{"id":778,"date":"2014-06-05T07:15:19","date_gmt":"2014-06-05T05:15:19","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=778"},"modified":"2014-06-05T07:27:26","modified_gmt":"2014-06-05T05:27:26","slug":"google-will-ende-zu-ende-verschluesselung-in-den-browser-bringen","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/google-will-ende-zu-ende-verschluesselung-in-den-browser-bringen\/","title":{"rendered":"Google will Ende-zu-Ende-Verschl\u00fcsselung in den Browser bringen"},"content":{"rendered":"

Beim St\u00f6bern im Internet bin ich \u00fcber mehrere Artikel gestolpert, die von Googles Pl\u00e4nen berichten, eine Ende-zu-Ende-Verschl\u00fcsselung<\/a> f\u00fcr den Chrome Browser zu entwickeln.<\/p>\n

So bin ich auch auf einen Artikel in Googles Security Blog gesto\u00dfen. Google schildert in diesem Blog die Absicht, eine „End-to-End“ Erweiterung f\u00fcr den Chrome Browser zu entwickeln, um die Benutzung von sicherer Ende-zu-Ende-Verschl\u00fcsselung f\u00fcr den Anwender zu vereinfachen.[1. Making end-to-end encryption easier to use<\/a> (englisch)]<\/p>\n

Die Chrome Erweiterung ist jedoch noch nicht erh\u00e4ltlich. Google hat in einem ersten Schritt den Quellcode der Erweiterung ver\u00f6ffentlicht, um ein Code-Review<\/a> durch die Internet Community zu erm\u00f6glichen. Mit dieser Ma\u00dfnahme m\u00f6chte Google das Risiko von Fehlern und Schwachstellen im Quellcode minimieren und das Vertrauen in die Erweiterung st\u00e4rken.<\/p>\n

Auf jeden Fall ist dies ein Schritt in die richtige Richtung. Sind die heute verf\u00fcgbaren Tools wie PGP<\/a> oder GnuPG<\/a> doch den meisten Anwendern zu kompliziert in der Anwendung.[2. Der steinige Weg zu Verschl\u00fcsselter Kommunikation<\/a>]<\/p>\n

Doch wird Google wohl auch noch einige Zweifel ausr\u00e4umen m\u00fcssen. Als US-Konzern unterliegt Google auch der US-Gerichtsbarkeit. Ich frage mich, ob die US-Beh\u00f6rden nicht etwas dagegen haben, wenn Google seinen Kunden eine sichere Kommunikationsverschl\u00fcsselung anbietet, welche den Inhalt von E-Mails auch vor den Augen neugieriger NSA-Agenten sch\u00fctzt.<\/p>\n

Musste doch im vergangenen Jahr der E-Mail Anbieter Lavabit seinen Betrieb einstellen, da ihn US-Beh\u00f6rden mutma\u00dflich zur Entschl\u00fcsselung und Herausgabe von Kundendaten aufforderten. Warum sollte Google nicht \u00e4hnlicher Druck drohen, wenn sie nicht eine Hintert\u00fcr f\u00fcr die Beh\u00f6rden offen lassen?[3. Heise Artikel zum Ende von Lavabit<\/a>]<\/p>\n

Google hat neben dem Blogpost auch eine Projektseite geschaltet, welche neben dem Quellcode auch einige FAQs bereit h\u00e4lt.[4. Google End-to-End (englisch)<\/a>] Diesen ist zu entnehmen, dass die Erweiterung auf OpenPGP<\/a> basiert, welches einen offenen und sicheren Standard darstellt. Nur ein einziger Abschnitt tr\u00fcbt die aufkommende optimistische Stimmung:<\/p>\n

Are the private key(s) kept in memory, are they always purged after every operation, or is there a passphrase cache?<\/p>\n

The private keys are kept in memory unencrypted. We recommend making sure your keyring has a passphrase so that private keys are stored encrypted in localStorage.<\/p>\n

How safe are private keys in memory?<\/p>\n

In memory, the private key is sandboxed by Chrome from other things. When private keys are in localStorage they\u2019re not protected by Chrome\u2019s sandbox, which is why we encrypt them there.<\/p>\n

Please note that enabling Chrome\u2019s „Automatically send usage statistics and crash reports to Google“ means that, in the event of a crash, parts of memory containing private key material might be sent to Google.<\/p><\/blockquote>\n

Auf Deutsch, \u00f6ffnet man den Schl\u00fcsselbund durch Eingabe seiner Passphrase, wird der private Schl\u00fcssel in den Arbeitsspeicher geladen. Hat man in seinem Chrome Browser die Funktion aktiviert, automatisch Nutzungsstatistiken und Fehlerberichte an Google zu senden, k\u00f6nnte im Falle eines Browserabsturzes der private Schl\u00fcssel mit an Google \u00fcbertragen werden. Wenn das passiert, bleibt nur das genutzte Schl\u00fcsselpaar zu sperren und sich ein Neues zu erstellen. Oder man schaltet von vornherein die Funktion zur \u00dcbermittlung von Nutzungsstatistiken und Fehlerberichten an Google ab.<\/p>\n

Ob im Quellcode der End-to-End Erweiterung eine Funktion versteckt ist, um den privaten Schl\u00fcssel an Google oder einen dritten zu \u00fcbermitteln, kann ein Code-Review durch die Community zeigen. Ob eine entsprechende Version im Chrome Browser selbst versteckt ist, wird hingegen nicht so schnell festzustellen sein, da der Quelltext nicht komplett offen liegt.<\/p>\n

Ehrlich gesagt w\u00fcrde ich mich sicherer f\u00fchlen, wenn eine solche Funktion von einem Unternehmen entwickelt w\u00fcrde, das an deutsche Gesetze gebunden ist. Darum bin ich umso mehr gespannt, was die Community und Security-Experten zur neuen Erweiterung sagen. Ich bleib auf jeden Fall dran und halte euch auf dem Laufenden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Beim St\u00f6bern im Internet bin ich \u00fcber mehrere Artikel gestolpert, die von Googles Pl\u00e4nen berichten, eine Ende-zu-Ende-Verschl\u00fcsselung f\u00fcr den Chrome Browser zu entwickeln. So bin ich auch auf einen Artikel in Googles Security Blog gesto\u00dfen. Google schildert in diesem Blog die Absicht, eine „End-to-End“ Erweiterung f\u00fcr den Chrome Browser zu entwickeln, um die Benutzung von [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[1],"tags":[250,249,251,210,79,211,252,37,213],"class_list":["post-778","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-browser","tag-chrome","tag-end-to-end","tag-gnupg","tag-google","tag-openpgp","tag-pgp","tag-sicherheit","tag-verschluesselung"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/778","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=778"}],"version-history":[{"count":4,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/778\/revisions"}],"predecessor-version":[{"id":782,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/778\/revisions\/782"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=778"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=778"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=778"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}