Η κρυπτογράφηση Google από άκρο σε άκρο δεν είναι αυτό που φαίνεται

Το αποκαλούμενο FUD μπορεί να είναι λίγο ισχυρό, αλλά σίγουρα υπάρχει μεγάλη σύγχυση σχετικά με την επέκταση του Google Chrome που ανακοινώθηκε στις 3 Ιουνίου 2014, που ονομάζεται End-to-End. Όταν κυκλοφορήσει, η επέκταση θα επιτρέψει την κρυπτογράφηση από άκρο σε άκρο των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ακούγεται αρκετά απλό, έτσι; Αλλά εκεί ξεκινά η σύγχυση, επειδή οι περισσότεροι άνθρωποι είχαν την εντύπωση ότι τα μηνύματα του Gmail ήταν ήδη κρυπτογραφημένα. Και, είναι. Λοιπόν …

Δεν είναι ήδη κρυπτογραφημένο το Gmail;

Ο πιο απλός τρόπος για να εξηγήσετε την τρέχουσα κρυπτογράφηση του Gmail είναι να σκεφτείτε το μήνυμα ηλεκτρονικού ταχυδρομείου που ταξιδεύει από τον υπολογιστή του αποστολέα στον προοριζόμενο για αποστολή email. Κατά τη διάρκεια της διαμετακόμισης, τα ψηφιακά μηνύματα κρυπτογραφούνται μέσω του Transport Layer Security (TLS), ένα πρωτόκολλο που παρέχει ασφάλεια μεταξύ των εφαρμογών πελάτη / διακομιστή που επικοινωνούν μεταξύ τους μέσω του Διαδικτύου.

Η εσφαλμένη αντίληψη τίθεται σε ενέργεια όταν το μήνυμα βρίσκεται σε κατάσταση ηρεμίας στον αποστολέα, στους ενδιάμεσους διακομιστές ή στον παραλήπτη. Σε αυτά τα σημεία, το μήνυμα δεν είναι κρυπτογραφημένο. Μια άλλη φορά που το μήνυμα δεν είναι κρυπτογραφημένο είναι εάν το πρόγραμμα ηλεκτρονικού ταχυδρομείου του παραλήπτη δε δέχεται μηνύματα HTTPS (χρησιμοποιώντας TLS). Αυτός είναι ο λόγος για τον οποίο οι ειδικοί λένε ότι η τρέχουσα κρυπτογράφηση του Gmail δεν είναι "από άκρη σε άκρη".

Η Google παρακολουθεί τον αριθμό των μηνυμάτων Gmail που έχουν κρυπτογραφηθεί κατά τη μεταφορά τους καθώς και τον αριθμό μηνυμάτων που έχουν ληφθεί από χρήστες του Gmail που είναι επίσης κρυπτογραφημένοι κατά τη μεταφορά. Όπως φαίνεται στην παρακάτω αναφορά, έως και το 50% των μηνυμάτων του Gmail δεν είναι κρυπτογραφημένα.

Η κρυπτογράφηση από άκρο σε άκρο δεν είναι νέα

Είναι ενδιαφέρον ότι υπάρχουν αληθινές εφαρμογές κρυπτογράφησης email, αλλά δεν είναι καθόλου δημοφιλείς. Δύο παραδείγματα είναι τα PGP και GnuPG. Το PGP είναι ιδιαίτερα ενδιαφέρον επειδή ο δημιουργός του, Phil Zimmermann, έπεσε σε σοβαρό πρόβλημα με την αμερικανική κυβέρνηση όταν δημιούργησε για πρώτη φορά PGP. Ο λόγος? Το PGP ήταν πολύ αποτελεσματικό.

Το ερώτημα είναι, εάν είναι δυνατόν να κρυπτογραφήσετε το email από άκρο σε άκρο, γιατί δεν το χρησιμοποιούν οι χρήστες; Η απάντηση: όταν η σύγκρουση άνεσης και ασφάλειας, η ευκολία συνήθως κερδίζει. Και αυτή τη στιγμή, η κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου είναι περίπλοκη για την εγκατάσταση και ο πόνος που πρέπει να χρησιμοποιήσετε. Επίσης, μέχρι πρόσφατα, οι άνθρωποι δεν ανησυχούσαν για την κρυπτογράφηση του μηνύματος ηλεκτρονικού ταχυδρομείου τους. (Μάθετε περισσότερα σχετικά με την προστασία της ιδιωτικής ζωής και την ασφάλεια στο τι πρέπει να γνωρίζετε για την προστασία της ιδιωτικής ζωής σας στο διαδίκτυο.)

Μια άλλη επιπλοκή με την κρυπτογράφηση ηλεκτρονικού ταχυδρομείου από άκρο σε άκρο είναι ότι και τα δύο μέρη χρειάζονται συμβατό λογισμικό κρυπτογράφησης. Εάν τα προγράμματα δεν είναι συμβατά, το μήνυμα ηλεκτρονικού ταχυδρομείου δεν αποκρυπτογραφεί. Έτσι, αντί να μην διακινδυνεύσετε να μην διαβάζετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, οι περισσότεροι αποστολείς δεν ενοχλούν από την κρυπτογράφηση.

Τι είναι το Google End-to-End;

Οι προγραμματιστές της Google γνωρίζουν καλά τα παραπάνω προβλήματα και έχουν δημιουργήσει μια διαδικασία κρυπτογράφησης φιλική προς το χρήστη, μια επέκταση του Chrome που σας βοηθά να κρυπτογραφήσετε, να αποκρυπτογραφήσετε, ψηφιακό σήμα και να επαληθεύσετε τα υπογεγραμμένα μηνύματα στο πρόγραμμα περιήγησης χρησιμοποιώντας το OpenPGP. Στη συνέχεια, θα τοποθετηθεί η νέα έκδοση της κρυπτογράφησης ηλεκτρονικού ταχυδρομείου της Google στην κατηγορία "από άκρο σε άκρο".

Η επέκταση κρυπτογράφησης της Google συγκέντρωσε αμέσως το ενδιαφέρον από την κοινότητα απορρήτου. Αν το End-to-End κάνει ό, τι λέει η Google, η επέκταση θα εμποδίσει την Google να σαρώνει το σώμα του μηνύματος, κάτι που κάνει η Google τώρα και θεωρεί μια ροή εσόδων. Σε μια δημοσίευση ιστολογίου στις 11 Ιουνίου, ο Jim Ivers, επικεφαλής στρατηγικός ασφαλείας για το Covata, προσφέρει και εξηγήσεις.

"Υποθέτω ότι η Google είναι διατεθειμένη να διαπραγματευτεί τι θα χάσει σε κρυπτογραφημένα δεδομένα για να διατηρήσει τους πελάτες στο οικοσύστημα της Google εμφανίζοντας ότι ενδιαφέρεται για το ιδιωτικό τους απόρρητο", γράφει ο Ivers.

Τι Google End-to-End δεν είναι

Οι εμπειρογνώμονες κρυπτογράφησης έχουν ήδη κλωτσήσει τα ελαστικά της επέκτασης και έχουν προκύψει αρκετά πιθανά ζητήματα. Επειδή πρόκειται για μια επέκταση του Chrome, η διαδικασία κρυπτογράφησης θα απαιτήσει από τον αποστολέα και τον παραλήπτη να χρησιμοποιούν προγράμματα περιήγησης Chrome Web. Την τελευταία φορά που έλεγξα, το Chrome χρησιμοποιείται από το λιγότερο από το 50% αυτών στο Διαδίκτυο.

Άλλα θέματα είναι ότι το Google End-to-End δεν υποστηρίζεται σε κινητές συσκευές. φαίνεται ότι τα συνημμένα θα παραμείνουν ακόμη και κρυπτογραφημένα. Συνολικά, υπάρχουν αρκετά αρνητικά σημεία για να δώσουν στους ειδήμονες το λόγο να αμφισβητήσουν την υιοθεσία μεγάλης κλίμακας.

Ορισμένες χρήσιμες συμβουλές σχετικά με την κρυπτογράφηση

Η όλη ιδέα πίσω από την κρυπτογράφηση είναι να διατηρηθεί η ιδιωτικότητα μεταξύ του αποστολέα και του παραλήπτη. Ένα πράγμα που πρέπει να λάβει υπόψη ο αποστολέας είναι τι, αν το άτομο που λαμβάνει το κρυπτογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου το προωθεί χωρίς κρυπτογράφηση; Εάν το μήνυμα είναι αρκετά σημαντικό, ο αποστολέας μπορεί να θέλει να υποκινεί ορισμένα στοιχεία ελέγχου που επιτρέπουν στον παραλήπτη να προβάλλει, αλλά να μην εκτυπώνει, να αντιγράφει ή να αποθηκεύει το μήνυμα.

"Τα μαθήματα είναι ξεκάθαρα: προσέξτε τους μεγάλους πωλητές οικοσυστημάτων που φέρουν δώρα, διαβάστε προσεκτικά τις λεπτομέρειες για τις πολυάριθμες προειδοποιήσεις και εξαιρέσεις και λάβετε μια ολιστική άποψη της κρυπτογράφησης", γράφει ο Ivers. Είναι καλές συμβουλές, ειδικά όταν εξετάζετε πόσο λείπει η νέα επέκταση κρυπτογράφησης της Google. Φυσικά, το μεγαλύτερο πράγμα που λείπει όταν πρόκειται για υιοθέτηση κάθε είδους κρυπτογράφησης από άκρο σε άκρο είναι η ευκολία.

Η ευκολία είναι το κλειδί

Η Google ελπίζει ότι η νέα υπηρεσία Chrome θα κάνει την κρυπτογράφηση από άκρο σε άκρη μια εύκολη επιλογή για τους χρήστες της. Ωστόσο, η Google είναι ρεαλιστική. Ο Stephan Somogyi, διευθυντής προϊόντων, ασφάλεια και προστασία της ιδιωτικής ζωής, δήλωσε: "Αναγνωρίζουμε ότι αυτό το είδος κρυπτογράφησης πιθανότατα θα χρησιμοποιηθεί μόνο για πολύ ευαίσθητα μηνύματα ή για όσους χρειάζονται πρόσθετη προστασία".

Το Google λέει ότι το End-to-End ήταν ακόμα ένα build alpha και ήταν διαθέσιμο μόνο στην κοινότητα προγραμματιστών. Η εταιρεία δήλωσε μόλις αισθανθεί ότι η επέκταση είναι έτοιμη και χωρίς προβλήματα, θα την κάνει διαθέσιμη στο Chrome Web store. Είναι μια ατελής λύση στην ασφάλεια, αλλά είναι ακόμα πιο ασφαλής. Το ερώτημα είναι, θα ασχοληθεί κανείς να το εγκαταστήσει;