top
logo


Google опубликовал библиотеку и дополнение к Chrome для обеспечения "end-to-end"-шифрования в Web PDF Печать E-mail
Автор: adm   
04.06.14 07:13

Компания Google в рамках проекта End-To-End подготовила дополнение для встраивания в Chrome/Chromium средств "end-to-end"-шифрования, выполняемых на стороне браузера без вовлечения в процесс шифрования внешних серверов, производя все операции только на конечных клиентских системах. Код проекта распространяется под лицензией Apache 2.0.

Дополнение позволяет обеспечить шифрование, расшифровку, создание и проверку цифровых подписей для любых передаваемых через браузер текстов и сообщений, например, можно организовать шифрованную переписку в почтовом web-сервисе, из коробки не поддерживающем шифрование. Для выполнения криптографических операций используется OpenPGP, что позволяет обеспечить совместимость с существующими системами шифрования по открытым ключам. Являясь совместимым с большинством инструментов "end-to-end"-шифрования, включая PGP и GnuPG, представленный проект позволяет значительно упростить использование шифрования для конечных пользователей, не требуя от них специальных навыков.

В основе дополнения End-To-End лежит новая криптографическая JavaScript-библиотека c реализацией стандарта OpenPGP (IETF RFC 4880), которую можно использовать и в других web-проектах. Библиотека предоставляет функции для генерации ключей (пока поддерживается только EC-ключи, Elliptic Curve Cryptography), шифрования, расшифровки, создания и проверки цифровых подписей. Текущее состояние разработки оценивается как полнофункциональный альфа-выпуск, предназначенный для независимого рецензирования кода сообществом. При этом некоторые части End-To-End уже используются в сервисах Google.

Основное внимание рекомендуется уделить оценке общих концепций реализации систем шифрования на JavaScript. Проблема заключается в том, что при расшифровке закрытый ключ сохраняется в памяти процесса, что потенциально позволяет вредоносным дополнениям получить доступ к остаточным данным, которые могут включать содержимое ключа. С учётом сложного механизма сборки мусора в JavaScript достаточно трудно обеспечить надёжную очистку памяти. Для решения этой проблемы в End-To-End применяется дополнительное шифрование ключа паролем ( в localStorage ключ хранится зашифрованным), хранение расшифрованных данных вне контекста текущего сайта и изоляция от стороннего JavaScript-кода через выполнение в sandbox. JavaScript-реализация также потенциально может быть подвержена атакам по сторонним каналам (side-channel attacks), использующим косвенные методы для восстановления данных. Для защиты от данного вида атак все операции в дополнении выполняются только по запросу пользователя, без автоматического инициирования операций расшифровки.

End-To-End входит в число проектов, подпадающий под программу Vulnerability Reward Program, в рамках которой компания Google готова выплатить до 20 тысяч долларов за выявление уязвимостей в своих продуктах. Кроме того, на днях расширен спектр проектов, которые могут участвовать в программе Patch Rewards, в рамках которой производятся выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Под действие программы теперь попадают популярные web-фреймворки и средства разработки, такие как Angular, Closure, Dart, Django, Dojo Foundation, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Struts, Web2py и Wicket.

Дополнительно можно отметить опубликованный Google отчёт об использовании шифрования трафика при работе сервиса GMail. В настоящее время около 69% исходящий запросов и 48% входящих передаются между серверами GMail и сторонними почтовыми службами с использованием STARTTLS, т.е. защищены от транзитного перехвата. В среднем с начала года доля сеансов с шифрованием трафика увеличилась с 33% до 58%. В Facebook наблюдается примерно такая же статистика, через зашифрованные каналы связи передаётся примерно 58% сообщений при степени поддержки STARTTLS серверами в 76%. Администраторам почтовых серверов, ещё не добавившим поддержку STARTTLS, рекомендуется сделать это для повышения защищённости почты своих пользователей.

