OpenPGP-модуль для Gmail

    Специалисты из немецкой компании Recurity Labs разработали JavaScript-реализацию стандарта OpenPGP (RFC 4880) для подписи и шифрования писем в почтовых веб-интерфейсах. Таким образом, PGP-криптография доступна прямо в браузере без установки дополнительного софта.



    Модуль GPG4Browsers реализован в качестве расширения для Google Chrome и работает только с Gmail, но не должно стать проблемой переделать его для другого браузера и/или почтового сервиса, ведь исходные коды открыты.

    GPG4Browsers позволяет шифровать и расшифровывать сообщения, подписывать и верифицировать подписи, импортировать и экспортировать сертификаты. Он поддерживает почти все ассиметричные и симметричные шифры и хэш-функции, указанные в стандарте OpenPGP.

    Скачать модуль можно здесь (исходный код опубликован под LGPL), для установки нужно открыть chrome://extensions, перейти в Developer Mode, выбрать Load unpacked extension... и указать папку с расширением.



    Хотя в интерфейсе есть кнопка для генерации ключей, на самом деле GPG4Browsers пока не умеет этого делать (наверное, добавят в будущем). После импорта ключа в адресной строке Google Chrome при заходе в Gmail появляется новый значок.



    По нажатию на него открывается отдельная форма для нового письма.



    Письмо можно подписать или зашифровать, выбрав секретный ключ из связки.

    Если вы хотите переделать GPG4Browsers под другой браузер, см. документацию для разработчиков.
    Поделиться публикацией

    Похожие публикации

    Комментарии 28
      0
      Ждем модуль под firefox
        +1
        FireGPG сделан несколько лет назад же.
          0
          И полтора года как заброшен.
            0
            А с тех пор многое поменялось в алгоритмах цифровых подписи/шифрования?
              +6
              С тех пор поменялась версия браузера.
                0
                grepular.com/FireGPG_on_Firefox_5 — сам не проверял, но мой опыт переписывания аддонов под FF4+ говорит, что это работа на два часа.
                  0
                  Окститесь, ибо грядёт на носу Firefox 9.
                  Работа может быть сколь угодно простой, но начальный тезис был в том, что расширения нет, и именно его я подтверждаю (в этом также легко убедиться, поискав в каталоге расширений).
                  0
                  >> С тех пор поменялась версия браузера.

                  Раза 3-4 за прошедший год, если не ошибаюсь. Но это, безусловно, вина разработчиков FireGPG, что в Mozilla не беспокоятся об обратной совместимости.
                    0
                    А где я кого-то обвинял? Я констатировал факт.
                  +1
                  Сам FireGPG-то работает, а вот поддержку GMail они дропнули со словами, что их задолбалось поддерживать постоянные изменения в гмыле, из-за которых плагин ломался.
                    0
                    А. Ой. Пардон, я не очень в теме.

                    Мне всегда казалось, что если есть нужда в шифровании/подписи и право на установку чего-нибудь на компьютер — проще тундербёрд какой взгромоздить, сейчас и gMail и Я.Почта отлично поддерживают IMAP.
                      +1
                      Кстати, спасибо за прекрасную опечатку ;-)

                      Я теперь всегда так буду шефу говорить, если он со своим «до утра надо» подвалит: «Простите, нас задолбалось и уходит домой».
              +5
              Ох… Иногда иллюзия защищённости хуже отсутствия защищенности.
                +6
                P.S.: для тех, кто не понял и минусует: я не против OpenPGP и шифрования почты как такового. Я против реализации шифрующих механизмов в настолько ненадёжном (с точки зрения доверия) рантайме, как js в браузере.

                Ведь никто не гарантирует, что базовые методы рантайма не будут подменены такими, которые просто вышлют ваши приватные ключи в неизвестном направлении.
                  0
                  Полностью с вами согласен, я таким вещам свои данные бы не доверил.
                    +1
                    О чем вообще можно говорить, когда у вас на машине что-то подменено?
                      0
                      js-рантайм можно подменить не только на вашей машине, но и на сайте, на котором будет выполняться этот плагин
                        0
                        Можно подменить набор функций, которые использует Gmail. Но разве упомянутый плагин как-то на них завязан?
                          0
                          например, на конструктор Array().
                          Подменяем его, смотрим на аргументы, фильтруем ненужное, и, вуаля, у нас есть ваш приватный ключ.
                            0
                            > например, на конструктор Array()
                            Но ведь это же часть стандартной библиотеки JS? Разве можно его просто взять и подменить, не влезая в JS-движок?
                            Я просто с JS не знаком близко.
                              0
                              да, можно
                    0
                    Даже несмотря на весь скепсис относительно безопасности, сама реализация довольна удобна. Надеемся, что подобные вещи будут развиваться.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      «без установки дополнительного софта»
                      «в качестве расширения для Google Chrome»
                      ага-ага
                        +4
                        JS для работы с приватными ключами? Ну нафиг.
                        Есть же WebPG для Chrome. Он общается с системным gpg-agent'ом через сокет. Таким образом, все криптографические преобразования и ввод пароля для разблокировки ключей происходят за пределами браузера.
                          +2
                          Стоп! При написании письма черновик постоянно сохраняется открытым текстом?
                            +1
                            плагин открывает новую вкладку для подготовки писька, оттуда автосохранения нет
                            0
                            Удобно, но не разу не безопасно. Браузер — одна из самых дырявых программ и доверять ей доступ к своему закрытому PGP-ключу как минимум глупо. Хотя если браузер запускать не под отдельным пользователем (или не в чруте), то разницы по сути никакой.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое