У дома Сигурност Шифроването на Google от край до край не е това, което изглежда

Шифроването на Google от край до край не е това, което изглежда

Съдържание:

Anonim

Наричането му като FUD може да е малко силно, но със сигурност има голямо объркване относно разширението на Google Chrome, обявено на 3 юни 2014 г., наречено „Край до край“. Когато бъде пуснато, разширението ще позволи криптиране от край до край на имейл съобщения. Звучи достатъчно просто, нали? Оттам започва объркването, защото повечето хора остават под впечатление, че съобщенията в Gmail вече са криптирани. И, те са. Е, вид …

Gmail вече не е шифрован?

Най-простият начин да се обясни текущото криптиране на Gmail е да се мисли за имейл съобщението, пътуващо от компютъра на изпращача до предвидения получател на имейла. По време на транзита цифровите съобщения се кодират чрез транспортна защита на слой (TLS), протокол, който осигурява сигурност между клиент / сървърните приложения, които комуникират помежду си по интернет.


Погрешното схващане влиза в действие, когато съобщението е в покой при подателя, сървърите посредници или получателя. В тези точки съобщението не е криптирано. Друг път, когато съобщението не е криптирано, е ако имейл програмата на получателя не приема HTTPS (използвайки TLS) съобщения. Ето защо специалистите казват, че текущото криптиране в Gmail не е „от край до край“.


Google проследява броя на изпратените съобщения в Gmail, които са криптирани по време на транзит, както и броя на съобщенията, получени от потребителите на Gmail, които също са криптирани при преминаване. Както е показано в отчета по-долу, до 50 процента от съобщенията в Gmail не са шифровани.


Шифроването от край до край не е ново

Интересното е, че има истински приложения за криптиране на имейли от край до край, но в никакъв случай не са популярни. Два примера са PGP и GnuPG. PGP е особено интересен с това, че неговият създател, Фил Цимерман, изпадна в сериозни проблеми с правителството на САЩ, когато за първи път създаде PGP. Причината? PGP беше твърде ефективен.


Въпросът е, ако е възможно да се криптира имейл от край до край, защо хората не го използват? Отговорът: когато удобството и сигурността се сблъскат, удобството обикновено печели. И в момента криптирането на имейли е сложно за настройване и болка за използване. Освен това, доскоро хората не бяха толкова загрижени за криптирането на имейла си. (Научете повече за поверителността и сигурността в това, което трябва да знаете за вашата поверителност онлайн.)


Друго усложнение при криптирането на имейлите от край до край е, че и двете страни се нуждаят от съвместим софтуер за криптиране. Ако програмите не са съвместими, имейл съобщението няма да се дешифрира. Така че, вместо да рискуват да не четат имейл, повечето изпращачи не се притесняват с криптиране.

Какво е Google от край до край?

Разработчиците на Google са добре запознати с горните проблеми и са създали процес на криптиране, който е удобен за потребителя, „разширение за Chrome, което ви помага да криптирате, декриптирате, цифрово подписвате и проверявате подписани съобщения в браузъра с помощта на OpenPGP“. Това ще постави новата версия на Google за криптиране на имейли в категорията „от край до край“.


Разширяването на Google за криптиране веднага предизвика интерес от общността за поверителност. Ако End-to-End прави това, което Google казва, разширението ще попречи на Google да сканира тялото на съобщението, което Google прави сега и счита, че поток от приходи. В публикация в блога на 11 юни, Джим Айвърс, главен стратег по сигурността на Ковата, предлага и обяснение.


„Предполагам, че Google е готов да търгува това, което биха загубили при криптирани данни, за да задържи клиентите в екосистемата на Google, като изглежда е загрижен за поверителността на имейлите им“, пише Ivers.

Какво не е Google от край до край

Експертите по криптиране вече ритнаха гумите на разширението и няколко потенциални проблема изплуват. Тъй като това е разширение за Chrome, процесът на криптиране ще изисква както подателя, така и получателя да използват уеб браузъри Chrome. Последния път, когато проверих, Chrome се използва от по-малко от 50 процента от тези в Интернет.


Други проблеми са, че Google от край до край не се поддържа на мобилни устройства; изглежда, че прикачените файлове засега ще останат незашифровани. Като цяло има достатъчно отрицателни моменти, които дават основание на кандидатите да се съмняват в широкомащабно осиновяване.

Някои полезни съвети относно шифроването

Цялата идея зад криптирането е да се запази поверителността между изпращача и получателя. Едно нещо, което изпращачът трябва да вземе предвид, е, какво, ако лицето, което получава криптирания имейл, го препраща без криптиране? Ако съобщението е достатъчно важно, изпращачът може да иска да наложи определени контроли, които позволяват на получателя само да го вижда, но не и да отпечатва, копира или запазва съобщението.


„Уроците са ясни: пазете се от големи доставчици на екосистеми, носещи подаръци, прочетете внимателно подробностите за многобройните предупреждения и изключения и вземете цялостен поглед върху криптирането“, пише Ivers. Добър съвет е, особено когато вземете предвид колко липсва в новото разширение на Google за криптиране. Разбира се, най-голямото нещо, което липсва, когато става въпрос за възприемането на всякакъв вид криптиране от край до край, е удобството.

Удобството е ключът

Google се надява, че новата му услуга на Chrome ще направи криптирането от край до край лесна опция за своите потребители. Въпреки това Google е реалистичен. Стефан Somogyi, продуктов мениджър, сигурност и поверителност каза, „Ние признаваме, че този вид криптиране вероятно ще се използва само за много чувствителни съобщения или от тези, които се нуждаят от допълнителна защита“.


Google казва, че „Край до край“ все още е била алфа конструкция и е достъпна само за общността на програмисти. Компанията заяви, че след като усетят, че разширението е готово и без грешки, те ще го направят достъпно в уеб магазина на Chrome. Това е несъвършено решение за сигурността, но все пак е по-сигурно. Въпросът е дали някой ще си направи труда да го инсталира?

Шифроването на Google от край до край не е това, което изглежда