Бесплатно Экспресс-аудит сайта:

05.06.2014

Официальное расширение для end-to-end шифрования в Gmail

Официальное расширение для end-to-end шифрования в Gmail

Подтвердилась информация о том, что для Gmail разрабатывают удобную поддержку PGP. Хотя отдельные эксперты говорили, что это никогда не случится, но Google всё-таки сделала это. Вчера официально опубликован исходный код End-to-End, расширения для браузера Chrome. Программа пока находится в стадии бета-тестирования. Как только разработчики посчитают, что она доработана до подходящего уровня, расширение опубликуют в каталоге Chrome Web Store.

Для расширения End-to-End пришлось разработать собственную версию криптографической библиотеки JavaScript, потому что существующие не удовлетворяли требованиям безопасности. Библиотека поддерживает эллиптические кривые, модульную арифметику и BigInteger, симметричное и асимметричное шифрование, а поверх неё работает реализация OpenPGP. За нахождение багов в библиотеке и расширении специалистам по безопасности выплачивается вознаграждения на условиях Vulnerability Rewards Program.

Приватные ключи хранятся в защищённой «песочнице» в участке оперативной памяти, который Chrome изолирует от всех остальных задач. При записи ключей в localStorage они предварительно шифруются. Разработчики предупреждают, что в случае активации функции «Автоматически сообщать статистику и краш-репорты в Google» участок памяти с секретными ключами может быть отправлен в Google.

Включив опцию шифрования для пользователей, компания Google автоматически лишится части доходов от таргетированной рекламы. Евангелист Google и один из основателей веба Винт Сёрф в конце 2012 прямо сказал: «Мы не можем работать, если всё вокруг зашифровано, потому что тогда мы не будем знать, какую рекламу вам показывать». После публикации документов от Сноудена позиция Google изменилась.

В принципе, PGP уже сейчас можно использовать с Gmail, хотя это делать не очень удобно. Например, есть GPG Tools и Mailvelope. Однако, новое расширение заметно повышает удобство работы.

Кроме выпуска End-to-End, компания Google опубликовала статистику по объёму доле зашифрованного трафика STARTTLS между её почтовыми серверами и серверами других операторов. С декабря 2013 года доля STARTTLS между почтовыми серверами выросла с 33% до 58%, в том числе исходящего трафика — до 65%, а входящего — до 50%.

Официальное расширение для end-to-end шифрования в Gmail