Google integriert starke PGP-Krypto für Webmail direkt in Chrome

Für Nutzer von Googles Chrome-Browser soll es zukünftig deutlich einfacher sein, ihre Kommunikation hochgradig zu schützen. Dafür erweitert das Unternehmen sein Sicherheits-Konzept in dem Bereich nun um eine Ende-zu-Ende-Verschlüsselung. mehr... Verschlüsselung, Kryptographie, Pgp Bildquelle: Cqdx (CC BY 3.0) Verschlüsselung, Kryptographie, Pgp Verschlüsselung, Kryptographie, Pgp Cqdx (CC BY 3.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wenn da keine Hintertür drin ist, riecht das wie ein riesiger Mittelfinger in Richtung US Behörden :D
 
@CvH: ist Open Source, von daher wohl wirklich Mittelfinger. Bin auf die Reaktion der Microsoft-Fans gespannt, jetzt hat es sich wohl ausgescroogelt :)
 
@nicknicknick: Stichwort MS, ich weiß nicht ob es sowas, direkt von MS, für Outlook.com geben kann, da z.B. Outlook (das Mailprogramm von Office, Exchange, SharePoint usw. dürften das auch haben) eine andere Verschlüsselungsmethode S/MIME verwendet. Neben dem Umstand, das man dazu ein vertrauenswürdiges, nicht kostenloses, Zertifikat benötigt (ich glaube zumindest, das Outlook nur verifizierte Zertifikate zulässt), weiß ich nicht ob sich das überhaupt mit Javascript umsetzen lässt.
 
@CvH: Crypto im Browser kann so open source sein wie es will, wenn du deinen Private Key in den Browser laden musst, bist du am ******. Ist ein netter PR-Gag von Google, aber sicherheitstechnisch wertlos.
 
@Sam Fisher: ich habe das anders verstanden. wenn man zB bei facebook was schreibt liest facebook direkt die eingabe aus, in chrome wird das nun scheinbar unterbunden, da man das eingegebene via contextmenü verschlüsseln kann und es dann erst abgeschickt wird. das abgeschickte ist dann verstümmelt und lässt sich nur von jemandem mit dem key wieder entschlüsseln - erweiterungen dafür gab es schon vorher, nun aber von google und somit wird auch eine verwaltung für sowas in gmail kommen (früher nur via JS reingebastelt, nun nativ) - wenn der private key im eigenen browser gespeichert ist hat den dadurch kein anderer, vorausgesetzt der wird nicht von google auf allen geräten synchronisiert. bin gespannt wie die das "erleichtern" wollen, denn das hauptproblem ist ja die verteilung des schlüssels an den empfänger.
 
@CvH: Ging mir auch als erstes durch den Kopf. Alles was mit Verschlüsslung & US Unternehmen zusammenhängt kann man getrost...
 
Bei Google ist es wohl interessanter was sie mit deinen Daten machen wenn sie sie haben. Das auf dem Transportweg nichts mehr abgefangen werden kann ist lobenswert und wird auch von mir begrüßt. Nur wenn die Daten dann angekommen sind und von Goolge dann "weitergeleitet" werden, dann hat dieses Projekt nicht wirklich einen nutzen, ausser das man sich sicher fühlt es aber nicht ist.
 
@Atze78: Google sieht in diesem Fall nur verschlüsselte Daten.
 
Eigentlich eine Klassen Sache, aber wieso das:
"OpenPGP wird komplett in JavaScript neu implementiert"?
Wieso baut man die "komplette Schwachstelle JavaScript" ein?
Ist nicht eine in JavaScript implementiert Software ein Sicherheitsrisiko an sich, wobei das Plugin die Key-Sammlungen verschlüsselt in die Cloud ablegen soll?

Edit: wegen der Fehlinterpretation, JavaScript wieder voll ausgeschrieben.
 
@Kribs: Java != JavaScript.
 
