AB JETZT LIEST KEINER MEHR MIT
gpg4o
E-Mails einfach und sicher
verschlüsseln

AB JETZT LIEST KEINER MEHR MIT

gpg4o

E-Mails einfach und sicher

verschlüsseln

Kompatibilität gpg4o und Google Chrome „End-To-End“

Einleitung

Google’s End-To-End (E2E) ist (Stand Juli 2014) eine experimentelle Erweiterung für Chrome (Chrome ist ein Internet-Browser von Google), die sich derzeit noch im Alpha Stadium befindet. Daher liefert Google derzeit keine fertige Version im Chrome-Web-Store aus. Die Erweiterung kann jedoch selbst mit etwas Entwicklungsknowhow kompiliert und verwendet werden. Dieses Howto beschreibt, wie eine Kommunikation zwischen diesen beiden Verschlüsselungslösungen aufgebaut werden kann.

Was muss man tun, damit Google’s End-To-End mit gpg4o verschlüsselt kommunizieren kann?

E-Mails können direkt von E2E zu gpg4o verschlüsselt versendet werden, sobald man den öffentlichen Schlüssel eines OpenPGP  Schlüsselpaares in Chrome importiert hat.

In die andere Richtung funktioniert es aktuell nur dann, wenn man sich das Schlüsselpaar für Google’s End-To-End nicht von E2E erzeugen lässt. Schlüssel, die E2E erzeugt, setzen einen anderen, in der E-Mail-Verschlüsselung wenig verbreiteten Algorithmus ein, der von GnuPG bislang nicht unterstützt wird. Hieran wird seitens GnuPG zwar gearbeitet, aber im Augenblick lassen sich die öffentlichen Schlüssel von E2E nicht in GnuPG importieren und können somit auch nicht mit gpg4o verwendet werden.

Der Workaround ist die Verwendung eines RSA Schlüssels, wie ihn z.B. gpg4o mit Hilfe von GnuPG erzeugt. Diesen Schlüssel können Sie aus gpg4o exportieren (siehe gpg4o Handbuch), um ihn dann in E2E zu importieren.

Vorsicht: Im Augenblick ist unklar, wie sicher die Schlüsselverwaltung von E2E ist. Beim Import der privaten Schlüssel werden deren Passphrasen entfernt, so dass man in E2E nie eine Passphrase eingeben muss. Das ist zwar komfortabel, aber im Hinblick auf die Sicherheit bedenklich. Es wird lediglich der gesamte „Schlüsselbund“ auf der Festplatte mit nur einem Passwort verschlüsselt. Im Arbeitsspeicher liegen alle Schlüssel entschlüsselt vor und sind nicht mehr durch ein individuelles Passwort geschützt.

Wie importiere ich einen Schlüssel in die Chrome-Erweiterung?

  • Klicken Sie mit der rechten Maustaste oben rechts auf das Icon der Erweiterung.Schlüsselimport in Google Chrome End-To-End
  • In diesem Kontextmenü wählen Sie „Optionen“ aus.
  • In den sich öffnenden Einstellungen klicken Sie im Bereich „Keyring management“ auf „Import a keyring“Importdialog: Google Chrome End-To-End Keys and Settings
  • Wählen Sie Ihren exportierten (privaten) Schlüssel und klicken Sie auf „Import“.Import Keyrings and Settings in Google Chrome End-To-End Verification
  • Die Frage ob Sie diesen Schlüssel importieren möchten, können Sie mit „OK“ bestätigen.
  • Nach der Eingabe der Passphrase haben Sie es geschafft!

Sie können nun mit diesem Schlüssel sicher mit gpg4o kommunizieren! Nochmals: VORSICHT! Die Passphrase des einzelnen Schlüssels wird bei einem Import entfernt! Experimentieren Sie bitte nicht mit einem für vertrauliche Kommunikation in Gebrauch befindlichen Schlüsselpaar.

Achten Sie beim Verteilen des öffentlichen Schlüssels darauf, dass Sie Ihren RSA-Schlüssel verteilen, da neben gpg4o auch viele weitere Programme derzeit nicht mit dem EC-Format arbeiten.

Fazit:

Googles End-To-End Verschlüsselung befindet sich noch in einem frühen Stadium. Der Austausch von reinen Text-Nachrichten funktioniert mit gpg4o reibungslos, allerdings können derzeit (Juli 2014) weder HTML Nachrichten noch Anhänge ausgetauscht werden.

Wenn die Entwicklung der Erweiterung weiter voranschreitet, könnte es zu einer möglichen Ergänzung zum Outlook-AddIn gpg4o werden.

Das von der Chrome-Erweiterung eingesetzte Kryptografie-Verfahren wird neben den österreichischen Bürgerkarten auch in den meisten europäischen Reisepässen (darunter auch Deutschland) genutzt um die elektronisch gespeicherten Daten zu schützen. Und in nicht allzu ferner Zukunft auch von GnuPG unterstützt. Angeblich nutzt selbst die NSA dieses Verfahren für ihre internen Daten der Geheimstufe SECRET und TOP SECRET.

Anmerkung: How safe are private keys in memory?

In memory, the private key is sandboxed by Chrome from other things. When private keys are in localStorage they’re not protected by Chrome’s sandbox, which is why we encrypt them there. Please note that enabling Chrome’s „Automatically send usage statistics and crash reports to Google“ means that, in the event of a crash, parts of memory containing private key material might be sent to Google.

Quelle: https://code.google.com/p/end-to-end/

Weiterführende Informationen:

Projektseite: https://code.google.com/p/end-to-end/
Eingesetztes Verfahren: http://de.wikipedia.org/wiki/Elliptic_Curve_Cryptography