image

OpenPGP-bibliotheek ProtonMail doorstaat beveiligingsaudit

maandag 20 augustus 2018, 10:35 door Redactie, 1 reacties

De opensource-encryptiebibliotheek van de versleutelde e-maildienst ProtonMail heeft een onafhankelijke beveiligingsaudit van het Duitse securitybedrijf Cure53 doorstaan. OpenPGPjs is één van de populairste OpenPGP-bibliotheken, die naast ProtonMail onder andere ook door Enigmail en Mailvelope wordt gebruikt. ProtonMail beheert OpenPGPjs.

In maart van dit jaar werd er een nieuwe versie van OpenPGPjs gelanceerd die allerlei verbeteringen en nieuwe features introduceerde, zoals public-key encryptie middels elliptische krommen en de ondersteuning van compressie. Daarnaast wordt AEAD (Authenticated Encryption with Associated Data) ondersteund. Dit protocol biedt garanties met betrekking tot de vertrouwelijkheid, integriteit en authenticiteit van de versleutelde data. Zodoende weten gebruikers dat de ontsleutelde data precies dezelfde data is die door de afzender is versleuteld en dat het ook door de afzender is versleuteld.

Als onderdeel van de update werd besloten om Cure53 een audit te laten uitvoeren om eventuele kwetsbaarheden te ontdekken. Ook werd er gekeken naar de cryptografische implementaties van OpenPGPjs. Tijdens de audit werden geen grote beveiligingsproblemen ontdekt. "De geteste cryptografische implementaties zijn van een hoog niveau en gegeven het platform van een uitstekende kwaliteit. De enige beperkingen zijn afkomstig van het platform zelf (JavaScript/Web), dat niet tegen side channel-aanvallen bestand is of betrouwbare constant time operaties mogelijk maakt. Over het geheel genomen is het een buitengewone bibliotheek voor JavaScript-cryptografie", aldus de auditors.

Reacties (1)
20-08-2018, 18:55 door [Account Verwijderd]
Dit is één van de vele voorbeelden dat open source software niet onveilig(er) is omdat de broncode ingezien kan worden. Dit wordt vaak als onterecht argument gebruikt om de kwetsbaarheid/veiligheid van de software in twijfel te trekken. Goed programmeerwerk is het halve werk, zeg ik altijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.