@Kribs: Da spricht die geballte Inkompetenz. Tut mir leid, dass ich es so direkt sage. Ich versuche dich aber mal aufzuklären: JavaScript hat außer dem "Java" im Namen und einer ähnlichen Syntax nichts mit Java gemeinsam. JavaScript ist Webstandard und du wirst es schwer haben, eine Internetseite ohne JS zu finden.
Dann zu Java: Ja, es gibt Sicherheitslücken in Java. Diese werden mit Updates beseitigt - wie es sein sollte. Java als "generelle Sicherheitslücke" o.Ä. zu betiteln ist aber trotzdem falsch. Ich schweife hier mal nicht zu weit aus, weil das Thema hier - wie oben gesagt - nichts mit Java zu tun hat.
 
@matterno: Ich Endschuldige mich für die Faulheit, nicht mehr JavaScript nachfolgen voll ausgeschrieben zu haben.
Ich bedanke mich für die Titulierung der " geballte Inkompetenz" die ich dann wohl mit Größeren Geistern teilen darf.
Deine Behauptung zu JAVA sind im Grunde Zutreffend, anders sieht es aber mit JavaScript aus das seit jeher einen sehr schlechten Ruf (zurecht) hat, auf Grunde der mehrheitlichen Anwendungen die nicht zum Nutzen der User waren.
Trotz meiner Naiven " geballte Inkompetenz" halte ich mich lieber an die größeren Geister:
http://www.staff.uni-mainz.de/pommeren/DSVorlesung/Grundprobleme/JavaScript.html
http://molily.de/js/sicherheit.html#browser-schutzmechanismen
 
@matterno: Man kann sich auch den grössten Müllhaufen schönreden.
 
@matterno: Man soll es ja nicht, aber der theoretischen Bildung wegen, schau dir bitte nochmal das Thema "Kompetenzstufenentwicklung" und er daraus folgernden Inkompetenz an, nur für zukünftige Thematisch richtige Anwendungen.
 
@Kribs: weil man bei HTML5 in JAVASCRIPT eigene Elemente definieren kann, somit kein Add-On braucht.
 
@shriker: Wieso kein Add-on, oder meintest du Plug-In, es geht ein sowohl als auch?

Add-on = Nicht-eigenständige Modulare-Browsererweiterung (z. B. Toolbar) auch ein Kryptodienst
Plug-In = Eigenständige Browsererweiterung (z. B. Acrobat Reader)
Obiger Artikel, Letzter Satz: "Das Plugin soll außerdem....."
 
Heisst das dann dass sie keine Werbung mehr zu Mailinhalten anzeigen koennen? Theoretisch muesste das Ende-zu-Ende ja nicht einsehbar sein durch google
 
@-adrian-: Werbung können sie wohl weiterhin anzeigen, dann aber natürlich nicht mehr personalisiert.
 
@Overflow: Zumindest nicht mehr nach dem Inhalt. Aber der Header inklusive Subject liegt ja immer noch unverschlüsselt vor, oder?
 
@Johnny Cache: Stimmt, Header und Subject sind unverschlüsselt.
 
Sehr schön. Wenn sie jetzt noch eine brauchbare Lösung für Android Clients basteln könnte sich Verschlüsselung vielleicht doch irgendwann mal durchsetzen.
 
@Johnny Cache: Die Frage ist nur, ob und wann andere große Webmailer wie MS und vor allem die deutschen Anbieter nachziehen... Wo die doch angeblich so großen Wert auf Datenschutz legen ;)
 
@nicknicknick: Webmail ist ja schön und gut, aber so viel wie heute über Mobilgeräte läuft würde ich fast behaupten daß ein entsprechender Client mindestens genau so wichtig ist wie eine Umsetzung im Browser.
 
@Johnny Cache: Gibt es doch längst, K9 hat AFAIR seit Ewigkeiten PGP-Unterstützung
 
@nicknicknick: Jo, über das zusätzliche Programm APG, aber das hat sich bei mir nicht immer als sonderlich stabil erwiesen.
Massentauglich wird es erst werden wenn es auch im Google Mail Client verfügbar ist.
 
