Penyulitan end-to-end Google tidak sepertinya

Memanggilnya FUD mungkin sedikit kuat, tetapi pasti ada banyak kekeliruan mengenai pelanjutan Google Chrome yang diumumkan pada 3 Jun 2014 yang dipanggil End-to-End. Apabila dilepaskan, sambungan itu akan membolehkan penyulitan mesej e-mel hujung ke hujung. Bunyi cukup mudah, kan? Tetapi itulah kebingungan bermula, kerana kebanyakan orang berada di bawah tanggapan bahawa mesej Gmail telah dienkripsi. Dan, mereka. Well, macam …

Bukankah Gmail Telah Dienkripsikan?

Cara paling mudah untuk menjelaskan penyulitan semasa Gmail adalah untuk memikirkan mesej e-mel perjalanan dari komputer penghantar ke penerima e-mel yang dimaksudkan. Semasa transit, mesej digital disulitkan melalui Transport Layer Security (TLS), sebuah protokol yang menyediakan keselamatan antara aplikasi klien / pelayan yang berkomunikasi antara satu sama lain melalui Internet.

Salah tanggapan berlaku ketika mesej sedang beristirahat di penghantar, pelayan perantara atau penerima. Pada titik tersebut, mesej tidak disulitkan. Pada masa lain mesej tidak disulitkan adalah jika program e-mel penerima tidak menerima HTTPS (menggunakan TLS) mesej. Itulah sebabnya pakar mengatakan penyulitan Gmail semasa tidak "hujung-ke-hujung."

Google menjejaki bilangan mesej Gmail yang dienkripsi semasa dalam transit serta jumlah mesej yang diterima oleh pengguna Gmail yang disulitkan dalam transit. Seperti yang ditunjukkan dalam laporan di bawah, sehingga 50 peratus mesej Gmail tidak disulitkan.

Penyulitan End-to-End Tidak Baru

Menariknya, terdapat aplikasi penyulitan e-mel akhir-ke-akhir yang benar, tetapi mereka tidak semestinya popular. Dua contoh adalah PGP dan GnuPG. PGP sangat menarik kerana penciptanya, Phil Zimmermann, menghadapi masalah serius dengan kerajaan Amerika Syarikat ketika dia mula-mula membuat PGP. Sebabnya? PGP terlalu berkesan.

Persoalannya ialah, jika ada kemungkinan untuk menyulitkan e-mel dari hujung ke hujung, kenapa bukan orang yang menggunakannya? Jawapannya: apabila kemudahan dan pertembungan keselamatan, kemudahan biasanya menang. Dan pada masa ini, penyulitan e-mel adalah rumit untuk ditubuhkan dan kesakitan untuk digunakan. Juga, sehingga baru-baru ini, orang tidak bimbang tentang menyulitkan e-mel mereka. (Ketahui lebih lanjut mengenai privasi dan keselamatan dalam Apa yang Harus Anda Ketahui Mengenai Privasi Online Anda.)

Satu lagi komplikasi dengan penyulitan e-mel hujung-ke-akhir ialah kedua-dua pihak memerlukan perisian penyulitan yang serasi. Jika program tidak serasi, mesej e-mel tidak akan menyahsulit. Jadi, daripada risiko yang tidak mempunyai e-mel dibaca, kebanyakan penghantar tidak peduli dengan penyulitan.

Apakah Google End-to-End?

Pemaju Google sedar tentang isu-isu di atas dan telah membuat proses penyulitan yang mesra pengguna, "sambungan Chrome yang membantu anda menyulitkan, menyahsulit, menandatangani digital, dan mengesahkan mesej yang telah ditandatangani dalam penyemak imbas menggunakan OpenPGP." Ini kemudian akan meletakkan penyulitan e-mel versi baru Google dalam kategori "end-to-end".

Sambungan penyulitan Google dengan segera mendapat faedah daripada komuniti privasi. Jika End-to-End melakukan apa yang Google katakan, pelanjutan itu akan menghalang Google daripada mengimbas badan mesej, sesuatu yang dilakukan Google sekarang, dan menganggap aliran pendapatan. Dalam jawatan blog 11 Jun, Jim Ivers, ketua strategi keselamatan untuk Covata, tawaran dan penjelasan.

"Saya menganggap bahawa Google bersedia untuk memperdagangkan apa yang mereka akan hilang dalam data yang disulitkan untuk mengekalkan pelanggan dalam ekosistem Google dengan menunjukkan kebimbangan terhadap privasi e-mel mereka, " tulis Ivers.

Apakah Google End-to-End Tidak

Pakar enkripsi telah menendang tayar lanjutan, dan beberapa isu berpotensi telah muncul. Kerana ia merupakan sambungan Chrome, proses penyulitan memerlukan kedua-dua penghantar dan penerima menggunakan pelayar Web Chrome. Kali terakhir saya diperiksa, Chrome digunakan oleh kurang daripada 50 peratus daripada mereka di Internet.

Isu-isu lain adalah bahawa Google End-to-End tidak disokong pada peranti mudah alih; ternyata bahawa lampiran akan tetap tidak disenarai untuk sekarang juga. Secara keseluruhannya, terdapat cukup mata negatif untuk memberi alasan kepada keraguan tentang penggunaan besar-besaran.

Beberapa Tips Berguna Mengenai Penyulitan

Keseluruhan idea di sebalik penyulitan adalah untuk mengekalkan privasi antara penghantar dan penerima. Satu perkara yang perlu diingat oleh penghantar ialah, bagaimana jika orang yang menerima e-mel yang disulik akan meneruskannya tanpa penyulitan? Sekiranya mesej itu cukup penting, penghantar mungkin mahu mengawal kawalan tertentu yang hanya membenarkan penerima melihat, tetapi tidak mencetak, menyalin, atau menyimpan mesej tersebut.

"Pelajaran yang jelas: berhati-hati dengan vendor ekosistem yang besar yang membawa hadiah, membaca butiran dengan teliti untuk banyak kaveat dan pengecualian, dan mengambil pandangan holistik penyulitan, " tulis Ivers. Saranan yang baik, terutamanya apabila anda mempertimbangkan berapa banyak yang hilang dalam sambungan penyulitan baharu Google. Sudah tentu, perkara terbesar yang hilang apabila menggunakan penyulitan end-to-end adalah kemudahan.

Kemudahannya adalah Kunci

Google berharap perkhidmatan Chrome yang baru akan membuat penyulitan akhir-ke-akhir pilihan yang mudah untuk penggunanya. Walaupun demikian, Google adalah realistik. Stephan Somogyi, pengurus produk, keselamatan dan privasi berkata, "Kami menyedari bahawa penyulitan semacam ini mungkin hanya akan digunakan untuk mesej yang sangat sensitif atau oleh mereka yang memerlukan perlindungan tambahan."

Google mengatakan bahawa End-to-End masih merupakan bangunan alpha, dan hanya tersedia untuk komuniti pemaju. Syarikat itu berkata begitu mereka merasakan sambungan itu sudah siap dan tidak bebas, mereka akan menjadikannya tersedia di kedai Web Chrome. Ia adalah penyelesaian yang tidak sempurna untuk keselamatan, tetapi ia masih lebih selamat. Persoalannya, siapa yang akan mengganggu untuk memasangnya?