OpenPGP-implementatie in javascript voor Gmail uitgebracht

Duitse ontwikkelaars werken aan een OpenPGP-implementatie die in javascript is geschreven. Het eerste resultaat is nu vrijgegeven: een extensie voor de Chrome-browser die Gmail-gebruikers de versleuteling laat gebruiken.

Ontwikkelaars van het Duitse Recurity Labs hebben een vroege versie van GPG4Browsers vrijgegeven. Het project is een poging de versleuteling-standaard OpenPGP naar browsers te brengen. Voorlopig gaat het om een Chrome-extensie die in combinatie met Gmail werkt.

Het versleutelen en ontsleutelen van mail werkt al, evenals het signeren en verifiëren van handtekeningen en het im- en exporteren van certificaten. Het genereren, manipuleren en aanmaken van handtekeningen op sleutels, het maken van versleutelde berichten met alleen symmetrische encryptie en het gebruik van gecomprimeerde datapackets werkt nog niet en ook worden enkele handtekeningentypes op sleutels nog niet ondersteund.

OpenPGP, een voortzetting van PGP, wordt al bij de meeste mailprogramma's ondersteund, maar de ondersteuning voor webmail is nog beperkt. Wel was er een aantal jaren geleden een Firefox-add on, Freenigma, met ondersteuning voor Gmail, Hotmail en Yahoo Mail. De broncode van GPG4Browser wordt vrijgegeven onder de lgpl 2.1-licentie.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 20-11-2011 10:01 26

20-11-2011 • 10:01

26

Lees meer

Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit
Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit Nieuws van 19 oktober 2016
'Google wil gebruik van pgp in Gmail vergemakkelijken'
'Google wil gebruik van pgp in Gmail vergemakkelijken' Nieuws van 22 april 2014
Duitsers komen met crypto-plugin voor webmail
Duitsers komen met crypto-plugin voor webmail Nieuws van 27 augustus 2006
Netwerk en systeembeheer Bedrijfsnieuws Google Chrome Encryptie

Reacties (26)

-Moderatie-faq
26
26
18
0
0
2
Wijzig sortering
Verwijderd 20 november 2011 10:16
Dus als het goed geimplementeerd is dan kan Google niet langer je email lezen/scannen als het gecodeerd is met deze plugin. Iets om in de gaten te houden, al zou Google dit minder leuk vinden.
paulus83 @Verwijderd20 november 2011 10:24
Klopt, als je tenminste je correspondentie partners zover kan krijgen om het ook te gebruiken en minimaal jouw publieke sleutel installeren. Ik heb het een hele tijd geprobeerd, maar helaas is het besef dat privacy een recht is wat je zelf moet halen, en niet iets voor terroristen en vieze mannetjes, nog niet door gedrongen bij mijn kennissen kring.
Bacchus @paulus8320 november 2011 12:11
Dit is ook mijn ervaring. Voor consumenten valt de eventuele impact wel mee maar zelfs in een professionele omgeving doet niemand moeilijk over het "plat" versturen van email.
Leer toch eens dat ongecodeerde email vergelijkbaar is met een briefkaart, email over SSL is een briefkaart per aangetekende post en encryptie à la PGP/GPG kun je pas een enveloppe noemen.
MykelSilver @paulus8320 november 2011 12:33
Precies hetzelfde bij mij. Er is niemand bereid zaken te encrypten. Ook niet op mijn werk bij belangrijke documenten. Inlogwachtwoorden op servers zijn nog veelal welkom1.
Omegium @Verwijderd20 november 2011 10:24
Dat vind Google helemaal niet erg. Als je veel versleutelde berichten stuurt, dan laten ze advertenties voor aluminiumfolie zien :)
eracoon @Omegium20 november 2011 10:32
<offtopic>
ROFL
</offtopic>

<ontopic>
Ik vind het wel goed dat dit mogelijk is hier en daar.
Maar denk niet dat het hierdoor alles opeens veilig wordt. het is niet de uberoplossing om al je privacy te beschermen.
Niet online gaan is en blijft de beste manier
</ontopic>
RielN
@eracoon20 november 2011 14:19
Rare aanname, net zoveel lekken komen door fysieke dragers te verliezen.

ONline gaan bij Google Apps (business) is behoorlijk veilig, veel veiliger dan de gemiddelde bedrijfsmailserver, sterker, ik durf te beweren dat het niveau van veiligheid zeer hoog is, die encryptie gaat niet veel toevoegen.

Een goed wachtwoord in samenwerking in tweestaps authentificatie is zeer sterk.
the_stickie @RielN20 november 2011 14:33
Het eigenlijke versturen van mail gaat (ook bij Google) gewoon via smtp

Dat protocols is (bijna?)zo oud als het internet en volledig in plain text. Maw, iedereen kan theoretisch dmv sniffing gewoon jouw mails meelezen!

In dat opzicht is Google mail niet veiliger dan eender welke andere mailservice.
Omegium @the_stickie20 november 2011 14:59
Behalve dat:

Als je naar een andere gmail gebruiker mailt, dan verlaat het nooit de server, en als het toevallig een andere google server betreft, dan is dat versleuteld.

Ik kan me zo voorstellen dat google afspraken heeft gemaakt met andere grote email providers (hotmail, de grote ISP's) dat zo hun mail naar elkaar over ssl sturen.
Limaad @RielN20 november 2011 21:15
ONline gaan bij Google Apps (business) is behoorlijk veilig
Behalve dat ALLE Amerikaanse diensten backdoors voor de Amerikaanse overheid moet hebben.

Veiligheid is behoorlijk relatief.
depeje @eracoon20 november 2011 12:29
Niet omgaan met andere mensen is nog veel veiliger.
The Zep Man
@Verwijderd20 november 2011 10:22
Dus als het goed geimplementeerd is dan kan Google niet langer je email lezen/scannen als het gecodeerd is met deze plugin. Iets om in de gaten te houden, al zou Google dit minder leuk vinden.
Voor Google is dit niets nieuws. Je kan immers altijd via een gewone mailclient (Open)PGP gebruiken met GMail (via IMAP+SMTP). Neem bijvoorbeeld Mozilla Thunderbird en Enigmail. En Google zal het sowieso niet storen dat een minderheid hiervan gebruik maakt.

En hiernaast blijft de metadata (onderwerpveld, van, naar...) ongecodeerd. En daar kan Google ook aardig wat informatie uithalen (relaties, belangrijke onderwerpen waarover gecommuniceerd wordt...).

[Reactie gewijzigd door The Zep Man op 25 juli 2024 09:29]

RielN
@Verwijderd20 november 2011 14:16
Je kunt gewoon ook een apps account nemen en dan betaal je 4 tientjes in het jaar, dan doet Google niet meer scannen dan je standaard mailhosting ook doet.
muksie 20 november 2011 11:25
Dit is een prima zaak. Het gebruik van OpenPGP in webmail omgevingen is sowieso al erg lastig, omdat dat zou vereisen dat je je private key aan (in dit geval) Google moet geven. Dit is natuurlijk niet de bedoeling met een private key. De enige manier om dit dus veilig te regelen is via een browser plugin, onafhankelijk van de aanbieder van je webmail en zodat het uiteindelijk allemaal op je eigen systeem draait.
Bacchus @muksie20 november 2011 12:12
Eigenlijk zou ik het nog willen loskoppelen van de browser. Volgens mij is er voor GPG een tray-applicatie die een "actief" venster kan encrypten.
mcDavid 20 november 2011 12:04
Als google slim is, hebben ze dat bedrijfje inmiddels opgekocht!

Javascript PGP implementatie, klinkt typisch als een google product! En zou geniaal zijn als het gewoon standaard in Gmail zat.
AndrewF @mcDavid20 november 2011 13:48
Ik denk dat Google het niet zo ziet zitten dat iedereen zijn mails encrypteert want dan kunnen ze niet meer meelezen en "gerichte" ads voorschotelen.
Verwijderd @AndrewF20 november 2011 23:36
Wanneer ze de encryptie zelf doen krijgen ze de kans om de plaintext nog even snel door te lezen ;)
StarLite 20 november 2011 11:16
Atwoods law in full effect :D
Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.
Zo zag ik laatst een zip implementatie in javascript...

[Reactie gewijzigd door StarLite op 25 juli 2024 09:29]

Bigs @StarLite21 november 2011 15:46
Misschien dat de Java Virtual Machine in JavaScript, die zelf wel aan deze wet voldoet, dit onnodig maakt :)
t_captain 20 november 2011 11:44
Nuttige code. Wel introduceert de keuze voor Javascript mogelijk een nieuw risico.

Is het mogelijk dat Javascript die binnen de context van een webpagina draait interactie heeft met Javascript uit een Chrome plugin?

Als dit het geval is, zitten er een paar grote zwaktes aan:

- diefstal private key
- manipulatie GPG algoritmes (bv vervangen van de aktieve cipher voor een NULL cipher)
rvl1980 20 november 2011 12:06
mmm ff geprobeerd, maar bij het verzenden van geencrypte mail gebeurd er niets... Klik op 'send' voer mijn wachtwoord in en nada... kan nog wel wat aan bijgeschaafd worden denk ik. Maar een goeie ontwikkeling da's zeker
laurensdekoning @rvl198020 november 2011 16:43
bij moet doet hij ook vrij weinig..
Ytrog 20 november 2011 11:29
Als ik het goed begrijp is dit dus zo'n beetje FireGPG voor Chrome :)
modelmark 21 november 2011 00:10
Het lukt mij nog niet de private key te importeren, ook genereren doet hij niet
xylone 21 november 2011 14:08
Volgens mij hebben ze nog wel wat te doen inderdaad:
Druk op de knop Generate en zie dit in de console: Uncaught ReferenceError: generateKey is not defined

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq