The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google опубликовал библиотеку и дополнение к Chrome для обеспечения "end-to-end"-шифрования в Web

04.06.2014 10:13

Компания Google в рамках проекта End-To-End подготовила дополнение для встраивания в Chrome/Chromium средств "end-to-end"-шифрования, выполняемых на стороне браузера без вовлечения в процесс шифрования внешних серверов, производя все операции только на конечных клиентских системах. Код проекта распространяется под лицензией Apache 2.0.

Дополнение позволяет обеспечить шифрование, расшифровку, создание и проверку цифровых подписей для любых передаваемых через браузер текстов и сообщений, например, можно организовать шифрованную переписку в почтовом web-сервисе, из коробки не поддерживающем шифрование. Для выполнения криптографических операций используется OpenPGP, что позволяет обеспечить совместимость с существующими системами шифрования по открытым ключам. Являясь совместимым с большинством инструментов "end-to-end"-шифрования, включая PGP и GnuPG, представленный проект позволяет значительно упростить использование шифрования для конечных пользователей, не требуя от них специальных навыков.

В основе дополнения End-To-End лежит новая криптографическая JavaScript-библиотека c реализацией стандарта OpenPGP (IETF RFC 4880), которую можно использовать и в других web-проектах. Библиотека предоставляет функции для генерации ключей (пока поддерживается только EC-ключи, Elliptic Curve Cryptography), шифрования, расшифровки, создания и проверки цифровых подписей. Текущее состояние разработки оценивается как полнофункциональный альфа-выпуск, предназначенный для независимого рецензирования кода сообществом. При этом некоторые части End-To-End уже используются в сервисах Google.

Основное внимание рекомендуется уделить оценке общих концепций реализации систем шифрования на JavaScript. Проблема заключается в том, что при расшифровке закрытый ключ сохраняется в памяти процесса, что потенциально позволяет вредоносным дополнениям получить доступ к остаточным данным, которые могут включать содержимое ключа. С учётом сложного механизма сборки мусора в JavaScript достаточно трудно обеспечить надёжную очистку памяти. Для решения этой проблемы в End-To-End применяется дополнительное шифрование ключа паролем ( в localStorage ключ хранится зашифрованным), хранение расшифрованных данных вне контекста текущего сайта и изоляция от стороннего JavaScript-кода через выполнение в sandbox. JavaScript-реализация также потенциально может быть подвержена атакам по сторонним каналам (side-channel attacks), использующим косвенные методы для восстановления данных. Для защиты от данного вида атак все операции в дополнении выполняются только по запросу пользователя, без автоматического инициирования операций расшифровки.

End-To-End входит в число проектов, подпадающих под программу Vulnerability Reward Program, в рамках которой компания Google готова выплатить до 20 тысяч долларов за выявление уязвимостей в своих продуктах. Кроме того, на днях расширен спектр проектов, которые могут участвовать в программе Patch Rewards, в рамках которой производятся выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Под действие программы теперь попадают популярные web-фреймворки и средства разработки, такие как Angular, Closure, Dart, Django, Dojo Foundation, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Struts, Web2py и Wicket.

Дополнительно можно отметить опубликованный Google отчёт об использовании шифрования трафика при работе сервиса GMail. В настоящее время около 69% исходящий запросов и 48% входящих передаются между серверами GMail и сторонними почтовыми службами с использованием STARTTLS, т.е. защищены от транзитного перехвата. В среднем с начала года доля сеансов с шифрованием трафика увеличилась с 33% до 58%. В Facebook наблюдается примерно такая же статистика, через зашифрованные каналы связи передаётся примерно 58% сообщений при степени поддержки STARTTLS серверами в 76%. Администраторам почтовых серверов, ещё не добавившим поддержку STARTTLS, рекомендуется сделать это для повышения защищённости почты своих пользователей.



  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: XMPP перешёл на обязательное шифрование передачи данных
  3. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
  4. OpenNews: Google расширил область действия программы по выплате вознаграждений за поиск уязвимостей в Chrome
  5. OpenNews: Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО
  6. OpenNews: Компания Google расширила действие инициативы по повышению безопасности свободного ПО
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/39925-pgp
Ключевые слова: pgp, crypt, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 11:07, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    чо оно шифровать-то будет? опубликованные статьи, тексты и посты?
     