  1. Главная ссылка к новости (http://googleonlinesecurity.blogspot.ru/...)
  2. OpenNews: XMPP перешёл на обязательное шифрование передачи данных
  3. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
  4. OpenNews: Google расширил область действия программы по выплате вознаграждений за поиск уязвимостей в Chrome
  5. OpenNews: Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО
  6. OpenNews: Компания Google расширила действие инициативы по повышению безопасности свободного ПО
Тип: К сведению
Ключевые слова: pgp, crypt, chrome, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.3, Аноним, 11:07, 04/06/2014 [ответить] [смотреть все] +3 +/
чо оно шифровать-то будет опубликованные статьи, тексты и посты ... весь текст скрыт [показать]
 
  2.5, Аноним, 11:15, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
 
  3.16, Аноним, 14:25, 04/06/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
 
  4.25, хм, 20:51, 04/06/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
ну ты чо
 
2.6, paulus, 11:27, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +4 +/ например webrtc...
 
1.8, rob pike, 11:37, 04/06/2014 [ответить] [смотреть все]  +1 +/ "Please note that EC support was added to GnuPG 2.1 beta in 2010, but it hasn’t been released as a stable version yet. To communicate with other people that don't use End-To-End, you will need to either generate a key in GnuPG and then import it, or build GnuPG 2.1 yourself."
  1.9, Гость, 11:52, 04/06/2014 [ответить] [смотреть все]  +/ > Компания Google в рамках проекта End-To-End подготовила дополнение

А дополнение-то где? Код хомячкам не подойдет.

 
  2.10, Андрей, 12:44, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
КТТС
"Once we feel that the extension is ready for primetime, we’ll make it available in the Chrome Web Store, and anyone will be able to use it to send and receive end-to-end encrypted emails through their existing web-based email provider."
 
1.11, anonymus, 13:14, 04/06/2014 [ответить] [смотреть все]    [к модератору]  +/ А зачем javascript? Вон в файерфоксе плагин юзает напрямую gpg и проблем с тем нет.
 
  2.12, пруфридер, 13:53, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Потому как никто из хомячков не побежит скачивать пгп, ради своей безопасности.
Вы бы слышали, какую аргументированную ересь приходится слышать от пользователей!
 
  3.19, Аноним, 14:56, 04/06/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Эту формулировку можно заменить более общей - никто из хомячков не будет парить... весь текст скрыт [показать]
 
1.14, Аноним, 14:23, 04/06/2014 [ответить] [смотреть все]     [к модератору]  +1 +/
Какой смысл в шифровании сообщения если в Chrome есть по умолчанию проверка пра... весь текст скрыт [показать]
 
  2.18, Аноним, 14:52, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/
 
  3.20, Аноним, 16:56, 04/06/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
а вас что устраивает, что любое слово вами написанное отсылается на сервера Goo... весь текст скрыт [показать]
 
1.15, Аноним, 14:23, 04/06/2014 [ответить] [смотреть все]     [к модератору]  +/
Чем оно лучше или хуже WebPG ... весь текст скрыт [показать]
 
  2.23, Sergio, 18:44, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Оно не хуже и не лучше... Ещё одна реализация OpenPGP, но с бОльшим шансом последующей интеграции во все сервисы Google. В блоге четко написано, что уже сейчас этот код частично используется в некоторых службах Google. После проверки кода сообществом, он будет опубликован виде дополнения для браузера, что бы использовать его в web-интерфейсе GMail.
WebPG требует установленного GnuPG. Тут уж правильнее сравнивать реализацию Google с Mailvelope.
 
1.22, Аноним, 18:38, 04/06/2014 [ответить] [смотреть все]     [к модератору]  +/    2.26, Аноним, 21:03, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
А какие против них возражения Со ссылками на исследования от криптографов, а не... весь текст скрыт [показать] [показать ветку]
 
  3.28, Аноним, 21:33, 04/06/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Брюс Шнайдер еще говорил, почему в NSA так любят эллиптические кривые ... весь текст скрыт [показать]
 
1.27, anonymous, 21:29, 04/06/2014 [ответить] [смотреть все]    [к модератору]  +/ Какие могут быть возражения? Должен же кто-то защищать национальную безопасность :)
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39925

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика