Jun 222011
 

Tja, da sieht man mal wieder, wie schnell einen neue Entwicklungen überrollen und liebgewonnene Wahrheiten plötzlich falsch sind.

Der Dienst encipher.it verschlüsselt tatsächlich nicht (wie von mir zunächst angenommen) auf dem Server des Anbieters (was bedeuten würde, daß man den zu verschlüsselnden Text im Klartext an diesen sendet). Das angebotene Bookmarklet lädt nämlich tatsächlich eine JavaScript-basierte Implementierung der Algorithmen AES und SHA-1 in den Browser herunter, der sie dann direkt ausführt.

Hiermit nehme ich also meine etwas voreilige Bewertung zurück. Eines möchte ich bezüglich der Sicherheit des Dienstes aber noch zu bedenken geben: im Gegensatz zu einer normalen ‘offline’-Cryptolösung werden die Bibliotheken von encipher.it bei jedem Einsatz neu vom Server des Anbieters geladen. Man muß diesem also durchaus ein gewisses Maß an Vertrauen entgegenbringen. Dieser Nachteil wird allerdings durch die Tatsache aufgehoben, daß die .js-Dateien im Klartext vorliegen und damit jederzeit von jedem kontrolliert werden können.

Vielen Dank an Andi Heilemann für seinen Korrekturhinweis!

 Posted by at 7:42

  One Response to “Update: encypher.it – Verschlüsselung im Browser”

  1. ich hab mit dem entwickler gesprochen und er hat angekündigt, dass er demnächste eine offline version des bookmarklets bringen wird und auch eine extension für chrome bzw. addon für firefox.

    hat also einige vorteile zb. gegenüber firegpg

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)