Hoe gecodeerde berichten op elke website uit te wisselen

Nadat de onthullingen van vorig jaar over internetsurveillance in de VS de belangstelling voor privacytools wekten, Google en Yahoo beide kondigden aan dat ze aan software werkten om mensen die hun e-maildiensten gebruiken gemakkelijk versleutelde berichten te laten uitwisselen.





nu een prototype browserextensie genaamd ShadowCrypt , gemaakt door onderzoekers van de University of California, Berkeley en de University of Maryland, gaat zelfs nog verder. Het maakt het gemakkelijk om versleutelde tekst te verzenden en te ontvangen op Twitter, Facebook of een andere website.

Met behulp van ShadowCrypt ziet een persoon die een tweet of e-mail schrijft of geautoriseerd is om te lezen normale tekst. De site-operator of iemand anders die de posting bekijkt of onderschept, ziet een onleesbare reeks letters en cijfers.

ShadowCrypt is gemaakt om te laten zien dat sterke codering zowel gebruiksvriendelijk als compatibel met populaire services zoals Twitter kan worden gemaakt, zegt Devdatta Akhawe , een beveiligingsingenieur bij Dropbox die hielp bij het ontwikkelen van ShadowCrypt als afstudeerstudent aan Berkeley. We wilden laten zien hoe je een praktisch, snel mechanisme kunt maken dat gemakkelijk te gebruiken is, zegt hij. Akhawe en collega's hebben ShadowCrypt getest op 17 verschillende grote webservices; het werkte min of meer foutloos op 14, inclusief Facebook, Twitter en Gmail.



PGP, software die voor het eerst werd uitgebracht in 1991, is waarschijnlijk de bekendste software voor gecodeerde berichten, maar het is notoir moeilijk te beheersen. Over het algemeen vereisen bestaande tools voor gecodeerde berichten vaak dat je moet overschakelen naar een nieuwe dienst, zoals Silent Circle (zie Een app houdt spionnen weg van je telefoon), of ze zijn erg onhandig.

Om ShadowCrypt te gebruiken, installeert u de extensie en maakt u vervolgens coderingssleutels voor elke website waarmee u deze wilt gebruiken. Een klein hangslotpictogram in de hoek van elk tekstvak is de enige indicatie dat ShadowCrypt de vervormde versleutelde versie verbergt die zal worden ingediend wanneer u op de verzend- of postknop drukt.

Andere mensen kunnen die tekst lezen als u hen de coderingssleutel geeft die is gebruikt om deze te maken om toe te voegen aan hun eigen ShadowCrypt-instellingen. Nadat ze dat hebben gedaan, lijkt elke tekst die ze zien die met die sleutel is versleuteld, normaal voor hen.



De onderstaande tweet is bijvoorbeeld perfect leesbaar voor iedereen die ShadowCrypt heeft geïnstalleerd, omdat deze is versleuteld met de standaardsleutel van de extensie voor Twitter.com. Voor elke site kunnen meerdere sleutels worden gemaakt en u kunt er gemakkelijk uit kiezen. U kunt bijvoorbeeld voor elke persoon die u veilig wilt e-mailen een andere gebruiken.

ShadowCrypt is nog steeds een onderzoeksproject, maar de onafhankelijke cryptografie-onderzoeker Justin Troutman zegt dat het ontwerp een nuttige nieuwe benadering van online beveiliging demonstreert.



Dat komt omdat het mensen een manier biedt om controle te krijgen over de beveiliging van de gegevens die ze in een webservice plaatsen, zegt hij. Vaker wordt de meeste aandacht besteed aan het beschermen van gegevens alleen als deze van en naar de servers van serviceproviders reizen. Het is een stap in de richting van het bouwen van een goedaardiger oppervlak voor interactie met web-apps, zegt Troutman.

Een krant op ShadowCrypt, waarvan de code open-source is, zal worden gepresenteerd op de ACM-conferentie over computer- en communicatiebeveiliging deze week.

zich verstoppen