image

Google onthult encryptietool voor versleutelen e-mails

woensdag 4 juni 2014, 09:49 door Redactie, 10 reacties

Google heeft een encryptietool voor Chrome ontwikkeld waarmee Gmail-gebruikers straks eenvoudig versleutelde e-mailberichten kunnen versturen. De tool heet "End-to-End" en versleutelt de inhoud van berichten totdat ze door de ontvanger worden ontsleuteld.

Op dit moment gebruikt Google al Transport Layer Security (TLS) waar het kan voor de berichten die Gmail-gebruikers versturen en ontvangen. Het gebruik van TLS maakt het nog steeds mogelijk voor de provider van de betreffende gebruiker om de inhoud van het bericht te bekijken. Om ook de inhoud af te schermen is end-to-end encryptie nodig, waarbij de encryptiesleutel in handen van de gebruiker is.

Volgens Google was de software om e-mails op deze manier te versleutelen vaak gebruiksonvriendelijk. Daarom heeft de zoekgigant nu een tool ontwikkeld die dit moet vereenvoudigen. De Chrome-extensie is op OpenPGP gebaseerd, wat ook door veel andere encryptietools wordt gebruikt.

De extensie is echter nog niet in de Chrome-store te vinden. Google heeft eerst de code beschikbaar gemaakt, zodat onderzoekers kunnen controleren of er geen kwetsbaarheden in aanwezig zijn. Onderzoekers die problemen vinden worden hiervoor beloond. Pas als de extensie voor het grote publiek gereed is zal Google die beschikbaar maken.

Reacties (10)
04-06-2014, 10:18 door Anoniem
Dus de ontvanger van de versleutelde mail moet ook deze chrome-extensie hebben?
04-06-2014, 10:22 door Anoniem
Onbetrouwbare WC-Eend gedetecteerd
04-06-2014, 10:34 door Fwiffo
Why do you only support Elliptic Curve (EC) key generation?

Generating RSA keypairs is very significantly slower than generating EC-based ones. EC-based keys are just as secure. Symantec’s PGP software and GnuPG 2.1 beta both support EC-based keys; we are greatly looking forward to a stable version of GnuPG 2.1 with EC support becoming available.

Please note that you can import existing, non-EC-based keys into End-To-End.
Onwillekeurig ga ik toch weer denken, zou er wat mis zijn met EC? Dat het genereren van RSA sleutels langzamer is moet geen probleem zijn. Dit doe je maar een keer per gmail adres als alles goed gaat.
I’d like to import my End-To-End-generated private key into other OpenPGP software.

End-To-End generates Elliptic Curve-based keys, so they're only supported in GnuPG 2.1 and later, as well as Symantec’s PGP software, but not in GnuPG 1.x or 2.0. We recommend that you either generate a key that you will use with the extension from now on, or generate a non-EC key in other OpenPGP software and import that.

Please note that EC support was added to GnuPG 2.1 beta in 2010, but it hasn’t been released as a stable version yet. To communicate with other people that don't use End-To-End, you will need to either generate a key in GnuPG and then import it, or build GnuPG 2.1 yourself.
Dus de hele populatie die GnuPG gebruikt, kan niet encrypten naar gmail adressen. PGP van Symantec is wel/niet gratis (niet officieel tenminste). Dus tot GnuPG EC krijgt, ben je haast verplicht gmail te gebruiken.

Dat je nog oude GPG sleutels kan importeren is niet zo verwonderlijk. Dat wordt namelijk verplicht in de RFC (MUST/SHOULD/MAY).

Er is trouwens net een nieuwe versie van GnuPG 2.x uit zag ik. Zal wel een paar weken duren voor die er ook voor GPG4Win is. Zelf gebruik ik nog GnuPG 1.x samen met Enigmail. Meer omdat ik dat zo gewend ben dan dat dit makkelijker is (GnuPG 1.x leunt erg op de command line, maar ik ben niets anders gewend).
04-06-2014, 11:50 door Anoniem
Het eerste wat ik dacht was dat het een populistisch gebaar was maar niet heel nuttig want encryptie in javascript. "mega" had daar ook problemen mee en ik had niet het idee dat die echt oplosbaar waren. Wegens "javascript" en "in de browser" enzo.

Nu zien we dat het leuke ideetje plat op de bek gaat gaan omdat het nauwlijks compatible is met de rest van de wereld. Ja, moet eerst de hele rest van de wereld zijn software bijwerken, die is lekker. Daarnaast is dit crypto en als je dat gehaast doet dan gaan er geheit dingen mis. Dat zijn dus al drie ingredienten om dit recept naar de "mislukking van het begin af aan ingebouwd"-faam te tillen.

Maar het is wél helemaal totaal gek te gaaf supervet dik zijn tijd vooruit natuurlijk. Gaat lekker weer, google.
04-06-2014, 12:44 door Anoniem
En de NSA heeft de masterkey
04-06-2014, 13:01 door Anoniem
Schiet google zichzelf hiermee niet in de voet qua advertising? Immers, end-to-end encryptie <b>zou</b> moeten betekenen dat adverteren op basis van inhoud e-mails niet mogelijk is?
04-06-2014, 16:54 door [Account Verwijderd] - Bijgewerkt: 04-06-2014, 17:00
[Verwijderd]
05-06-2014, 00:29 door Anoniem
End to end gpg wat wil je nog meer? Als je dat niet begrijpt heb je niks in security te zoeken
05-06-2014, 10:56 door [Account Verwijderd]
[Verwijderd]
05-06-2014, 12:38 door Anoniem
Door Anoniem: End to end gpg wat wil je nog meer? Als je dat niet begrijpt heb je niks in security te zoeken
Dat je sleutels ook veilig zijn, dat de implementatie niet met een beetje cross site scripting of andere truuks makkelijk open te breken is, dat het ook samenwerkt met andere implementaties, en meer van dat soort voor de security professional onbelangrijke details.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.