• Ideas

Ideas of projects of privacy enhancing technologies (PET).

Next Generation end-to-end e-mail encryption

Currently e-mail encryption is either processed by a client-side fat client (e.g. GnuPG, Thunderbird, Enigmail) or at the (web) mail server. The first approach is immobile because it limits the user to a certain client device. The second approach may be insecure because the security depends on a server administrator. Portable solutions exist which could be used at different clients (e.g. in an Internet cafe) but are usually complex to use and insecure when secret keys are used in an untrusted environment.

In this project a client-side web application is developed which is capable to handle e-mail cryptography and overcome the described limitations of current email encryption implementations. The system will be capable to process encryption, decryption and basic key management functionality and be compatibility to OpenPGP and/or X.509 formats.

The following systems inspired this project:

• GPGMail Mobile (Introduction) Here is a JavaScript based crypto library (paper).

• Java-based web mail client. See Hushmail, drawbacks: proprietary code + keys stored on a server. Bouncycastle may help.

• An additional crypto service. See Freenigma, drawbacks: keys stored on a server + limited to Firefox

• A browser extension. See FireGPG and Domcrypt, Mozilla crypto object, drawbacks: limited to Firefox + limited to client computer

• OpenPGP Encryption in JavaScript (no complete system yet, single function only) and an improved implementation

The system will overcome these drawbacks and provide the following features:

• easy usage (no copy'n'paste) and seamless integration with existing email accounts
• Client independence: browser-based, no installation required
• E-mail provider independence: not bound to a specific e-mail provider
• Service provider independence: not bound to service provider, due to client-based architecture and Open Source license
• Secure key storage: no insecure key storage on servers (e.g. strongly encrypted keys or secure environment)
• Secure key management: based on X.509 hierarchical and/or OpenPGP web of trust model to defeat man-in-the-middle attacks
• Secure usage in untrusted environments such as Internet cafes

The solution could be developed in different programming languages and web technologies. The decision towards a specific language should be made together with the applicant. The student should be skilled in a web programming language such as Java, JavaScript, or ActionScript/Flash and should have experience in web technology in general. He/She should be interested in applied cryptography and experience in Open Source communication practices (e.g. mailing lists, forums, chat) may be useful.

Integration with the Crypto Stick

The following approaches exist to integrate the Crypto Stick with a web application

A

Der Zertifikatsmanager in Firefox bietet bereits die Funktionalität zur Anbindung von Smart Karten und zur Zertifikatsverwaltung und funktioniert auch mittels Crypto Stick. Dafür ist lediglich die Einbindung des PKCS#11 Treibers in Firefox nötig. Grundsätzlich sollte diese Funktionalität auch bei anderen Web Browsern zur Verfügung stehen. Mozilla Zertifikatsmanager: https://www.mozilla.org/projects/security/pki/psm/help_21/certs_help.html

Der Benutzer müsste: 1. In Firefox den PKCS#11 Treiber einbinden. In Firefox findet sich die Einstellung unter Einstellungen -> Erweitert -> Verschlüsselung -> Kryptographie Module -> Laden. Unser PKCS#11 Treiber findet sich hier: https://www.privacyfoundation.de/wiki/CryptoStickSoftware#PKCS.2311_Treiber 2. Einmalig ein Zertifikat erstellen. Diese Funktionalität kann durch jede beliebige Webseite ausgelöst werden. Siehe die folgende Testseite zur Generierung von selbstsignierten Zertifikaten: http://rente.naev.de/keygen.php 3. Anschließend müsste der Benutzer lediglich die Verwendung des Zertifikats bestätigen.

Bereits erfolgreich getestet haben wir die Anmeldung mittels Crypto Stick an Webseiten. Es wäre zu evaluieren, wie von der Webanwendung auf den Zertifikatsmanager zugegriffen werden kann und ob wirklich Entschlüsselung und Signaturfunktionalitäten genutzt werden könnten.

B

Alternativ zu in A) geschilderter Einbindung kann ein Java Applet direkt auf den Crypto Stick zugreifen. Hier ist ein Java Applet was genau dieses tut, allerdings funktioniert es nur mit der Vorgängerversion der OpenPGP Card (der Crypto Stick verwendet die OpenPGP Card Version 2, nicht Version 1).

• http://dev.primianotucci.com/openid/

• http://www.primianotucci.com/default.php?view=115

• http://sourceforge.net/projects/javaopenpgpcard/

C

Der Vollständigkeit wegen sei auf zwei Firefoxerweiterung verwiesen, die Emailverschlüsselung in zahlreichen Webmail Providern ermöglichen. Allerdings ohne den Crypto Stick verwenden zu können.

• http://www.freenigma.com/

• http://getfiregpg.org/