Googles ende-til-ende-kryptering er ikke slik det ser ut

Det kan være litt sterkt å kalle det FUD, men det er absolutt mye forvirring rundt Google Chrome-utvidelsen som ble kunngjort 3. juni 2014, kalt End-to-End. Når utgivelsen tillater det, vil utvidelsen tillate end-to-end-kryptering av e-postmeldinger. Høres enkelt ut, ikke sant? Men det er der forvirringen starter, fordi de fleste var under inntrykk av at Gmail-meldinger allerede var kryptert. Og det er de. Vel, slags …

Er ikke Gmail allerede kryptert?

Den enkleste måten å forklare Gmail sin nåværende kryptering er å tenke på e-postmeldingen som reiser fra avsenderens datamaskin til den tiltenkte e-postmottakeren. Under transporten blir digitale meldinger kryptert via Transport Layer Security (TLS), en protokoll som gir sikkerhet mellom klient / server-applikasjonene som kommuniserer med hverandre over Internett.

Misforståelsen kommer inn når meldingen er i ro hos avsenderen, mellomleddsservere eller mottakeren. På disse punktene er meldingen ikke kryptert. En annen gang meldingen ikke er kryptert, er hvis mottakerens e-postprogram ikke godtar HTTPS (bruker TLS) -meldinger. Det er grunnen til at eksperter sier gjeldende Gmail-kryptering ikke er "ende til ende."

Google sporer antall sendte Gmail-meldinger som er kryptert under transport, samt antall meldinger mottatt av Gmail-brukere som også er kryptert under transport. Som vist i rapporten nedenfor, er ikke opptil 50 prosent av Gmail-meldingene kryptert.

Ende-til-ende-kryptering er ikke ny

Interessant nok er det ekte applikasjoner for en-til-ende-e-postkryptering, men de er på ingen måte populære. To eksempler er PGP og GnuPG. PGP er spesielt interessant på den måten at skaperen, Phil Zimmermann, fikk alvorlige problemer med den amerikanske regjeringen da han først opprettet PGP. Grunnen? PGP var for effektiv.

Spørsmålet er, hvis det er mulig å kryptere e-post fra ende til annen, hvorfor bruker ikke folk den? Svaret: når komfort og sikkerhet kolliderer, vinner bekvemmeligheten vanligvis. Og for øyeblikket er e-postkryptering komplisert å sette opp og en smerte å bruke. Inntil nylig var folk ikke så opptatt av å kryptere e-posten deres. (Lær mer om personvern og sikkerhet i Hva du bør vite om personvernet ditt på nettet.)

En annen komplikasjon med end-to-end e-postkryptering er at begge parter trenger kompatibel krypteringsprogramvare. Hvis programmene ikke er kompatible, dekrypteres ikke e-postmeldingen. Så i stedet for å risikere å ikke lese en e-post, bryr de fleste avsendere seg ikke om kryptering.

Hva er Google fra ende til annen?

Google-utviklere er godt klar over de ovennevnte problemene, og har opprettet en krypteringsprosess som er brukervennlig, "en Chrome-utvidelse som hjelper deg å kryptere, dekryptere, digitalt signere og verifisere signerte meldinger i nettleseren ved hjelp av OpenPGP." Dette vil deretter plassere Googles nye versjon av e-postkryptering i kategorien "ende-til-ende".

Googles krypteringsutvidelse fikk umiddelbart interesse fra personvernsamfunnet. Hvis End-to-End gjør det som Google sier, vil utvidelsen forhindre Google i å skanne meldingsorganet, noe Google gjør nå, og vurderer en inntektsstrøm. I et blogginnlegg 11. juni tilbyr Jim Ivers, sjefsikkerhetsstrateg for Covata, og forklarer.

"Jeg antar at Google er villig til å handle det de ville miste i krypterte data for å beholde kunder i Googles økosystem ved å se ut til å være opptatt av deres personvern via e-post, " skriver Ivers.

Hva Google End-to-End ikke er

Krypteringseksperter har allerede sparket i utvidelsens dekk, og flere potensielle problemer har dukket opp. Fordi det er en Chrome-utvidelse, krever krypteringsprosessen både avsender og mottaker å bruke Chrome-nettlesere. Sist jeg sjekket, ble Chrome brukt av mindre enn 50 prosent av de som var på Internett.

Andre problemer er at Google End-to-End ikke støttes på mobile enheter; det ser ut til at vedlegg forblir ukryptert også. Alt i alt er det nok negative punkter til å gi pundits grunn til å tvile på en adopsjon i stor skala.

Noen nyttige tips om kryptering

Hele ideen bak kryptering er å opprettholde personvernet mellom avsender og mottaker. En ting avsenderen bør ta i betraktning er, hva om personen som mottar den krypterte e-posten videresender den uten kryptering? Hvis meldingen er viktig nok, kan det være at avsenderen ønsker å starte visse kontroller som bare lar mottakeren se, men ikke skrive ut, kopiere eller lagre meldingen.

"Leksjonene er tydelige: pass på store økosystemleverandører som gir gaver, les detaljene nøye for de mange advarslene og unntakene, og se et helhetlig syn på kryptering, " skriver Ivers. Det er gode råd, spesielt når du vurderer hvor mye som mangler i Googles nye krypteringsutvidelse. Selvfølgelig er det største som mangler når det gjelder å ta i bruk noen slags end-to-end-kryptering.

Bekvemmelighet er nøkkelen

Google håper sin nye Chrome-tjeneste vil gjøre ende-til-ende-kryptering til et enkelt alternativ for brukerne. Likevel er Google realistisk. Stephan Somogyi, produktsjef, sikkerhet og personvern sa: "Vi erkjenner at denne typen kryptering sannsynligvis bare vil bli brukt til veldig sensitive meldinger eller av dem som trenger ekstra beskyttelse."

Google sier at End-to-End fremdeles var en alfabygging, og bare tilgjengelig for utviklermiljøet. Selskapet sa at når de føler utvidelsen er klar og feilfri, vil de gjøre den tilgjengelig i Chrome Nettbutikk. Det er en ufullkommen løsning på sikkerhet, men den er fortsatt sikrere. Spørsmålet er, vil noen gidder å installere det?