Nieuws

Chrome-extensie voor versleutelen bestanden online

maandag 4 augustus 2014, 14:15 door Redactie, 6 reacties

De maker van de versleutelde chat-app Cryptocat heeft een extensie voor Google Chrome ontwikkeld waarmee het kinderspel wordt om bestanden te versleutelen en te delen. De door Nadim Kobeissi ontwikkelde extensie heet miniLock en werd begin juli al aangekondigd.

Via de extensie kunnen gebruikers door het slepen van bestanden naar het programma ze meteen versleutelen. Het gaat dan om allerlei soorten bestanden, van e-mailbijlagen tot foto's op een USB-stick. Ook is het mogelijk om bestanden eerst te versleutelen en ze vervolgens naar Dropbox of Google Drive te uploaden.

Encryptie

miniLock biedt public-key encryptie, waarbij de gebruiker twee cryptografische sleutels heeft, een publieke en een privésleutel. De gebruiker kan vervolgens de publieke sleutel met iedereen delen met wie hij bestanden wil uitwisselen. De versleutelde bestanden zijn alleen met de privésleutel te ontsleutelen. Gebruikers hoeven zich hier niet druk om te maken, aangezien miniLock alles automatiseert. Alleen het opgeven van een passphrase volstaat.

Aan de hand van het e-mailadres van de gebruiker en deze passphrase genereert het programma een miniLock ID en privésleutel. De gebruiker krijgt de privésleutel niet te zien, aangezien die verwijderd wordt zodra de gebruiker het programma sluit. Zodra de gebruiker dezelfde passphrase opgeeft worden dezelfde ID en privésleutel weer aangemaakt. Daardoor kan de gebruiker het programma op een willekeurige computer gebruiken, zonder zich zorgen over de opslag of aanwezigheid van zijn privésleutel te maken.

Uitwisselen

Naast het versleutelen van bestanden voor lokaal gebruik is het ook mogelijk om miniLock te gebruiken voor het uitwisselen van bestanden. Een gebruiker moet hiervoor zijn miniLock ID naar een andere gebruiker van miniLock sturen. Deze gebruiker kan vervolgens bestanden versleutelen en naar de eerste gebruiker terugsturen, die de bestanden dan kan ontsleutelen. Zodra de andere gebruiker zijn miniLock ID stuurt, kan de eerste gebruiker ook versleutelde bestanden naar hem sturen.

"Het idee achter het ontwerp van miniLock is dat de passphrase die de gebruiker onthoudt, alsmede zijn e-mailadres, als een volledig, mobiele basis van een persistente public-key identiteit kan dienen en een volledige vervanging voor andere sleutelpaarmodellen is", zegt Kobeissi. Hij wijst dan bijvoorbeeld naar de PGP-aanpak, waarbij een sleutelpaar op de harde schijf wordt opgeslagen.

miniLock is volgens Kobeissi geaudit en door peers gecontroleerd. "Het is ontwikkeld met gebruik van bewezen cryptografische standaarden onder toezicht van de cryptografische opensourcegemeenschap", zo laat de ontwikkelaar weten. miniLock is via de Chrome Webstore te downloaden.

Fabrikanten bagatelliseren satelliet-hack in vliegtuigen

30 virusscanners voor Android getest

Reacties (6)

04-08-2014, 15:11 door Martijn Brinkers

Het systeem maakt danwel gebruik van PKI maar de sleutels worden gegenereerd met een wachtwoord. Dus, het systeem is niet sterker dan een wachtwoord. Met andere woorden, relatief eenvoudig te kraken. Als je het wachtwoord hebt ge-brutce forced kan je dus de prive sleutel genereren. Dit is dus veel zwakker dan gebruik te maken van "echte" sleutelparen die random worden gegenereerd. Ik wil hiermee niet zeggen dat het systeem niet te gebruiken is, het is echter security technish zwakker dan je in eerste instantie zou denken aangezien ze een vegelijking maken met PGP.

04-08-2014, 17:40 door Anoniem

Door Martijn Brinkers: Het systeem maakt danwel gebruik van PKI maar de sleutels worden gegenereerd met een wachtwoord. Dus, het systeem is niet sterker dan een wachtwoord. Met andere woorden, relatief eenvoudig te kraken. Als je het wachtwoord hebt ge-brutce forced kan je dus de prive sleutel genereren. Dit is dus veel zwakker dan gebruik te maken van "echte" sleutelparen die random worden gegenereerd. Ik wil hiermee niet zeggen dat het systeem niet te gebruiken is, het is echter security technish zwakker dan je in eerste instantie zou denken aangezien ze een vegelijking maken met PGP.

Ik ben het wel gedeeltelijk met je eens, maar het voordeel is wel dat public/private keys een stuk rekenintensiever zijn, dan op een paswoord hash-based symmetrisch versleutel systeem. Ik heb de generatie methode nog niet gelezen, maar als ze een 4096-bit publieke sleutels genereren gebaseerd op een flinke hash-iteratie (20-bit extentsie+salt?) op het paswoord, dan heb je uiteindelijk toch best een mooi systeem. Is het optimaal, nee, maar persoonlijk vind ik het wel een mooi idee.

04-08-2014, 19:10 door Anoniem

@15:11/17:40 Lees het originele Wired artikel
The Ultra-Simple App That Lets Anyone Encrypt Anything
By Andy Greenberg , 07.03.14
http://www.wired.com/2014/07/minilock-simple-encryption/

04-08-2014, 19:13 door Anoniem

Google kennende is dit natuurlijk een versleuteling waar de NSA gewoon altijd toegang heeft tot zulke bestanden.
Voor privacy moet je niet bij Google zijn.

04-08-2014, 22:54 door Anoniem

Door Martijn Brinkers: [...] Dus, het systeem is niet sterker dan een wachtwoord. [...]

Wat Nadim met MiniLock gedaan heeft, net als met Cryptocat overigens, is cryptotools bruikbaar maken voor de gewone gebruiker. Liever veel mensen die redelijke encryptie gebruiken dan een enkeling die goede encryptie gebruiken. Grotere volumes en acceptatie is voor de gezondheid van het internet veel belangrijker. Het houdt de scriptkiddies buiten en maakt massale, ongerichte surveillance al veel duurder om succesvol uit te voeren. Gaat met PGP niet lukken, dat wordt in huidige vorm nooit groot: te lastig te begrijpen en te veel gedoe om iets te encrypten/decrypten voor een ander.

05-08-2014, 10:25 door Anoniem

Door Anoniem: @15:11/17:40 Lees het originele Wired artikel
The Ultra-Simple App That Lets Anyone Encrypt Anything
By Andy Greenberg , 07.03.14
http://www.wired.com/2014/07/minilock-simple-encryption/

Ik heb het nu gelezen, bedankt voor de link. Hij maakt gebruik van bekende algoritmes, methodes en bibliotheken zoals NaCl, met email als salt en de gebruiker moet minimaal een 100-bit entropy paswoord genereren, dat door het programma automatisch op sterkte wordt geschat. Het ziet er niet verkeerd uit tot nu toe.
Voor meer info kijk op https://github.com/kaepora/miniLock

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer