тебе подсунут неслучайное число - PRNG _неслучайно_ раскрутится. Далее будет очередной "дебиан vs OpenSSL".

     
     
  • 6.55, pavlinux (ok), 06:53, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Случайные числа из вне, это всего лишь формальность.
    Взял пару штук, и генери свой массив c проверкой,
    пока там матожиданиё не станет 1/2 и дисперсия 1/12 :)
     
     
  • 7.66, Аноним (-), 14:49, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Случайные числа из вне, это всего лишь формальность.
    > Взял пару штук, и генери свой массив c проверкой,
    > пока там матожиданиё не станет 1/2 и дисперсия 1/12 :)

    Возьми пару штук истинно белых случайных числе с равномерным распределением где-либо в оси, софтверно? От которой у тебя есть ВСЕ исходники, так, в помощь. Ну?

     
     
  • 8.74, pavlinux (ok), 18:56, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    1, 2 ... текст свёрнут, показать
     
  • 7.75, Аноним (-), 18:58, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Взял пару штук, и генери свой массив c проверкой,

    Дали тебе случайные числа. Допустим 4 и 9. А теперь допустим что их каждому третьему такие же выдают, а остальным например 5 и 12 и 7 и 19.

    При этом даже не зная каким ты там по счету был, при знании алгоритма твоего PRNG (а прятать такие вещи неэффективно и глупо) можно с вполне разумными затратами на брут восстановить состояние PRNG "как было у тебя в нужный момент времени". При этом похрен что матожидание. Не похрен что мы узнаем что там тебе навыдавал генератор как рандомы и что он уже нифига не рандом а полностью предсказуем для нас - мы _знаем_ какое он вообще следующее "случайное" число выдаст. Это как если бы ты мог в казино всегда заранее знать в какую лунку упадет шарик. Ну, обобрал бы их до нитки и свалил =)

     
     
  • 8.76, pavlinux (ok), 19:10, 21/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот для этого стоят лысые братаны и фильтруют входные данные, и тех кто зачастил... текст свёрнут, показать
     

  • 1.17, Онаним (?), 01:12, 20/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рано или поздно это должно было появиться.
     
  • 1.79, nal (??), 21:43, 28/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если туда добавить ГОСТ алгоритмы, выделить гос.бабла на сертификацию оного и модификацию сайтов-торговых площадок/банк-клиентов/etc, то, возможно жизнь админов и прочих причастных станет немножечко легче, в плане перевода своих контор с винды, особенно, если не потребность в винде обусловлена только необходимостью использовать данные программы.
    Для сайтов ПФР/ФНС/ГосУслуги функционал для сдачи отчетности/получения услуг, можно встроить прямо в сайт, без необходимости покупать CryptoPro и прочие поделки...
    Эх, мечты, мечты....
     
  • 1.82, DmA (??), 23:31, 27/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть ещё один плагин для браузеров - WebPG. Существует в версиях для Firefox(Seamonkey, Thunderbird) и Chrome(Chromium). Поддерживает функции: шифрование, расшифровывание, цифровая подпись, управление ключами. Текущая версия 0.9.2 от 24 января 2013 года. Есть экспериментальная интеграция с гугловской почтой. Сайт  http://webpg.org/
    На Ютубе есть несколько видео, как происходит шифрование и расшифрование сообщений!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру