Google bekreftet i går de tidligere ryktene om at selskapet skal tilby en løsning for ende-til-ende-kryptering av e-post som sendes gjennom Gmail-tjenesten. Det dreier seg, i alle fall i første omgang, om en nettleserutvidelse til Chrome som rett og slett heter End-To-End.
Med ende-til-ende-kryptering i denne sammenheng, menes det at dataene vil bli kryptert i avsenderens nettleser. De vil forbli krypterte inntil den tiltenkte mottakeren dekrypterer dataene.
Det finnes mange verktøy for kryptering av e-post, men Google mener at mange av disse er for krevende å bruke. Noe av hensikten med End-to-End er derfor å gjøre det hele enklere.
Foreløpig er End-To-End på et alfastadium og bare tilgjengelig som kildekode. Google ønsker å involvere eksterne bidragsytere i evalueringen av nettleserutvidelsen, for å sikre at den er sikker før den virkelig tas i bruk. Som en ekstra gulrot er End-To-End allerede omfattet av Googles Vulnerability Reward Program.
Selve krypteringen er basert på standarden OpenPGP. Dette har blitt implementert i et nytt JavaScript-bibliotek.
– Det å implementere krypto i JavaScript blir ansett som kjettersk av noen. Da vi startet arbeidet med End-To-End, fantes det ingen JavaScript-kryptobibliotekter tilfredsstilte behovene våre, så vi bygget vårt eget. Under utviklingen vurderte vi all kritikken og risikoene som vi er kjent med, og la innsats i å dempe disse risikoene så mye som mulig, heter det på prosjektsiden.
Kildekoden er gitt ut med Apache License 2.0, noe som blant annet gjør det fullt mulig å benytte den i tilsvarende løsninger til andre nettlesere, dersom ikke Google selv kommer med dette etter hvert.
Det man skal være klar over, er at End-To-End kun krypterer meldingskroppen til e-posten. Det betyr at informasjon som tittel og mottakere vil være tilgjengelig i klartekst.
End-To-End skal gjøres tilgjengelig i Chrome Web Store, men ikke før den er klar for «primetime». Google har ikke antydet noe tidspunkt for dette.
Leave a Reply