Google realisiert Ende-zu-Ende-Verschlüsselung in E-Mails per Chrome-Erweiterung
Mitte April wurde bekannt, dass Google daran arbeitet, E-Mails mittels OpenPGP zu verschlüsseln. Ausschlaggebend ist hier, dass Google dies nutzerfreundlich gestalten will. Jetzt teilt Google mit, dass eine entsprechende Browser-Erweiterung für Google Chrome in einer Alpha-Version verfügbar ist, die auf den einfallsreichen Namen End-To-End hört. Über die Erweiterung werden entsprechende Mails verschlüsselt den Browser verlassen und auch verschlüsselt ankommen, die Entsperrung erfolgt dann auf einfache Weise über die Erweiterung.
Aktuell ist die Erweiterung noch nicht im Chrome Web Store verfügbar, die Community soll die Erweiterung erst testen, entsprechenden Code findet man an dieser Stelle. Wenn etwaige Fehler ausgebügelt sind, was bei einer solchen Erweiterung natürlich extrem wichtig ist, wir diese auch im Chrome Web Store verfügbar und mit jedem Web-Mailer verwendbar sein. Wer nicht so lange warten möchte, kann sich auch einmal Mailvelope anschauen, Carsten hat dazu eine ausführliche Anleitung geschrieben.
Hoffentlich wird das was.
Den Aktionären dürfte das wohl nicht wirklich gefallen.
Klingt spannend. Ich frage mich wie das umzusetzen sein soll. Die entscheidende Frage wird sein, wie der private Schlüssel erzeugt wird und wo der abgelegt ist. Wenn der bei Google liegt kann man das ganze auch wieder vergessen.
Woher weiß ich ob mein Gegenüber das unterstützt?
Wenn ich die Extension richtig verstehe, ist das nicht nur auf E-Mails beschränkt. Theoretisch könnte man damit auf jeder Seite Inhalte nach dem OpenPGP-Standard ver- und entschlüsseln (wobei E-Mails da sicherlich die Hauptanwendung sind).
@stefan: Die privaten Schlüssel werden im Arbeitsspeicher abgelegt. Ein paar Antworten gibt’s hier: https://code.google.com/p/end-to-end/
@Xani: das Prinzip ist, dass du mit dem öffentlichen Schlüssel deines Kommunikationspartners verschlüsselst – die Nachricht lässt sich dann nur mit seinem geheimen Schlüssel wieder entschlüsseln. Ohne den öffentlichen Schlüssel deines Gegenübers geht es gar nicht, den muss sie dir zuerst zur Verfügung stellen etwa über Keyserver.
@sYndrom: Danke, hab ich auch gerade gesehen. So wie ich es verstanden habe soll der private Schlüssel tatsächlich lokal erzeugt werden und auch lokal bleiben. Nur in den crashreports die man Google schickt könnten Teile des Schlüssels sein – die sollte man dann also abschalten. (Ganz abgesehen davon, dass ich selbst nicht in der lage wäre genau zu überprüfen ob dieses System vertrauenswürdig ist. Aber das ist kein spezielles Problem dieses Systems)
Sehr coole Aktion, aber da gibt es doch bereits unter https://www.mailvelope.com ?
Praktisch, über die chromeErweiterung kann google noch alle wichtigen Daten für sich mitschneiden, der Staat bleibt aber außen vor.
Sehr gut. Nur wenn große Mailprovider wie Google ein benutzerfreundliches System für OpenPGP implementieren, wird sich das auch im Mainstream durchsetzen.
Eine Schande für die großen deutschen Mailprovider (wie gmx, web.de oder T-Online), dass sie das mit Aktionen wie „email Made in Germany“ bisher verpasst haben.
Solange das innerhalb des Browsers passiert, kann Google die Daten problemlos vor der Verschlüsselung abgreifen, ergo total sinnfrei. Zudem ist Chrome im Gegensatz zu Chromium nicht OpenSource, kann also keiner prüfen, was da abgeht.
Ganz abgesehen davon, als US-Unternehmen haben sie sich deren Regeln zu beugen, selbst wenn erst heute ein NSAler das in den Nachrichten liest, hat Google doch schon längst Post von denen.
@Moritz
Nun nur weil es das schon gibt, heißt es ja nicht, dass es nicht noch jemand einführen kann 😉
Und wenn Google das ganze benutzerfreundlich und easy für alle zu bedienen einbindet, evtl. zukünftig direkt in GoogleMail ohne Addon, wäre das sicherlich vörderlich für die Verbreitung.
@Mike
Das läuft per Javascript, wird also nichts versendet, ist OpenPGP und es lässt sich prüfen ob Google die Daten abgreift. Ob jemand Unabhängiges letzteres prüft ist natürlich eine andere Sache.
Alternativ gibt’s das schon genannte https://www.mailvelope.com/
@Mike
Solange es nur Google und die NSA ist 🙂
Der deutsche Staat verkauft deinen kompletten Datensatz z.B. an die GEZ und auch an andere Unternehmen, wenn du dem nicht widersprichst etc. …
Erst die Gefahren hier beseitigen, dann kann man über die NSA etc. lästern.
@qwertzman,
ist schon klar, dass das in Client-seitigem JS läuft, dennoch, was hindert nun Google daran, das auszulesen? Das JS läuft im Browser und der kann nunmal jeden Tastenanschlag mitlesen, bevor das Textfeld es bekommt und JS sich darum kümmern kann.
Ob das jetzt Google, NSA, BND oder wer auch immer mitliest ist irrelevant, fakt ist, es geht. Wenn man den Text ausserhalb des Browsers verschlüsseln und dann C&P’n würde, wäre das was anderes, so ist das ein Feigenblatt.
Die Erweiterung ist open-source, bleibt mal locker. Schreibt am besten gar nichts mehr in eurem Browser, jedes Wort kann „von der NSA gelesen werden“.
@Topic:
Hab die Erweiterung mal kompiliert und installiert, macht das Arbeiten mit PGP wirklich einfacher.
So lange der Browser selbst closed-source ist, was ja der Fall ist, solange bringt es nix, wenn der Code der Erweiterung verfügbar ist.
Es geht auch nicht darum, nix mehr im Browser zu schreiben, es geht darum zu zeigen, dass das nicht sicher ist. Das kann für einige Leute auf der Welt böse nach hinten losgehen, wenn sie das im glauben der Sicherheit verwenden – und bevor einer fragt, nein, ich meine damit keine Kriminellen oder Terroristen, ich meine Leute in Asien/Afrika, Reporter, etc.
Du kannst auch gerne Chromium installieren 😉
So wenig ich Googles Datensammelwut mag, so sehr wünsche ich mir, dass sie ein ordentlich zu benutzendes Browser-Addon programmieren, welches ggf. erweiterbar ist, sodass auch andere Webclient als Google Mail damit nutzbar sind.
Mailvelope nutze ich momentan in meinem Webmailer Roundcube. Leider scheint der Entwickler des Plugins es selbst nicht zu verwenden. Sonst hätte er sicher gemerkt, dass es unmöglich ist, auf eine verschlüsselte Nachricht zu antworten und den vorherigen Text als Zitat einzufügen.
Klar, es geht. Mit sehr viel Umwegen, 20 Klicks und einem Rauskopieren in ein temporäres Textfile. Aber das ist dann auch wieder recht unsicher, weil so der Originaltext aus der Webanwendung rauswandert. Und es ist absichtlich nicht praktikabel.
SecureGmail ist eine Erweiterung die das schon jetzt realisiert. http://bit.ly/1p90TEH