@Johnny Cache: Fänd ich auch gut, hoffentlich implementieren sie das!
 
@Johnny Cache: Wird sich nicht durchsetzen da sie sich ihr eigenes finanzielles Grab schaufeln wuerden
 
@Johnny Cache: T-Online, GMX, WEB.de, Freenet

seit ende April 2014
 
@LastFrontier: Ich glaube du wolltest eher o5 re:1 antworten, aber was du meinst ist vermutlich die SSL-Verschlüsselung, welche ja lediglich den Transport aber nicht den Inhalt betrifft.
 
@LastFrontier: Eine verschlüsselte Verbindung zum E-Mail Provider ist mit einer Ende-zu-Ende Verschlüsselung nicht wirklich vergleichbar ;)
 
@Overflow: Aber die Fernsehwerbung von web.de verspricht doch, dass alles sicher ist, made in Germany und so?! Und das ist NICHT sicher?! Ja klar, und gleich erzählst du mir noch, die Erde drehe sich um die Sonne!!
 
@eN-t: Da bist du auf die Fernsehwerbung reingefallen, einzig sicher ist nur die DE-Mail ;)
 
@LastFrontier: Thema verfehlt, Transportverschlüsselung bringt leider kaum was. Google handelt hier absolut vorbildlich für andere Webmailer, hoffentlich nehmen die sich ein Beispiel daran.
 
"Das Plugin soll außerdem auch auf verschiedenen Plattformen einsetzbar sein, wobei die Nutzer ihre Key-Sammlungen in einem eigens verschlüsselten Container über die Cloud synchronisieren können. "

Bitte? Ich kann mein Haus auch mit fünf Türen verriegeln, wenn ich freiwillig die Keys rausgebe kommt trotzdem jeder hinein.
 
@Michael96: Die Keys gibts du aber nicht raus, sondern diese liegen in einer Schachtel, die sich nur mit Passwort öffnen lässt.
 
@Overflow: Und wie sicher ist der Algo, wenn Geheimdienste praktisch unendlich viele Versuche haben den Container zu knacken? Ich finde es ein Unding Passwörter und Keys aller Art übers Internet zu synchronisieren.
 
@Michael96: Wenn der Algo gut ist, und man ein gutes Passwort wählt, dann hat die NSA da sicherlich einige Jahre lang freude dran. Auf jeden Fall ist es bedeutend sicherer, als die Mail unverschlüsselt zu senden.
 
@Overflow: Natürlich ist jede Verschlüsselung erstmal besser als keine. Ich meine ja auch nur diese unnötige Synchronisation der Keys übers Internet. Das ist einfach eine weiterer Angriffspunkt.
 
Das ganze hat drei grosse Fehler:

Google - Sicherheit - JavaScript

Mehr gibts dazu nicht zu sagen.

Edit: geändert
 
@LastFrontier: Fehler Nummer 3 ist ein Fehler bei dir: Java != JavaScript
 
@The_Xar: merci
 
Bester Schutz seiner Kommunikation: Keine Google-Dienste nutzen und schon gar nicht den Chrome-Browser. NSA is watching you ...
 
Wie gestern bei Truecrypt, die selben Argumente warum Bitlocker von MS so schlecht ist gibt es heute für Google. Mal sehen ob es morgen was von Apple und übermorgen was von Facebook zum Thema Verschlüsselung gibt, dann bräuchte man die Kommentare nur kopieren.
 
dürfte interessant werden. vor allem das sie ja bereitwillig mit behördern zusammenarbeiten (müssen).

evtl. hoffen die auch darauf das es nur 1-2% der nutzer nutzen werden. womit die bestimmt nicht falsch liegen werden.

edit:// also wenn deutsche anbieter nachziehen dann bestimmt als erstes posteo und mailbox.org
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte