Google onthult encryptietool voor versleutelen e-mails
Google heeft een encryptietool voor Chrome ontwikkeld waarmee Gmail-gebruikers straks eenvoudig versleutelde e-mailberichten kunnen versturen. De tool heet "End-to-End" en versleutelt de inhoud van berichten totdat ze door de ontvanger worden ontsleuteld.
Op dit moment gebruikt Google al Transport Layer Security (TLS) waar het kan voor de berichten die Gmail-gebruikers versturen en ontvangen. Het gebruik van TLS maakt het nog steeds mogelijk voor de provider van de betreffende gebruiker om de inhoud van het bericht te bekijken. Om ook de inhoud af te schermen is end-to-end encryptie nodig, waarbij de encryptiesleutel in handen van de gebruiker is.
Volgens Google was de software om e-mails op deze manier te versleutelen vaak gebruiksonvriendelijk. Daarom heeft de zoekgigant nu een tool ontwikkeld die dit moet vereenvoudigen. De Chrome-extensie is op OpenPGP gebaseerd, wat ook door veel andere encryptietools wordt gebruikt.
De extensie is echter nog niet in de Chrome-store te vinden. Google heeft eerst de code beschikbaar gemaakt, zodat onderzoekers kunnen controleren of er geen kwetsbaarheden in aanwezig zijn. Onderzoekers die problemen vinden worden hiervoor beloond. Pas als de extensie voor het grote publiek gereed is zal Google die beschikbaar maken.
Generating RSA keypairs is very significantly slower than generating EC-based ones. EC-based keys are just as secure. Symantec’s PGP software and GnuPG 2.1 beta both support EC-based keys; we are greatly looking forward to a stable version of GnuPG 2.1 with EC support becoming available.
Please note that you can import existing, non-EC-based keys into End-To-End.
End-To-End generates Elliptic Curve-based keys, so they're only supported in GnuPG 2.1 and later, as well as Symantec’s PGP software, but not in GnuPG 1.x or 2.0. We recommend that you either generate a key that you will use with the extension from now on, or generate a non-EC key in other OpenPGP software and import that.
Please note that EC support was added to GnuPG 2.1 beta in 2010, but it hasn’t been released as a stable version yet. To communicate with other people that don't use End-To-End, you will need to either generate a key in GnuPG and then import it, or build GnuPG 2.1 yourself.
Dat je nog oude GPG sleutels kan importeren is niet zo verwonderlijk. Dat wordt namelijk verplicht in de RFC (MUST/SHOULD/MAY).
Er is trouwens net een nieuwe versie van GnuPG 2.x uit zag ik. Zal wel een paar weken duren voor die er ook voor GPG4Win is. Zelf gebruik ik nog GnuPG 1.x samen met Enigmail. Meer omdat ik dat zo gewend ben dan dat dit makkelijker is (GnuPG 1.x leunt erg op de command line, maar ik ben niets anders gewend).
Nu zien we dat het leuke ideetje plat op de bek gaat gaan omdat het nauwlijks compatible is met de rest van de wereld. Ja, moet eerst de hele rest van de wereld zijn software bijwerken, die is lekker. Daarnaast is dit crypto en als je dat gehaast doet dan gaan er geheit dingen mis. Dat zijn dus al drie ingredienten om dit recept naar de "mislukking van het begin af aan ingebouwd"-faam te tillen.
Maar het is wél helemaal totaal gek te gaaf supervet dik zijn tijd vooruit natuurlijk. Gaat lekker weer, google.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
