Dom sigurnosti Googleovo krajnje kriptiranje nije ono što se čini

Googleovo krajnje kriptiranje nije ono što se čini

Sadržaj:

Anonim

Nazvati ga FUD-om možda je malo snažno, ali sigurno postoji velika zabuna u vezi s proširenjem Google Chrome-a najavljenim 3. lipnja 2014. pod nazivom Kraj-do-kraja. Nakon puštanja, proširenje će omogućiti krajnje kriptiranje poruka e-pošte. Zvuči dovoljno jednostavno, zar ne? Ali tu počinje zbrka jer je većina ljudi imala dojam da su Gmail poruke već šifrirane. I, jesu. Pa, vrsta …

Nije Gmail već šifriran?

Najjednostavniji način objašnjavanja Gmailove trenutne enkripcije je razmišljanje o poruci e-pošte koja putuje od računala pošiljatelja do predviđenog primatelja e-pošte. Tijekom tranzita digitalne se poruke šifriraju putem Security Layer Security (TLS) protokola koji pruža sigurnost između klijenta / poslužiteljskih aplikacija koje međusobno komuniciraju putem Interneta.


Zabluda se pojavljuje kada je poruka u mirovanju kod pošiljatelja, posredničkih poslužitelja ili primatelja. U tim trenucima poruka se ne šifrira. Drugi put kada se poruka ne šifrira je ako primateljev e-program ne prihvaća HTTPS (koristeći TLS) poruke. Zato stručnjaci kažu da trenutačno šifriranje usluge Gmail nije „kraj do kraja“.


Google prati broj poslanih Gmail poruka koje su šifrirane dok su u prijevozu, kao i broj poruka koje su primili korisnici Gmaila koji su također šifrirani u tranzitu. Kao što je prikazano u izvještaju u nastavku, do 50 posto Gmail poruka nije šifrirano.


Šifriranje od početka do kraja nije novo

Zanimljivo je da postoje istinske aplikacije za enkripciju od početka do kraja, ali one nikako nisu popularne. Dva primjera su PGP i GnuPG. PGP je posebno zanimljiv po tome što je njegov tvorac, Phil Zimmermann, upao u ozbiljne probleme s američkom vladom kada je prvi put stvorio PGP. Razlog? PGP je bio previše učinkovit.


Pitanje je, ako je moguće šifrirati e-poštu od početka do kraja, zašto je ljudi ne koriste? Odgovor: kad se sukobi pogodnost i sigurnost, praktičnost obično pobjeđuje. A trenutno je šifriranje e-pošte složeno za postavljanje i korištenje muke. Također, donedavno ljudi nisu bili zabrinuti zbog šifriranja svoje adrese e-pošte. (Saznajte više o privatnosti i sigurnosti u onome što biste trebali znati o svojoj privatnosti na mreži.)


Još jedna komplikacija kod enkripcije od početka do kraja je da obje strane trebaju kompatibilan softver za šifriranje. Ako programi nisu kompatibilni, e-poruka se neće dešifrirati. Dakle, umjesto da rizikuju da ne čitaju e-poštu, većina pošiljatelja ne gnjavi se s šifriranjem.

Što je Google cjelovit?

Googleovi programeri dobro su upoznati s gore navedenim problemima i stvorili su postupak šifriranja koji je vrlo jednostavan za korisnike, "Chrome proširenje koje vam pomaže da šifrirate, dešifrirate, digitalni potpis i provjerite potpisane poruke unutar preglednika pomoću OpenPGP." Time bi se nova verzija Googleove enkripcije e-pošte svrstala u kategoriju "kraj do kraja".


Googleovo proširenje šifriranja odmah je izazvalo interes zajednice za privatnost. Ako End-to-End učini što Google kaže, proširenje će spriječiti Google u skeniranju tijela poruke, što Google sada čini, i smatra tok prihoda. U postu na blogu od 11. lipnja, Jim Ivers, glavni sigurnosni strateg tvrtke Covata, nudi i objašnjenja.


"Pretpostavljam da je Google spreman trgovati onim što bi izgubili u šifriranim podacima kako bi zadržali kupce u Google ekosustavu, čini se da su zabrinuti zbog njihove privatnosti e-pošte", piše Ivers.

Što Google sve do kraja nije

Stručnjaci za enkripciju već su puštali gumu nastavka, a pojavilo se nekoliko potencijalnih problema. Budući da se radi o Chromeovom proširenju, postupak šifriranja zahtijeva i pošiljatelja i primatelja da upotrebljavaju Chrome web-preglednike. Zadnji put kad sam provjerio, Chrome upotrebljava manje od 50 posto onih na Internetu.


Ostala su pitanja da Google end-to-End nije podržan na mobilnim uređajima; čini se da će prilozi i za sada ostati nešifrirani. Sve u svemu, ima dovoljno negativnih bodova da stručnjaci daju razlog za sumnju u opsežne posvojenja.

Nekoliko korisnih savjeta o šifriranju

Cijela ideja koja se krije iza šifriranja jest održavanje privatnosti između pošiljatelja i primatelja. Jedna stvar koju pošiljalac treba uzeti u obzir jest što ako osoba koja primi šifriranu e-poštu prosljeđuje je bez šifriranja? Ako je poruka dovoljno važna, pošiljatelj će možda htjeti uspostaviti određene kontrole koje primatelju omogućuju pregled, ali ne i ispis, kopiranje ili spremanje poruke.


"Pouke su jasne: čuvajte se velikih dobavljača ekosustava koji nose darove, pažljivo pročitajte pojedinosti o brojnim upozorenjima i iznimkama i pogledajte cjelovit prikaz šifriranja", piše Ivers. Dobar je savjet, pogotovo ako razmislite koliko nedostaje Googleovom novom ekstenziju šifriranja. Naravno, najveća stvar koja nedostaje kada je u pitanju usvajanje bilo koje vrste en-end-enkripcije je praktičnost.

Praktičnost je ključna

Google se nada da će njegova nova usluga Chrome učiniti krajnje šifriranje jednostavnom opcijom za svoje korisnike. Unatoč tome, Google je realan. Stephan Somogyi, menadžer proizvoda, sigurnosti i privatnosti rekao je, "Svjesni smo da će se ovakva vrsta šifriranja vjerojatno koristiti samo za vrlo osjetljive poruke ili one kojima treba dodatna zaštita."


Google kaže da je End-to-End još uvijek bio alfa sklop i dostupan samo zajednici programera. Iz tvrtke su kazali da će, nakon što osjete da je proširenje spremno i bez grešaka, učiniti dostupnim u Chrome web trgovini. To je nesavršeno rješenje sigurnosti, ali još je sigurnije. Pitanje je, hoće li se netko mučiti da ga instalira?

Googleovo krajnje kriptiranje nije ono što se čini