     
  • 2.5, Аноним (-), 11:15, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > чо оно шифровать-то будет? опубликованные статьи, тексты и посты?

    Чо надо.

    Кстати, "чо" по-китайски жoпа.

     
     
  • 3.16, Аноним (-), 14:25, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы давай
     
     
  • 4.25, хм (?), 20:51, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ну ты чо
     
  • 3.35, Аноним (-), 11:48, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не ошибаешься?

    https://translate.google.com/#ru/zh-CN/%D0%B6%D0%BE%D

     
  • 2.6, paulus (ok), 11:27, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    например webrtc...
     
     
  • 3.31, Аноним (-), 23:48, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > например webrtc...

    оно до сих пор нешифрованным ходит? хромог во всей красе прям

     
  • 2.7, Andrey Mitrofanov (?), 11:30, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > опубликованные статьи, тексты

    Факт того, что ты по ним ходил, когда ходид, твои немытые куки.

    > и посты?

     
     
  • 3.30, Аноним (-), 23:47, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    факт того, куда я ходил и без моего браузера запишут, зачем в браузере очередная псевдофича?
     

  • 1.8, rob pike (?), 11:37, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "Please note that EC support was added to GnuPG 2.1 beta in 2010, but it hasn’t been released as a stable version yet. To communicate with other people that don't use End-To-End, you will need to either generate a key in GnuPG and then import it, or build GnuPG 2.1 yourself."
     
  • 1.9, Гость (?), 11:52, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Компания Google в рамках проекта End-To-End подготовила дополнение

    А дополнение-то где? Код хомячкам не подойдет.

     
     
  • 2.10, Андрей (??), 12:44, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    КТТС
    "Once we feel that the extension is ready for primetime, we’ll make it available in the Chrome Web Store, and anyone will be able to use it to send and receive end-to-end encrypted emails through their existing web-based email provider."
     

  • 1.11, anonymus (?), 13:14, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем javascript? Вон в файерфоксе плагин юзает напрямую gpg и проблем с тем нет.
     
     
  • 2.12, пруфридер (?), 13:53, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потому как никто из хомячков не побежит скачивать пгп, ради своей безопасности.
    Вы бы слышали, какую аргументированную ересь приходится слышать от пользователей!
     
     
  • 3.19, Аноним (-), 14:56, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Потому как никто из хомячков не побежит скачивать пгп, ради своей безопасности.

    Эту формулировку можно заменить более общей - "никто из хомячков не будет париться о своей безопасности". Если человек о ней парится, он уже не труЪ хомяк.

     
  • 3.33, Andrey Mitrofanov (?), 10:07, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому как никто из хомячков не

    И это, конечно, означает, что обэтом не нужно говорить или что-то делать, да?

    +++https://emailselfdefense.fsf.org/

     

  • 1.14, Аноним (-), 14:23, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой смысл в шифровании сообщения если в Chrome есть  по умолчанию проверка правописания всех слов через их веб-службу? То есть любое написанное тобой слово отсылается на сайт Гугл, причём сомневаюсь, что оно им зашифрованным отсылается :)
     
     
  • 2.18, Аноним (-), 14:52, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Раз сомневаетесь - проверьте, потом расскажете.
     
     
  • 3.20, Аноним (-), 16:56, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а вас что устраивает, что любое слово вами написанное отсылается на сервера Google якобы для проверки правописания?
     

  • 1.15, Аноним (-), 14:23, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем оно лучше или хуже WebPG?
     
     
  • 2.23, Sergio (??), 18:44, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Оно не хуже и не лучше... Ещё одна реализация OpenPGP, но с бОльшим шансом последующей интеграции во все сервисы Google. В блоге четко написано, что уже сейчас этот код частично используется в некоторых службах Google. После проверки кода сообществом, он будет опубликован виде дополнения для браузера, что бы использовать его в web-интерфейсе GMail.
    WebPG требует установленного GnuPG. Тут уж правильнее сравнивать реализацию Google с Mailvelope.
     
