Mailvelope

  • Hallo zuammen,


    nachdem FireGPG verstorben ist, scheint mal wieder ein Addon für Chrome und FF in Arbeit zu sein, das OpenPGP-Verschlüsselung für Webmail beherrscht, Mailvelope.
    Es hat den Vorteil (oder Nachteil?), kein gpg zu benötigen, weil es in Javascript implementiert ist und die nötige Funktionalität mitbringt.
    Was meint ihr? Das FF-Addon scheint noch nicht ganz fertig zu sein ("An early preview can be found in the GitHub"), das für Chrome schon.
    Hat jemand Lust zum Testen?
    Bei allen Vorbehalten gegenüber Webmail, ich würde es begrüßen, wenn es einen funktionierenden Ersatz für FireGPG gäbe.
    (Gefunden bei Caschy)


    Gruß, muzel

  • Ich hol dafür mein Denglish raus ;)


    Gefühlte 95% der Kryptosoft failen wegen der Implementierung. Selbst GPG hatte einige Stolpersteine zu nehmen. Man erinnert sich an das mistake mit der random number generierung, die nur zufällig einem zufällig vorbeischauenden und kurz interessiertem Progger auffiel.


    Koch "traut sich" ja seit Urzeiten noch nichtmal originalerweise die zlib aufzufrischen...


    Selbst 2er PGP war weniger gepimpt, sondern mehrere Male schlicht nur zugeflickt.


    Neustes Beispiel für sowas waren ja die Abertausenden RSA-Keys aus Mikro- und Minidevices, die waked Keys generierten. Übrigens wegen der random numbers collection.


    Deswegen ist für mich eine Implementierung die kein GPG nutzt, theoretisch gesehen, wertlos.
    Praktisch gesehen wird das Kauderwelsch, was dabei rauskommt, wahrscheinlich gegen gewöhnliche Kommerz sicher.


    Im Gründe sind wir aber auch keine Terroristen, Kriminelle oder Geheimdienstmitarbeiter, sondern nutzen das Zeug eher aus Prinzip. Und prinzipiell gesehen ist so eine Implementierung erstmal völlig weaked, bevor sie 1-2 Jahre lang durch die Kryptos in die Mängel genommen wird. Und die interessieren sich ja auch nicht für jeden Pups.
    Andererseits ist im Gegensatz zum irgendwohin eingeschobenen AES-Getöse in z.B. WinRAR (wackelte auch schonmal!) die Analyse von public key Verfahren leider nichts was das dritte Semester ernsthaft erledigen kann. Dazu hat es bis jetzt immer nur TOP Namen gebraucht.


    Ohne den Kode gesehen zu haben: Nutzt die Implementierung auch noch viele/einige Funktionen der Js-Engine, hängt die theoretsiche Sicherheit auch noch vom Browser selbst ab. Da läßt sich von Version zur Versionen des Brwosers - also auch der Js-Engine - einiges versemmeln aka optimieren, wie man auch bereits weiß.


    Theoretisch gesehen ist das also alles SEHR SEHR wackelig. Praktisch gesehen wird es wahrscheinlich egal sein ;)