Kompleksowe szyfrowanie Google nie jest tym, na co wygląda

Nazywanie tego FUD może być nieco mocne, ale z pewnością istnieje duże zamieszanie dotyczące rozszerzenia Google Chrome ogłoszonego 3 czerwca 2014 r., Zwanego End-to-End. Po wydaniu rozszerzenie pozwoli na kompleksowe szyfrowanie wiadomości e-mail. Brzmi dość prosto, prawda? Ale tam zaczyna się zamieszanie, ponieważ większość ludzi miała wrażenie, że wiadomości Gmaila są już zaszyfrowane. I oni są. Cóż, trochę …

Czy Gmail nie jest już zaszyfrowany?

Najprostszym sposobem wyjaśnienia obecnego szyfrowania Gmaila jest przemyślenie wiadomości e-mail przesyłanej z komputera nadawcy do docelowego odbiorcy wiadomości e-mail. Podczas transportu wiadomości cyfrowe są szyfrowane za pomocą protokołu Transport Layer Security (TLS), protokołu zapewniającego bezpieczeństwo między aplikacjami klient / serwer, które komunikują się ze sobą przez Internet.

Błędne przekonanie pojawia się, gdy wiadomość spoczywa na nadawcy, serwerach pośrednich lub odbiorcy. W tych momentach wiadomość nie jest szyfrowana. Innym razem wiadomość nie jest szyfrowana, jeśli program pocztowy odbiorcy nie akceptuje wiadomości HTTPS (przy użyciu TLS). Dlatego eksperci twierdzą, że obecne szyfrowanie Gmaila nie jest „end-to-end”.

Google śledzi liczbę wysłanych wiadomości Gmaila, które są szyfrowane podczas transportu, a także liczbę wiadomości otrzymanych przez użytkowników Gmaila, które są również szyfrowane podczas transportu. Jak pokazano w poniższym raporcie, nawet 50 procent wiadomości Gmaila nie jest szyfrowanych.

Kompleksowe szyfrowanie nie jest nowe

Co ciekawe, istnieją prawdziwe aplikacje do szyfrowania poczty e-mail, ale w żadnym wypadku nie są one popularne. Dwa przykłady to PGP i GnuPG. PGP jest szczególnie interesujące, ponieważ jego twórca, Phil Zimmermann, miał poważne kłopoty z rządem USA, kiedy po raz pierwszy stworzył PGP. Powód? PGP było zbyt skuteczne.

Pytanie brzmi: jeśli możliwe jest szyfrowanie wiadomości e-mail od końca do końca, dlaczego ludzie jej nie używają? Odpowiedź: gdy wygoda i bezpieczeństwo kolidują, wygoda zwykle wygrywa. Obecnie szyfrowanie wiadomości e-mail jest skomplikowane, a korzystanie z nich jest uciążliwe. Do niedawna ludzie nie przejmowali się szyfrowaniem swoich wiadomości e-mail. (Dowiedz się więcej o prywatności i bezpieczeństwie w sekcji Co powinieneś wiedzieć o swojej prywatności w Internecie).

Inną komplikacją związaną z kompleksowym szyfrowaniem wiadomości e-mail jest to, że obie strony potrzebują zgodnego oprogramowania do szyfrowania. Jeśli programy nie są kompatybilne, wiadomość e-mail nie zostanie odszyfrowana. Tak więc, zamiast ryzykować brak odczytu e-maila, większość nadawców nie przejmuje się szyfrowaniem.

Co to jest Google End-to-End?

Programiści Google zdają sobie sprawę z powyższych problemów i stworzyli proces szyfrowania przyjazny dla użytkownika, „rozszerzenie Chrome, które pomaga szyfrować, deszyfrować, podpisywać cyfrowo i weryfikować podpisane wiadomości w przeglądarce za pomocą OpenPGP”. Spowodowałoby to umieszczenie nowej wersji Google szyfrowania wiadomości e-mail w kategorii „end-to-end”.

Rozszerzenie szyfrowania Google natychmiast wzbudziło zainteresowanie społeczności zajmującej się prywatnością. Jeśli End-to-End zrobi to, co mówi Google, rozszerzenie uniemożliwi Google zeskanowanie treści wiadomości, co Google robi teraz i rozważa strumień przychodów. We wpisie na blogu z 11 czerwca Jim Ivers, główny strateg ds. Bezpieczeństwa w Covata, oferuje oferty i wyjaśnienia.

„Zakładam, że Google jest skłonny wymienić to, co stracą w zaszyfrowanych danych, aby zatrzymać klientów w ekosystemie Google, ponieważ wydaje się, że martwi ich prywatność poczty e-mail” - pisze Ivers.

Czym nie jest Google od końca do końca

Eksperci od szyfrowania już kopią opony rozszerzenia i pojawiło się kilka potencjalnych problemów. Ponieważ jest to rozszerzenie do Chrome, proces szyfrowania będzie wymagał od nadawcy i odbiorcy korzystania z przeglądarek Chrome. Ostatnim razem, gdy sprawdzałem, Chrome był używany przez mniej niż 50 procent osób w Internecie.

Inne problemy polegają na tym, że kompleksowe usługi Google nie są obsługiwane na urządzeniach mobilnych; Wygląda na to, że załączniki pozostaną na razie niezaszyfrowane. Podsumowując, istnieje wystarczająca liczba punktów ujemnych, aby dać ekspertom powód, by wątpić w przyjęcie na dużą skalę.

Kilka przydatnych wskazówek na temat szyfrowania

Cały pomysł szyfrowania polega na zachowaniu prywatności między nadawcą a odbiorcą. Jedną rzeczą, którą nadawca powinien wziąć pod uwagę, jest to, co jeśli osoba, która otrzyma zaszyfrowaną wiadomość e-mail, przekaże ją bez szyfrowania? Jeśli wiadomość jest wystarczająco ważna, nadawca może chcieć uruchomić pewne elementy sterujące, które pozwalają odbiorcy tylko na przeglądanie, ale nie drukowanie, kopiowanie ani zapisywanie wiadomości.

„Lekcje są jasne: strzeżcie się dużych sprzedawców ekosystemów niosących prezenty, uważnie przeczytajcie szczegółowe informacje o licznych zastrzeżeniach i wyjątkach oraz przyjrzyjcie się całościowo szyfrowaniu”, pisze Ivers. To dobra rada, zwłaszcza jeśli weźmiesz pod uwagę, ile brakuje w nowym rozszerzeniu szyfrowania Google. Oczywiście najważniejszą rzeczą, której brakuje, jeśli chodzi o stosowanie wszelkiego rodzaju szyfrowania typu end-to-end, jest wygoda.

Wygoda jest kluczem

Google ma nadzieję, że dzięki nowej usłudze Chrome kompleksowe szyfrowanie stanie się łatwą opcją dla użytkowników. Mimo to Google jest realistyczny. Stephan Somogyi, menedżer produktu, bezpieczeństwa i prywatności, powiedział: „Zdajemy sobie sprawę, że tego rodzaju szyfrowanie będzie prawdopodobnie używane tylko w przypadku bardzo wrażliwych wiadomości lub osób potrzebujących dodatkowej ochrony”.

Google twierdzi, że End-to-End wciąż był wersją alfa i jest dostępny tylko dla społeczności programistów. Firma powiedziała, że ​​gdy uznają, że rozszerzenie jest gotowe i wolne od błędów, udostępnią je w sklepie Chrome Web Store. To niedoskonałe rozwiązanie w zakresie bezpieczeństwa, ale wciąż bardziej bezpieczne. Pytanie brzmi: czy ktoś będzie chciał go zainstalować?