Criptarea end-to-end a Google nu este ceea ce pare

S-ar putea numi FUD ar putea fi un pic puternic, dar cu siguranță există o mare confuzie cu privire la extensia Google Chrome anunțată 3 iunie 2014, denumită End-to-End. Când este lansată, extensia va permite criptarea de la capăt la sfârșit a mesajelor de e-mail. Pare destul de simplu, nu? Dar de aici începe confuzia, deoarece majoritatea oamenilor aveau impresia că mesajele Gmail erau deja criptate. Și ei sunt. Ceva de genul …

Gmail nu este deja criptat?

Cea mai simplă modalitate de a explica criptarea curentă a Gmail este să te gândești la mesajele de e-mail care călătoresc de la computerul expeditorului la destinatarul destinat. În timpul tranzitului, mesajele digitale sunt criptate prin Transport Layer Security (TLS), un protocol care oferă securitate între aplicațiile client / server care comunică între ele pe internet.

Concepția greșită intră în joc atunci când mesajul este în repaus la expeditor, servere intermediare sau destinatar. În acele puncte, mesajul nu este criptat. Altă dată mesajul nu este criptat este dacă programul de e-mail al destinatarului nu acceptă mesajele HTTPS (folosind TLS). Acesta este motivul pentru care experții spun că actuala criptare Gmail nu este „de la capăt”.

Google urmărește numărul de mesaje Gmail trimise care sunt criptate în timp ce sunt în tranzit, precum și numărul de mesaje primite de utilizatorii Gmail care sunt, de asemenea, criptate în tranzit. După cum se arată în raportul de mai jos, până la 50 la sută din mesajele Gmail nu sunt criptate.

Criptarea end-to-end nu este nouă

Este interesant faptul că există adevărate aplicații de criptare a e-mailurilor de la capăt la sfârșit, dar ele nu sunt în niciun caz populare. Două exemple sunt PGP și GnuPG. PGP este deosebit de interesant prin faptul că creatorul său, Phil Zimmermann, a intrat în probleme grave cu guvernul american atunci când a creat PGP. Motivul? PGP a fost prea eficient.

Întrebarea este că, dacă este posibil să criptați e-mail-ul la capăt, de ce oamenii nu îl folosesc? Răspunsul: atunci când comoditatea și securitatea se ciocnesc, comoditatea câștigă de obicei. Și în prezent, criptarea prin e-mail este complicată de configurat și o durere de utilizat. De asemenea, până de curând, oamenii nu erau preocupați de criptarea e-mailului. (Aflați mai multe despre confidențialitate și securitate în ceea ce ar trebui să știți despre confidențialitatea dvs. online.)

O altă complicație cu criptarea prin e-mail de la capăt la cap este că ambele părți au nevoie de software compatibil de criptare. Dacă programele nu sunt compatibile, mesajul de e-mail nu se va decripta. Deci, în loc să riscă să nu fie citite un e-mail, majoritatea expeditorilor nu se deranjează cu criptarea.

Ce este Google End-to-End?

Dezvoltatorii Google cunosc bine problemele de mai sus și au creat un proces de criptare care este ușor de utilizat, „o extensie Chrome care vă ajută să criptați, să decriptați, să semnați digital și să verificați mesajele semnate în browser folosind OpenPGP." Aceasta ar plasa apoi noua versiune a criptării prin e-mail a Google în categoria „de la capăt”.

Extensia de criptare Google a obținut imediat interesul comunității de confidențialitate. Dacă End-to-End face ceea ce Google spune, extensia va împiedica Google să scaneze corpul de mesaje, lucru pe care Google îl face acum și consideră un flux de venituri. Într-o postare pe blogul din 11 iunie, Jim Ivers, strategul de securitate pentru Covata, oferă și explică.

"Presupun că Google este dispus să tranzacționeze ceea ce ar pierde în datele criptate pentru a reține clienții în ecosistemul Google, părând a fi preocupați de confidențialitatea prin e-mail", scrie Ivers.

Ce nu este Google End-to-End nu este

Experții de criptare au dat deja pneurile extensiei și au apărut mai multe probleme potențiale. Deoarece este o extensie Chrome, procesul de criptare va necesita atât expeditorul cât și destinatarul să folosească browserele Chrome Web. Ultima dată când am verificat, Chrome a fost folosit de mai puțin de 50 la sută dintre cei de pe Internet.

Alte probleme sunt că Google End-to-End nu este acceptat pe dispozitivele mobile; se pare că atașamentele vor rămâne necriptate și deocamdată. În total, există suficiente puncte negative pentru a da punditilor motive să se îndoiască de adopția pe scară largă.

Câteva sfaturi utile despre criptare

Întreaga idee din spatele criptării este menținerea vieții private între expeditor și destinatar. Un lucru pe care ar trebui să îl ia în considerare expeditorul, și dacă persoana care primește e-mailul criptat îl transmite fără criptare? Dacă mesajul este suficient de important, expeditorul poate dori să instige anumite controale care permit destinatarului să vizualizeze, dar nu și să imprime, să copieze sau să salveze mesajul.

"Lecțiile sunt clare: aveți grijă de furnizorii mari de ecosistem care poartă cadouri, citiți cu atenție detaliile pentru numeroasele avertismente și excepții și luați o viziune holistică a criptării", scrie Ivers. Este un sfat bun, mai ales când aveți în vedere cât lipsește în noua extensie de criptare Google. Desigur, cel mai mare lucru care lipsește când vine vorba de adoptarea oricărui tip de criptare end-to-end este comoditatea.

Comoditatea este cheia

Google speră că noul său serviciu Chrome va face criptarea end-to-end să fie o opțiune ușoară pentru utilizatorii săi. Chiar și așa, Google este realist. Stephan Somogyi, manager de produse, securitate și confidențialitate, a spus: „Recunoaștem că acest tip de criptare va fi folosit doar pentru mesaje foarte sensibile sau de către cei care au nevoie de protecție suplimentară”.

Google spune că End-to-End a fost încă o alfa build și este disponibil numai pentru comunitatea de dezvoltatori. Compania a spus că odată ce consideră că extensia este pregătită și fără bug-uri, o vor face disponibilă în magazinul web Chrome. Este o soluție imperfectă pentru securitate, dar este încă mai sigură. Întrebarea este: se va deranja cineva să o instaleze?