Компания Google в рамках проекта End-To-End (https://code.google.com/p/end-to-end/) подготовила (http://googleonlinesecurity.blogspot.ru/2014/06/making-end-t...) дополнение для встраивания в Chrome/Chromium средств "end-to-end"-шифрования, выполняемых на стороне браузера без вовлечение в процесс шифрования внешних серверов, производя все операции только на конечных клиентских системах. Код проекта распространяется (https://code.google.com/p/end-to-end/) под лицензией Apache 2.0.Дополнение позволяет обеспечить шифрование, расшифровку, создание и проверку цифровых подписей для любых передаваемых через браузер текстов и сообщений, например, можно организовать шифрованную переписку в почтовом web-сервисе, из коробки не поддерживающем шифрование. Для выполнения криптографических операций используется OpenPGP (http://www.openpgp.org/), что позволяет обеспечить совместимость с существующими системами шифрования по открытым ключам. Являясь совместимым с большинством инструментов "end-to-end"-шифрования, включая PGP и GnuPG, представленный проект позволяет значительно упростить использование шифрования для конечных пользователей, не требуя от них специальных навыков.
В основе дополнения End-To-End лежит новая криптографическая JavaScript-библиотека c реализацией стандарта OpenPGP (IETF RFC 4880), которую можно использовать и в других web-проектах. Библиотека предоставляет функции для генерации ключей (пока поддерживается только EC-ключи, Elliptic Curve Cryptography), шифрования, расшифровки, создания и проверки цифровых подписей. Текущее состояние разработки оценивается как полнофункциональный альфа-выпуск, предназначенный для независимого рецензирования кода сообществом.
End-To-End входит в число проектов, подпадающий под программу Vulnerability Reward Program (http://www.google.com/about/appsecurity/reward-program/), в рамках которой компания Google готова выплатить до 20 тысяч долларов за выявление уязвимостей в своих продуктах. Кроме того, на днях расширен спектр проектов, которые могут участвовать в программе Patch Rewards (https://www.google.com/about/appsecurity/patch-rewards/), в рамках которой производятся (https://www.opennet.ru/opennews/art.shtml?num=38467) выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Под действие программы теперь попадают популярные web-фреймворки и средства разработки, такие как Angular, Closure, Dart, Django, Dojo Foundation, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Struts, Web2py и Wicket.Дополнительно можно отметить опубликованный (https://www.eff.org/deeplinks/2014/06/new-gmail-data-shows-r...) Google отчёт (http://www.google.com/transparencyreport/saferemail/) об использовании шифрования трафика при работе сервиса GMail. В настоящее время около 69% исходящий запросов и 48% входящих передаются между серверами GMail и сторонними почтовыми службами с использованием STARTTLS (https://starttls.info/), т.е. защищены от транзитного перехвата. В среднем с начала года доля сеансов с шифрованием трафика увеличилась с 33% до 58%. В Facebook наблюдается (https://www.facebook.com/notes/protect-the-graph/the-current...) примерно такая же статистика, через зашифрованные каналы связи передаётся примерно 58% сообщений при степени поддержки STARTTLS серверами в 76%. Администраторам почтовых серверов, ещё не добавившим поддержку STARTTLS, рекомендуется сделать это для повышения защищённости почты своих пользователей.
<center><a href="https://www.eff.org/files/2014/06/03/gmail-smtps.png"&g... src="https://www.opennet.ru/opennews/pics_base/0_1401863247.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
URL: http://googleonlinesecurity.blogspot.ru/2014/06/making-end-t...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39925
чо оно шифровать-то будет? опубликованные статьи, тексты и посты?
> чо оно шифровать-то будет? опубликованные статьи, тексты и посты?Чо надо.
Кстати, "чо" по-китайски жoпа.
Пруфы давай
ну ты чо
Не ошибаешься?
например webrtc...
> например webrtc...оно до сих пор нешифрованным ходит? хромог во всей красе прям
> опубликованные статьи, текстыФакт того, что ты по ним ходил, когда ходид, твои немытые куки.
> и посты?
факт того, куда я ходил и без моего браузера запишут, зачем в браузере очередная псевдофича?
"Please note that EC support was added to GnuPG 2.1 beta in 2010, but it hasn’t been released as a stable version yet. To communicate with other people that don't use End-To-End, you will need to either generate a key in GnuPG and then import it, or build GnuPG 2.1 yourself."
> Компания Google в рамках проекта End-To-End подготовила дополнениеА дополнение-то где? Код хомячкам не подойдет.
КТТС
"Once we feel that the extension is ready for primetime, we’ll make it available in the Chrome Web Store, and anyone will be able to use it to send and receive end-to-end encrypted emails through their existing web-based email provider."
