Компания Google достигла определённого прогресса в разработке «дружественной» криптографической программы End-to-End для шифрования электронной почты по PGP. Сейчас стало известно, что помощь в разработке программы оказывает Yahoo. Тем временем, код расширения выложен на Github.
Разработка программы, расширения для браузера Chrome, началась в апреле 2014 года. В июне был опубликован исходный код End-to-End. Программа пока находится в стадии альфа-тестирования и ещё не готова для публикации в Chrome Web Store. Пока не удалось решить проблемы с надёжным и удобным управлением ключами.
Для End-to-End пришлось разработать собственную версию криптографической библиотеки JavaScript. Библиотека поддерживает эллиптические кривые, модульную арифметику и BigInteger, симметричное и асимметричное шифрование, а поверх неё работает реализация OpenPGP. Приватные ключи хранятся в защищённой «песочнице» в участке оперативной памяти, который Chrome изолирует от всех остальных задач. При записи ключей в localStorage они предварительно шифруются.
В последнюю версию End-to-End добавлен код, написанный Алексом Стамосом (Alex Stamos), директором по безопасности Yahoo, и другими сотрудниками отдела безопасности Yahoo.
Добавлена новая документация в wiki проекта, чтобы разработчикам и специалистам по безопасности было проще разобраться, как конкретно здесь реализована модель шифрования.
Уже выплачены и первые вознаграждения по программе Vulnerability Rewards за нахождение уязвимостей в расширении End-to-End. В то же время разработчики подчёркивают, что сама криптобиблиотека не вызывает особых нареканий: для неё подано очень мало баг-репортов и она уже используется в некоторых сторонних проектах.
Не секрет, что включив опцию шифрования для пользователей, Google автоматически лишится части доходов от таргетированной рекламы, так что компания сознательно идёт на убытки ради повышения лояльности аудитории. Впрочем, убытки будут небольшими. Опыт показывает, что такого рода расширения устанавливает ничтожно малая часть аудитории.