     
  • 3.34, DmA (??), 11:17, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно не хуже и не лучше... Ещё одна реализация OpenPGP, но с
    > бОльшим шансом последующей интеграции во все сервисы Google. В блоге четко
    > написано, что уже сейчас этот код частично используется в некоторых службах
    > Google. После проверки кода сообществом, он будет опубликован виде дополнения для
    > браузера, что бы использовать его в web-интерфейсе GMail.
    > WebPG требует установленного GnuPG. Тут уж правильнее сравнивать реализацию Google с Mailvelope.

    WebPG пытались сделать поддержку gmail, но гугл похоже знал об этом и всё время менял, что-то на страничке, чтобы не  работало. Автор WebPG зарёкся поддерживать gmail. А после Сноудена теперь озаботился добавить шифрование в свой браузер. Тренд поменялся и гугл повернул нос в другую сторону

     
     
  • 4.40, Аноним (-), 20:09, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "не можешь победить - возглавь"\
    соотв - лучше дать людям трэшевое крипто, подконтрольное, чем наблюдать безсильно как более грамотные и секьюрные подходы/реализации - начинают доминировать. и у Государства - начинает уменьшаться интерес в услугах Гугля, потихоньку.
     

  • 1.22, Аноним (-), 18:38, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Lavabit
     
  • 1.24, umbr (ok), 19:14, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >пока поддерживается только EC-ключи

    Ну-ну.. АНБ одобряет.

     
     
  • 2.26, Аноним (-), 21:03, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну-ну.. АНБ одобряет.

    А какие против них возражения? Со ссылками на исследования от криптографов, а не каких-то там umbr.

     
     
  • 3.28, Аноним (-), 21:33, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Брюс Шнайдер еще говорил, почему в NSA так любят эллиптические кривые.
     

  • 1.27, anonymous (??), 21:29, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие могут быть возражения? Должен же кто-то защищать национальную безопасность :)
     
  • 1.29, Аноним (-), 23:37, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вообщем понятно - шифровка дело не только глупое, но и безполезное....Тем более, что чего стоит "найти" в кармане, к примеру, у того же Шнаера что-нить запрещенное...Глядишь, уже и , к примеру, Шнаер "дает добро"....
     
  • 1.32, Аноним (-), 02:48, 05/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    И шифрованные соединения с сайтами можно на нём делать?
     
  • 1.36, Аноним (-), 11:52, 05/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Разумно. Чем меньше у Гугла конкурентов по чтению чужой переписки, тем больше денег он может запросить у АНБ.
     
     
  • 2.37, DmA (??), 14:24, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Разумно. Чем меньше у Гугла конкурентов по чтению чужой переписки, тем больше
    > денег он может запросить у АНБ.

    точно - даём юзеру слабую систему шифрования, которую можно вскрыть мощным кластером и требуем с АНБ оплатить покупку этого кластера, а сами добавляем кластер в поисковую систему гугла.
    Современная криптография основана 15-17 веке математики, а эллиптические кривые это уже 19 век.
    Интересно почему АНБ любит эллиптические кривые?

     
     
  • 3.38, Аноним (-), 18:08, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    как раз ПОЭТОМУ, внезапно.
    потому что для профанов, все "новое" - можно представить/распиарить, как "лучшее" или более надежное =)
    профи, однако - не так просты. и математикой(помимо собсно криптографии)владеют, в отличие от :)
    вот почему EC почти нигде "не пошли", кроме анально прозондированного софта и харда из NA.
     
  • 3.39, Аноним (-), 19:41, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    вас не смущает, что ваше пищеварение - "основано на принципах", заложенных на примерно 500-м веке до НЭ, примерно ?
    если смущает, то у меня для Вас - плохие новости.
     
     
  • 4.41, user (??), 23:09, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Его, видимо, смущает что АНБ может без пароля пролезть в самую мякотку его пищеварения.
     
     
  • 5.42, Аноним (-), 20:22, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    скорее наоборот - его смущает почему кто-то этим может быть недоволен.
    судя по вопросу/прогону от постера.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру