Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties

Duitse ontwikkelaars werken aan een OpenPGP-implementatie die in javascript is geschreven. Het eerste resultaat is nu vrijgegeven: een extensie voor de Chrome-browser die Gmail-gebruikers de versleuteling laat gebruiken.

Ontwikkelaars van het Duitse Recurity Labs hebben een vroege versie van GPG4Browsers vrijgegeven. Het project is een poging de versleuteling-standaard OpenPGP naar browsers te brengen. Voorlopig gaat het om een Chrome-extensie die in combinatie met Gmail werkt.

Het versleutelen en ontsleutelen van mail werkt al, evenals het signeren en verifiëren van handtekeningen en het im- en exporteren van certificaten. Het genereren, manipuleren en aanmaken van handtekeningen op sleutels, het maken van versleutelde berichten met alleen symmetrische encryptie en het gebruik van gecomprimeerde datapackets werkt nog niet en ook worden enkele handtekeningentypes op sleutels nog niet ondersteund.

OpenPGP, een voortzetting van PGP, wordt al bij de meeste mailprogramma's ondersteund, maar de ondersteuning voor webmail is nog beperkt. Wel was er een aantal jaren geleden een Firefox-add on, Freenigma, met ondersteuning voor Gmail, Hotmail en Yahoo Mail. De broncode van GPG4Browser wordt vrijgegeven onder de lgpl 2.1-licentie.

Moderatie-faq Wijzig weergave

Reacties (26)

Dus als het goed geimplementeerd is dan kan Google niet langer je email lezen/scannen als het gecodeerd is met deze plugin. Iets om in de gaten te houden, al zou Google dit minder leuk vinden.
Klopt, als je tenminste je correspondentie partners zover kan krijgen om het ook te gebruiken en minimaal jouw publieke sleutel installeren. Ik heb het een hele tijd geprobeerd, maar helaas is het besef dat privacy een recht is wat je zelf moet halen, en niet iets voor terroristen en vieze mannetjes, nog niet door gedrongen bij mijn kennissen kring.
Dit is ook mijn ervaring. Voor consumenten valt de eventuele impact wel mee maar zelfs in een professionele omgeving doet niemand moeilijk over het "plat" versturen van email.
Leer toch eens dat ongecodeerde email vergelijkbaar is met een briefkaart, email over SSL is een briefkaart per aangetekende post en encryptie à la PGP/GPG kun je pas een enveloppe noemen.
Precies hetzelfde bij mij. Er is niemand bereid zaken te encrypten. Ook niet op mijn werk bij belangrijke documenten. Inlogwachtwoorden op servers zijn nog veelal welkom1.
Dat vind Google helemaal niet erg. Als je veel versleutelde berichten stuurt, dan laten ze advertenties voor aluminiumfolie zien :)
<offtopic>
ROFL
</offtopic>

<ontopic>
Ik vind het wel goed dat dit mogelijk is hier en daar.
Maar denk niet dat het hierdoor alles opeens veilig wordt. het is niet de uberoplossing om al je privacy te beschermen.
Niet online gaan is en blijft de beste manier
</ontopic>
Rare aanname, net zoveel lekken komen door fysieke dragers te verliezen.

ONline gaan bij Google Apps (business) is behoorlijk veilig, veel veiliger dan de gemiddelde bedrijfsmailserver, sterker, ik durf te beweren dat het niveau van veiligheid zeer hoog is, die encryptie gaat niet veel toevoegen.

Een goed wachtwoord in samenwerking in tweestaps authentificatie is zeer sterk.
Het eigenlijke versturen van mail gaat (ook bij Google) gewoon via smtp

Dat protocols is (bijna?)zo oud als het internet en volledig in plain text. Maw, iedereen kan theoretisch dmv sniffing gewoon jouw mails meelezen!

In dat opzicht is Google mail niet veiliger dan eender welke andere mailservice.
Behalve dat:

Als je naar een andere gmail gebruiker mailt, dan verlaat het nooit de server, en als het toevallig een andere google server betreft, dan is dat versleuteld.

Ik kan me zo voorstellen dat google afspraken heeft gemaakt met andere grote email providers (hotmail, de grote ISP's) dat zo hun mail naar elkaar over ssl sturen.
ONline gaan bij Google Apps (business) is behoorlijk veilig
Behalve dat ALLE Amerikaanse diensten backdoors voor de Amerikaanse overheid moet hebben.

Veiligheid is behoorlijk relatief.
Niet omgaan met andere mensen is nog veel veiliger.
Dus als het goed geimplementeerd is dan kan Google niet langer je email lezen/scannen als het gecodeerd is met deze plugin. Iets om in de gaten te houden, al zou Google dit minder leuk vinden.
Voor Google is dit niets nieuws. Je kan immers altijd via een gewone mailclient (Open)PGP gebruiken met GMail (via IMAP+SMTP). Neem bijvoorbeeld Mozilla Thunderbird en Enigmail. En Google zal het sowieso niet storen dat een minderheid hiervan gebruik maakt.

En hiernaast blijft de metadata (onderwerpveld, van, naar...) ongecodeerd. En daar kan Google ook aardig wat informatie uithalen (relaties, belangrijke onderwerpen waarover gecommuniceerd wordt...).

[Reactie gewijzigd door The Zep Man op 20 november 2011 10:25]

Je kunt gewoon ook een apps account nemen en dan betaal je 4 tientjes in het jaar, dan doet Google niet meer scannen dan je standaard mailhosting ook doet.
Dit is een prima zaak. Het gebruik van OpenPGP in webmail omgevingen is sowieso al erg lastig, omdat dat zou vereisen dat je je private key aan (in dit geval) Google moet geven. Dit is natuurlijk niet de bedoeling met een private key. De enige manier om dit dus veilig te regelen is via een browser plugin, onafhankelijk van de aanbieder van je webmail en zodat het uiteindelijk allemaal op je eigen systeem draait.
Eigenlijk zou ik het nog willen loskoppelen van de browser. Volgens mij is er voor GPG een tray-applicatie die een "actief" venster kan encrypten.
Als google slim is, hebben ze dat bedrijfje inmiddels opgekocht!

Javascript PGP implementatie, klinkt typisch als een google product! En zou geniaal zijn als het gewoon standaard in Gmail zat.
Ik denk dat Google het niet zo ziet zitten dat iedereen zijn mails encrypteert want dan kunnen ze niet meer meelezen en "gerichte" ads voorschotelen.
Wanneer ze de encryptie zelf doen krijgen ze de kans om de plaintext nog even snel door te lezen ;)
Atwoods law in full effect :D
Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.
Zo zag ik laatst een zip implementatie in javascript...

[Reactie gewijzigd door StarLite op 20 november 2011 11:17]

Misschien dat de Java Virtual Machine in JavaScript, die zelf wel aan deze wet voldoet, dit onnodig maakt :)
Nuttige code. Wel introduceert de keuze voor Javascript mogelijk een nieuw risico.

Is het mogelijk dat Javascript die binnen de context van een webpagina draait interactie heeft met Javascript uit een Chrome plugin?

Als dit het geval is, zitten er een paar grote zwaktes aan:

- diefstal private key
- manipulatie GPG algoritmes (bv vervangen van de aktieve cipher voor een NULL cipher)
mmm ff geprobeerd, maar bij het verzenden van geencrypte mail gebeurd er niets... Klik op 'send' voer mijn wachtwoord in en nada... kan nog wel wat aan bijgeschaafd worden denk ik. Maar een goeie ontwikkeling da's zeker
bij moet doet hij ook vrij weinig..
Als ik het goed begrijp is dit dus zo'n beetje FireGPG voor Chrome :)
Het lukt mij nog niet de private key te importeren, ook genereren doet hij niet
Volgens mij hebben ze nog wel wat te doen inderdaad:
Druk op de knop Generate en zie dit in de console: Uncaught ReferenceError: generateKey is not defined

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True