<div dir="ltr">Tom Mitchell writes:<br><div><blockquote class="gmail_quote">
> Google is putting a toe into the crypto world<br>
> for email.....<br>
<br>>  <a href="https://code.google.com/p/end-to-end/" target="_blank">https://code.google.com/p/end-to-end/</a><br>
<br>
> Source:<br>>  git clone <a href="https://code.google.com/p/end-to-end/" target="_blank">https://code.google.com/p/end-to-end/</a><br></blockquote><div><br></div><div>This is actually kind of interesting. The FAQ is quite clueful, and is aimed at developers. <br>

<br></div><div>What they've done is implemented OpenPGP with EC in Javascript,  as a plugin for the Chrome browser. At the moment only source code is available, and they request that developers not include it in fielded apps until its more baked. It generates only EC keys (haven't dug into the sources to find the details yet), but you can import RSA based keys generated by GnuPG. It maintains its own keyring, with both public and private keys. It encrypts message bodies, but not attachments, subject: or to: lines.<br>

<br></div><div>They're very aware of the criticism they'll get for doing crypto in JS. They feel they're protecting data in transit, and the sandboxing protects them against other Chrome extensions. They explicitly don't claim protection against non-browser malware.<br>

<br></div><div>Security bugs you find are eligible for the Vulnerability Awards program.<br><br></div><div>To me, one of the interesting aspects is that this breaks part of Google's business model; they wont be able to scan message bodies for keywords on which to target advertising.<br>

<br></div><div>Peter<br><br></div></div></div>