А зачем javascript? Вон в файерфоксе плагин юзает напрямую gpg и проблем с тем нет.
Потому как никто из хомячков не побежит скачивать пгп, ради своей безопасности.
Вы бы слышали, какую аргументированную ересь приходится слышать от пользователей!
> Потому как никто из хомячков не побежит скачивать пгп, ради своей безопасности.Эту формулировку можно заменить более общей - "никто из хомячков не будет париться о своей безопасности". Если человек о ней парится, он уже не труЪ хомяк.
> Потому как никто из хомячков неИ это, конечно, означает, что обэтом не нужно говорить или что-то делать, да?
Какой смысл в шифровании сообщения если в Chrome есть по умолчанию проверка правописания всех слов через их веб-службу? То есть любое написанное тобой слово отсылается на сайт Гугл, причём сомневаюсь, что оно им зашифрованным отсылается :)
Раз сомневаетесь - проверьте, потом расскажете.
а вас что устраивает, что любое слово вами написанное отсылается на сервера Google якобы для проверки правописания?
Чем оно лучше или хуже WebPG?
Оно не хуже и не лучше... Ещё одна реализация OpenPGP, но с бОльшим шансом последующей интеграции во все сервисы Google. В блоге четко написано, что уже сейчас этот код частично используется в некоторых службах Google. После проверки кода сообществом, он будет опубликован виде дополнения для браузера, что бы использовать его в web-интерфейсе GMail.
WebPG требует установленного GnuPG. Тут уж правильнее сравнивать реализацию Google с Mailvelope.
> Оно не хуже и не лучше... Ещё одна реализация OpenPGP, но с
> бОльшим шансом последующей интеграции во все сервисы Google. В блоге четко
> написано, что уже сейчас этот код частично используется в некоторых службах
> Google. После проверки кода сообществом, он будет опубликован виде дополнения для
> браузера, что бы использовать его в web-интерфейсе GMail.
> WebPG требует установленного GnuPG. Тут уж правильнее сравнивать реализацию Google с Mailvelope.WebPG пытались сделать поддержку gmail, но гугл похоже знал об этом и всё время менял, что-то на страничке, чтобы не работало. Автор WebPG зарёкся поддерживать gmail. А после Сноудена теперь озаботился добавить шифрование в свой браузер. Тренд поменялся и гугл повернул нос в другую сторону
"не можешь победить - возглавь"\
соотв - лучше дать людям трэшевое крипто, подконтрольное, чем наблюдать безсильно как более грамотные и секьюрные подходы/реализации - начинают доминировать. и у Государства - начинает уменьшаться интерес в услугах Гугля, потихоньку.
Lavabit
>пока поддерживается только EC-ключиНу-ну.. АНБ одобряет.
> Ну-ну.. АНБ одобряет.А какие против них возражения? Со ссылками на исследования от криптографов, а не каких-то там umbr.
Брюс Шнайдер еще говорил, почему в NSA так любят эллиптические кривые.
Какие могут быть возражения? Должен же кто-то защищать национальную безопасность :)
Вообщем понятно - шифровка дело не только глупое, но и безполезное....Тем более, что чего стоит "найти" в кармане, к примеру, у того же Шнаера что-нить запрещенное...Глядишь, уже и , к примеру, Шнаер "дает добро"....
И шифрованные соединения с сайтами можно на нём делать?
Разумно. Чем меньше у Гугла конкурентов по чтению чужой переписки, тем больше денег он может запросить у АНБ.
> Разумно. Чем меньше у Гугла конкурентов по чтению чужой переписки, тем больше
> денег он может запросить у АНБ.точно - даём юзеру слабую систему шифрования, которую можно вскрыть мощным кластером и требуем с АНБ оплатить покупку этого кластера, а сами добавляем кластер в поисковую систему гугла.
Современная криптография основана 15-17 веке математики, а эллиптические кривые это уже 19 век.
Интересно почему АНБ любит эллиптические кривые?
как раз ПОЭТОМУ, внезапно.
потому что для профанов, все "новое" - можно представить/распиарить, как "лучшее" или более надежное =)
профи, однако - не так просты. и математикой(помимо собсно криптографии)владеют, в отличие от :)
вот почему EC почти нигде "не пошли", кроме анально прозондированного софта и харда из NA.
вас не смущает, что ваше пищеварение - "основано на принципах", заложенных на примерно 500-м веке до НЭ, примерно ?
если смущает, то у меня для Вас - плохие новости.
Его, видимо, смущает что АНБ может без пароля пролезть в самую мякотку его пищеварения.
скорее наоборот - его смущает почему кто-то этим может быть недоволен.
судя по вопросу/прогону от постера.
