Зміст:
- Чи Gmail уже не зашифрований?
- Шифрування від кінця до кінця не нове
- Що таке Google "Кінець у кінець"?
- Що Google не має кінця до кінця
- Деякі корисні поради щодо шифрування
- Зручність - це ключ
Називати його FUD може бути трохи сильно, але, безумовно, існує велика плутанина щодо розширення Google Chrome, оголошеного 3 червня 2014 року, під назвою "Кінець у кінець". Після випуску розширення дозволить шифрувати повідомлення електронної пошти в кінці. Звучить досить просто, правда? Але саме тут починається плутанина, адже більшість людей відчули, що повідомлення Gmail уже зашифровані. І, вони є. Ну, начебто …
Чи Gmail уже не зашифрований?
Найпростіший спосіб пояснити поточне шифрування Gmail - це думати про повідомлення електронної пошти, яке проходить від комп’ютера відправника до призначеного одержувача електронної пошти. Під час транзиту цифрові повідомлення шифруються через безпеку транспортного рівня (TLS) - протокол, що забезпечує безпеку між клієнтськими / серверними програмами, які спілкуються між собою через Інтернет.
Помилкове уявлення набуває чинності, коли повідомлення перебуває у стані спокою у відправника, посередницьких серверів або одержувача. У цих моментах повідомлення не шифрується. Інший раз повідомлення не шифрується, якщо програма електронної пошти одержувача не приймає повідомлення HTTPS (використовуючи TLS). Ось чому експерти кажуть, що поточне шифрування Gmail не є "кінцевим до кінця".
Google відстежує кількість відправлених повідомлень Gmail, зашифрованих під час транзиту, а також кількість повідомлень, отриманих користувачами Gmail, які також зашифровані під час транзиту. Як показано у звіті нижче, до 50 відсотків повідомлень Gmail не шифруються.
Шифрування від кінця до кінця не нове
Цікаво, що є справжні додатки для шифрування електронної пошти, але вони аж ніяк не популярні. Два приклади - PGP та GnuPG. PGP особливо цікавий тим, що його творець Філ Цимерман потрапив у серйозні проблеми з урядом США, коли він вперше створив PGP. Причина? PGP був надто ефективним.
Питання в тому, якщо можливо зашифрувати електронну пошту в кінці, чому люди не використовують її? Відповідь: коли зручність та безпека стикаються, зручність зазвичай виграє. І в даний час шифрування електронної пошти складно налаштувати і просто використовувати. Крім того, до недавнього часу людей не хвилювало питання шифрування електронної пошти. (Дізнайтеся більше про конфіденційність та безпеку в розділі Що ви повинні знати про свою конфіденційність в Інтернеті.)
Іншим ускладненням шифрування електронної пошти в кінці є те, що обом сторонам потрібно сумісне програмне забезпечення для шифрування. Якщо програми не сумісні, повідомлення електронної пошти не розшифрується. Тож, замість того, щоб ризикувати не прочитати електронний лист, більшість відправників не турбуються про шифрування.
Що таке Google "Кінець у кінець"?
Розробники Google добре знають вищезазначені проблеми та створили зручний для користувача процес шифрування, "розширення Chrome, яке допомагає вам шифрувати, розшифровувати, цифровий знак та перевіряти підписані повідомлення в браузері за допомогою OpenPGP". Тоді нова версія Google шифрування електронної пошти помістить у категорію "від кінця до кінця".
Розширення шифрування Google негайно викликало інтерес у спільноти конфіденційності. Якщо End-to-End виконує те, що говорить Google, розширення не дозволить Google сканувати тіло повідомлень, що Google робить зараз, і вважає потік доходу. У дописі у блозі 11 червня Джим Іверс, головний стратег із безпеки компанії Covata, пропонує свої пояснення.
"Я припускаю, що Google готовий торгувати тим, що вони втратили в зашифрованих даних, щоб зберегти клієнтів в екосистемі Google, виявившись занепокоєними їх конфіденційністю електронної пошти", - пише Іверс.
Що Google не має кінця до кінця
Експерти з шифрування вже натискали шини розширення, і кілька можливих проблем виникли. Оскільки це розширення для Chrome, процес шифрування вимагатиме і відправника, і одержувача використовувати веб-браузери Chrome. Востаннє перевіряючи, Chrome використовували менше 50 відсотків тих, хто в Інтернеті.
Інші проблеми полягають у тому, що Google Mobile не підтримується на мобільних пристроях; виявляється, що вкладення також залишаються незашифрованими і зараз. Загалом, є достатньо негативних моментів, які дають підставі розумним особам сумніватися у широкомасштабному усиновленні.
Деякі корисні поради щодо шифрування
Вся ідея шифрування полягає у збереженні конфіденційності між відправником та одержувачем. Одне, що має враховувати відправник, це те, що якщо особа, яка отримує зашифрований електронний лист, пересилає його без шифрування? Якщо повідомлення є досить важливим, відправник може захотіти запровадити певні елементи керування, які дозволяють одержувачу лише переглядати, але не друкувати, копіювати або зберігати повідомлення.
"Уроки зрозумілі: остерігайтеся великих постачальників екосистем, які несуть подарунки, уважно читайте деталі щодо численних застережень та винятків, і погляньте на цілісне уявлення про шифрування", - пише Іверс. Це корисна порада, особливо якщо врахувати, скільки не вистачає в новому розширенні Google для шифрування. Звичайно, найголовніше, чого не вистачає, коли мова заходить про прийняття будь-якого типу "шифрування в кінці" - це зручність.
Зручність - це ключ
Google сподівається, що його нова служба Chrome зробить шифрування в кінці простим варіантом для своїх користувачів. Навіть так, Google реалістичний. Стефан Сомоджі, менеджер із продуктів, безпеки та конфіденційності, сказав: "Ми визнаємо, що такий вид шифрування, ймовірно, буде використовуватися лише для дуже чутливих повідомлень або тих, хто потребує додаткового захисту".
Google каже, що "Кінець до кінця" все ще був альфа-версією і доступний лише спільноті розробників. Компанія повідомила, що як тільки вони відчують, що розширення готове та без помилок, вони зробить його доступним у веб-магазині Chrome. Це недосконале рішення безпеки, але все ж більш безпечне. Питання в тому, чи буде хтось турбуватись про його встановлення?