Google добавит возможность включить End-to-End шифрование для GMail

Корпорация добра.

Для меня еще важный вопрос - а что насчет Hangouts?

ну да, ну да, шифрованию в браузере очень стоит доверять

А что не так? Вот будет у тебя по всем канонам собраный из сорцов FF или Chromium, почему бы и нет

А смысла в этом шифровании, если они по любому требованию госструктур США предоставляют любые данные?

ну всё равно будет много разных возможностей разными жабаскриптами тихо и выборочно скопировать плейнтекст и отправить гуглу :)

Набрать в текстовом редакторе и скормить gpg, а затем скопипастить выхлоп из консоли в браузер надёжнее

Что толку, если они предоставят зашифрованные данные? А вот ключами с адресатом лучше при физическом контакте обменяться

Что толку, если они предоставят зашифрованные данные?

Наивный

ну да, ну да, шифрованию в браузере очень стоит доверять

Тут важна совместимость с OpenPGP. Если у обычных пользователей будет возможность без особых проблем ифровать почту, то это сильно облегчит использование шифрования для параноикам.

Собственно ты или доверяешь браузеру или нет. Доверять ему возможно если ты нормальный человек или шапкофольгоносец, но собираешь его из исходников, надеясь что за тебя в сорцах проверили безопасность. Вот тогда и JS можно тоже проверить что никто никуда не будет ничего отправлять. А защита будет от чтения твоих писем самим сервером GMail, который ты никак не можешь верифицировать. Более того - эти данные не сможет прочитать шибко буйное АНБ, даже если оно с ног до головы обклеится судебными ордерами на то что ты Усама бен Ладен и Саддам Хуссейн в одном лице

Вот тогда и JS можно тоже проверить что никто никуда не будет ничего отправлять.

Тут основное недоверие к тому, что гугл может подсунуть какой-то другой JavaScript тому кому надо. Но если бы хотя бы 1% имейлов станет ходить шифрованным то это все равно вин ибо тогда будет проще затисаться среде этого 1% с шифрованием без браузера.

Согласен, подсовывание специального жаваскрипта тем, кто заинтересовал АНБ, тут изо всех щелей сквозит

Ну такими гадостями никто заниматься не будет и это не предусмотрено законодательством. Оно кстати в США работает если че

какие такие знания криптографии требуются для pgp?

Согласен, подсовывание специального жаваскрипта тем, кто заинтересовал АНБ, тут изо всех щелей сквозит

Всем подрят подсовывать не будут и это главное, т.к тех кто шифруется не в браузере будет куда сложнее отличить от толпы.

Ну такими гадостями никто заниматься не будет и это не предусмотрено законодательством.
и это не предусмотрено законодательством.

С чего ты это взял?

Оно кстати в США работает если че

То что работает это точняк, поэтому Lavabit прикрыли.

интересно, будут ли люди (найдутся ли?) кто будет закачивать в лапы Гугла (и АНБ) свой приватный GPG-ключик..? :)

здесь ведь нужно быть одновременно:

1. достаточно придвинутым, чтобы понимать что такое GPG и как вообще рабоать с этим.

2. достаточно профаном, чтобы не догадаться о том что если даже сегодня Javascript код и является безопасным — то ни кто не гарантирует что через секунду этот Javascript-код не будет заменён на опасный.

кстати да, а откуда оно будет брать и где будет хранить приватный ключ? :)

2. достаточно профаном, чтобы не догадаться о том что если даже сегодня Javascript код и является безопасным — то ни кто не гарантирует что через секунду этот Javascript-код не будет заменён на опасный.

Важно научить людей вообще пользоваться шифрованием, а потом можно какой-нибудь костыль прикрутить чтобы оно смогло юзать хардварный ключ типа этого: https://www.crypto-stick.com/

Пусть они сначала ssl в s2s в gtalk запилят.

Письма отправляют из почтового клиента, а не из.

Лучше всего на тему шифрования было написано у Стивенсона в Криптономиконе: хочешь надёжности? Только самописная прога, остальным доверять нифига нельзя. А если доверяешь, то вообще забей на все эти примочки для шифрования, кому надо - прочитают

аудит можно провести.

Epic fail. Вместо того, чтобы написать еще одну обертку на нативе под OpenPGP гугл пипит гугло-поделки. Можно же было написать прогу с няшным интерфейсом, с упрощенным функционалом. Нет, надо делать все через безопасный (ТМ) браузер гуглохром.

Хотят коммерсам продавать свои хромбуки.

какие такие знания криптографии требуются для pgp?

Сети доверия, например.

Вместо того, чтобы написать еще одну обертку на нативе под OpenPGP

Обёртку над GPL'ным gnupg? Многие хотели, но огороженность по линковке мешала, а вызов gpg через командную строку имеет свои недостатки.

Обёртку над GPL'ным gnupg?

Ресурсы гугла таковы, что они могут написать свою реализацию pgp. Вот только потенциал остается потенциалом.

Там похоже будет GNUPGP или что-то подобное использовано, поэтому все же стоит.

Что толку, если они предоставят зашифрованные данные?

это просто пиар ход, ибо закладка для гос. структур все равно будет

Автор намекает на то, что аудиторы тоже работают на ящериков

Мне кажется что ключ оно будет генерировать, а хранить в каком-то browser local storage

Ресурсы гугла таковы, что они могут написать свою реализацию pgp.

а они что сделали? причём совместимое со стандартом OpenPGP - то есть параноики легко смогут использовать свой софт, и не будут при этом слишком выделяться.
Да, это не спасёт если у собеседника фальшивый генератор случайных чисел - но исходники открыты, а идея что они будут подсовывать антиЗОГовским диссидентам отдельную кривую реализацию, по моему нелепа.

В общем, хорошая новость для всех, у чьих врагов нет квантовых компьютеров.

При имплементации алгоритмов тоже можно накосячить.

Они построили дом на кладбище индейцев. Вот что сделали.

У меня нет врагов среди инопланетных цивилизаций, потому квантовых компов не боюсь

Совсем недавно они ввели принудительное сохранение истории чата GTalk, а теперь предлагают End-to-End шифрование...