0

I am thinking about a simple, bullet proof password management solution (compare KeePass or lastpass) - only based on HTML and Javascript plus the PGP client package.

I already found the WebPG Chrome Plugin which allows easy encryption and decryption inside websites - but is there also a way to communicate with this plugion via javascript (for example "Encrypt contents of div #foobar with public keys A and B") or are there other ways to integrate PGP into Javascript?

A Chrome-only or Firefox-only solution would also be okay, but it has to be cross-OS (Linux, Win, Mac)

4

1 回答 1

4

您没有指定这是从网页上的 Javascript 启动,还是从特定用户操作启动。我假设您指的是在网页上运行的 Javascript,所以我将回答这个问题。

最简洁的答案是不; 网页目前无法通过带有 WebPG[1] (v0.9.4) 的 Javascript 启动 GnuPG 上下文操作。

长答案是否定的;还没有。也许永远不会...

已经有一些关于向 WebPG 提供这种机制的讨论,但是,需要对这种 API 的细节进行大量思考,因为它会在 WebPG 的操作中引入潜在的漏洞,具体取决于它是如何实现的.

我当然愿意招待/主持这样的对话,但它引出了一个问题:WebPG 是适合这项工作的工具吗?

WebPG(目前)的预期目的仅仅是为用户提供现成的工具,以在 Web 浏览器中执行 GnuPG/PGP 密钥管理和(用户启动的)GnuPG 上下文操作。没有什么说 WebPG 不能(或不应该)做更多的事情,但是这些“更多”都不应该危及既定的目的。

如果相信 WebPG 是适合这项工作的工具,那么至少必须发生以下情况 -

  • 对预期结果的全面分析
  • 概述如何达到该结果的细节
  • 全面分析潜在的安全威胁
  • 制定计划以减轻已识别威胁的方式实施这些细节

现在,WebPG 很可能不是适合这项工作的工具。在这种情况下,我只能向您指出其他实现 OpenPGP 或其某些变体的 Javascript 相关库 - 但由于我对这些库几乎没有经验,因此网络搜索可能会产生更全面的可用技术列表及其特定能力。

完全披露——我是 WebPG 的作者,无论我多么努力地消除任何偏见,一些偏见可能仍然存在。

[1] WebPG - http://webpg.org

于 2013-07-18T22:16:08.423 回答