Sisällysluettelo:
- Eikö Gmail ole jo salattu?
- Päästä loppuun -salaus ei ole uusi
- Mikä on Google End-to-End?
- Mikä Google End-to-End ei ole
- Jotkut hyödylliset vinkit salauksesta
- Mukavuus on avain
Soittaminen FUD: ksi saattaa olla hiukan vahva, mutta 3. kesäkuuta 2014 julkistetun Google Chromen laajennuksen, nimeltään päästä päähän, välillä on varmasti paljon hämmennystä. Kun laajennus vapautetaan, se mahdollistaa sähköpostiviestien koodauksen kokonaispisteestä. Kuulostaa riittävän yksinkertaiselta, eikö niin? Mutta sieltä sekavuus alkaa, koska useimmille ihmisille vaikutelman mukaan Gmail-viestit oli jo salattu. Ja he ovat. No, sellainen …
Eikö Gmail ole jo salattu?
Yksinkertaisin tapa selittää Gmailin nykyinen salaus on miettiä sähköpostiviestiä, joka kulkee lähettäjän tietokoneelta aiotulle sähköpostin vastaanottajalle. Lähetysvaiheessa digitaaliviestit salataan TLS- protokollan ( Transport Layer Security, TLS) kautta, joka tarjoaa suojauksen Internet-yhteyden kautta kommunikoivien asiakas- / palvelinsovellusten välillä.
Väärinkäsitys otetaan huomioon, kun viesti on levossa lähettäjällä, välipalvelimella tai vastaanottajalla. Silloin viesti ei ole salattu. Toisinaan viestiä ei ole salattu, jos vastaanottajan sähköpostiohjelma ei hyväksy HTTPS (TLS) -viestiä. Siksi asiantuntijoiden mukaan nykyinen Gmail-salaus ei ole "päästä päähän".
Google seuraa lähetettyjen Gmail-viestien määrää, jotka on salattu kuljetuksen aikana, sekä niiden Gmail-käyttäjien vastaanottamien viestien lukumäärää, jotka on myös salattu kuljetuksen aikana. Kuten alla olevassa raportissa näkyy, jopa 50 prosenttia Gmail-viesteistä ei ole salattuja.
Päästä loppuun -salaus ei ole uusi
Mielenkiintoista on, että on olemassa todellisia päästä päähän -sähköpostin salaussovelluksia, mutta ne eivät missään nimessä ole suosittuja. Kaksi esimerkkiä ovat PGP ja GnuPG. PGP on erityisen mielenkiintoinen siinä mielessä, että sen luoja Phil Zimmermann joutui vakaviin vaikeuksiin Yhdysvaltain hallituksen kanssa, kun hän loi PGP: n. Syy? PGP oli liian tehokas.
Kysymys on, jos sähköposti on mahdollista salata kokonaisuudesta, miksi ihmiset eivät käytä sitä? Vastaus: kun mukavuus ja turvallisuus ovat ristiriidassa, mukavuus yleensä voittaa. Ja tällä hetkellä sähköpostin salaus on vaikea perustaa ja tuskaa käyttää. Viime aikoihin saakka ihmiset eivät olleet niin huolissaan sähköpostinsa salaamisesta. (Lisätietoja yksityisyydestä ja tietoturvasta kohdasta Mitä sinun pitäisi tietää tietosuojaverkostostasi verkossa.)
Toinen monimutkaisuus päästä päähän -sähköpostin salaamiseen on, että molemmat osapuolet tarvitsevat yhteensopivia salausohjelmistoja. Jos ohjelmat eivät ole yhteensopivia, sähköpostiviesti ei purkaudu. Joten sen sijaan, että riskiä olla lukematta sähköpostia, useimmat lähettäjät eivät häiritse salausta.
Mikä on Google End-to-End?
Google-kehittäjät ovat hyvin tietoisia yllä mainituista ongelmista ja ovat luoneet käyttäjäystävällisen salausprosessin "Chrome-laajennus, joka auttaa salaamaan, purkamaan, digitaalisesti allekirjoittamaan ja vahvistamaan allekirjoitetut viestit selaimessa OpenPGP: n avulla". Tällöin Googlen uusi sähköpostisalaus tulee "päästä päähän" -luokkaan.
Googlen salauslaajennus herätti välittömästi yksityisyysyhteisön mielenkiinnon. Jos End-to-End tekee sen, mitä Google sanoo, laajennus estää Googlea tarkastamasta viestin runkoa, jota Google tekee nyt, ja harkitsee tuloja. Covatan pääturvallisuusstrategisti Jim Ivers tarjoaa 11. kesäkuuta päivätyssä blogiviestissä tarjouksia ja selityksiä.
"Oletan, että Google on halukas kauppaa sen, mitä he menettävät salatussa tiedossa säilyttääkseen asiakkaat Google-ekosysteemissä näyttäessään olevan huolissaan heidän sähköpostien yksityisyydestä", Ivers kirjoittaa.
Mikä Google End-to-End ei ole
Salausasiantuntijat ovat jo potkaneet laajennuksen renkaita, ja useita mahdollisia ongelmia on tullut esiin. Koska se on Chrome-laajennus, salausprosessi vaatii sekä lähettäjän että vastaanottajan käyttämään Chrome-selaimia. Viimeksi tarkistiessani Chromea käytti alle 50 prosenttia Internetin käyttäjistä.
Muita ongelmia on, että Google End-to-End -sovellusta ei tueta mobiililaitteissa. näyttää siltä, että liitteet jäävät salaamatta myös nyt. Kaiken kaikkiaan kielteisiä seikkoja on tarpeeksi, jotta pundit voivat syytä epäillä laaja-alaista adoptiota.
Jotkut hyödylliset vinkit salauksesta
Koko salauksen taustalla on yksityisyyden ylläpitäminen lähettäjän ja vastaanottajan välillä. Yksi asia, jonka lähettäjä ottaa huomioon, on entä jos salatun sähköpostin vastaanottava henkilö välittää sen edelleen ilman salausta? Jos viesti on tarpeeksi tärkeä, lähettäjä saattaa haluta käynnistää tiettyjä säätimiä, joiden avulla vastaanottaja voi vain katsella, mutta ei tulostaa, kopioida tai tallentaa viestiä.
"Oppitunnit ovat selkeät: varokaa suuria ekosysteemien myyjiä, jotka kantavat lahjoja, lue yksityiskohdat huolellisesti lukuisten varoitusten ja poikkeusten varalta ja ota kokonaisvaltaisesti huomioon salaus", Ivers kirjoittaa. Se on hyvä neuvo, varsinkin kun otat huomioon, kuinka paljon puuttuu Googlen uudesta salauslaajennuksesta. Tietysti suurin asia, josta puuttuu kaiken tyyppisen koodauksen hyväksyminen, on mukavuus.
Mukavuus on avain
Google toivoo uuden Chrome-palvelunsa tekevän päästä päähän -salauksen käyttäjille helpoksi vaihtoehtona. Silti Google on realistinen. Tuotepäällikkö, turvallisuus- ja yksityisyysjohtaja Stephan Somogyi sanoi: "Tunnustamme, että tällaista salausta käytetään todennäköisesti vain erittäin arkaluontoisiin viesteihin tai niille, jotka tarvitsevat lisäsuojausta."
Google sanoo, että End-to-End oli edelleen alfa-kokoelma ja että se oli vain kehittäjäyhteisön käytettävissä. Yrityksen mukaan he saavat sen saataville Chrome-verkkokaupassa, kun he katsovat, että laajennus on valmis ja virheetön. Se on epätäydellinen ratkaisu turvallisuuteen, mutta se on silti turvallisempaa. Kysymys on, kukaan ei vaivaudu asentamaan sitä?
