ההצפנה מקצה לקצה של גוגל אינה כפי שהיא נראית

קוראים לזה FUD אולי קצת חזק, אבל בהחלט יש הרבה בלבול ביחס לתוסף Google Chrome שהוכרז ב -3 ביוני 2014, שנקרא End-to-End. עם שחרורו, התוסף יאפשר קידוד מקצה לקצה של הודעות דואר אלקטרוני. נשמע די פשוט, נכון? אבל כאן מתחיל הבלבול, מכיוון שרוב האנשים התרשמו כי הודעות Gmail כבר היו מוצפנות. והם. ובכן, סוג של …

האם Gmail כבר לא מוצפן?

הדרך הפשוטה ביותר להסביר את ההצפנה הנוכחית של ג'ימייל היא לחשוב על הודעת הדוא"ל הנוסעת ממחשב השולח לנמען הדוא"ל המיועד. במהלך המעבר, הודעות דיגיטליות מוצפנות באמצעות Transport Layer Security (TLS), פרוטוקול המספק אבטחה בין יישומי הלקוח / השרת המתקשרים זה עם זה דרך האינטרנט.

התפיסה השגויה נכנסת לפעולה כאשר ההודעה במנוחה אצל השולח, שרתי המתווכים או הנמען. בנקודות אלה ההודעה אינה מוצפנת. פעם אחרת ההודעה לא מוצפנת היא אם תוכנית הדוא"ל של הנמען אינה מקבלת הודעות HTTPS (באמצעות TLS). זו הסיבה שמומחים טוענים כי הצפנת Gmail הנוכחית אינה "מקצה לקצה".

גוגל עוקבת אחר מספר ההודעות הנשלחות ב- Gmail המוצפנות במהלך המעבר, כמו גם את מספר ההודעות שהתקבלו על ידי משתמשי Gmail שמוצפנים גם הם במעבר. כפי שמוצג בדוח שלהלן, עד 50 אחוז מהודעות Gmail אינן מוצפנות.

קידוד מקצה לקצה אינו חדש

מעניין לציין שיש יישומי קידוד דוא"ל מקצה לקצה, אך הם בשום פנים ואינם פופולריים. שתי דוגמאות הן PGP ו- GnuPG. PGP מעניין במיוחד בכך שיוצרו, פיל צימרמן, הסתבך בצרות קשה עם ממשלת ארה"ב כאשר הקים לראשונה את PGP. הסיבה? PGP היה יעיל מדי.

השאלה היא אם אפשר להצפין דוא"ל מקצה לקצה, מדוע אנשים לא משתמשים בו? התשובה: כאשר הנוחות והביטחון מתנגשים, הנוחות בדרך כלל מנצחת. נכון לעכשיו, הצפנת דוא"ל מסובכת להגדרה וכאב לשימוש. כמו כן, עד לאחרונה אנשים לא חששו להצפנת הדוא"ל שלהם. (למידע נוסף על פרטיות ואבטחה, בדברים שעליכם לדעת על פרטיותכם ברשת.)

סיבוך נוסף עם קידוד דוא"ל מקצה לקצה הוא ששני הצדדים זקוקים לתוכנת הצפנה תואמת. אם התוכניות אינן תואמות, הודעת הדואר האלקטרוני לא תפענח. לכן, במקום להסתכן בכך שלא יקראו דוא"ל, רוב השולחים אינם טורחים בהצפנה.

מה זה גוגל מקצה לקצה?

מפתחים של גוגל מודעים היטב לנושאים שלעיל, ויצרו תהליך הצפנה ידידותי למשתמש, "תוסף Chrome המסייע לך להצפין, לפענח, לחתום דיגיטלי ולאמת הודעות חתומות בדפדפן באמצעות OpenPGP." לאחר מכן זה ימקם את הגרסה החדשה של גוגל להצפנת דוא"ל בקטגוריית "מקצה לקצה".

הרחבת ההצפנה של גוגל הביאה מיד עניין מקהילת הפרטיות. אם מקצה לקצה עושה את מה שגוגל אומרת, התוסף ימנע מגוגל לסרוק את גוף ההודעות, משהו שגוגל עושה כעת, ורואה זרם הכנסות. בפוסט בבלוג של 11 ביוני מציע ג'ים אייברס, אסטרטג אבטחה ראשי של קובטה, והסבר.

איברס כותב כי "אני מניח שגוגל מוכנה לסחור את מה שהפסידו בנתונים מוצפנים כדי לשמור על לקוחות במערכת האקולוגית של גוגל בכך שהיא נראית מודאגת מפרטיות הדוא"ל שלהם.

מה שגוגל מקצה לקצה אינו

מומחי הצפנה כבר בעטו בצמיגי הרחבה, וכמה סוגיות פוטנציאליות צצו. מכיוון שמדובר בתוסף Chrome, תהליך ההצפנה יחייב את השולח וגם את הנמען להשתמש בדפדפני האינטרנט של Chrome. בפעם האחרונה שבדקתי, Chrome היה בשימוש על ידי פחות מ- 50 אחוז מהאנשים באינטרנט.

סוגיות אחרות הן שגוגל מקצה לקצה אינו נתמך במכשירים ניידים; נראה כי קבצים מצורפים יישארו לא מוצפנים לעת עתה. בסיכומו של דבר, יש מספיק נקודות שליליות בכדי לתת סיבה לאינדיאנים לפקפק באימוץ רחב היקף.

כמה טיפים שימושיים בנושא הצפנה

כל הרעיון העומד מאחורי ההצפנה הוא לשמור על פרטיות בין השולח לנמען. דבר אחד שהשולח צריך לקחת בחשבון הוא, מה אם האדם שמקבל את הדוא"ל המוצפן מעביר אותו ללא הצפנה? אם ההודעה חשובה מספיק, ייתכן שהשולח ירצה להפעיל פקדים מסוימים המאפשרים רק לנמען להציג, אך לא להדפיס, להעתיק או לשמור את ההודעה.

"השיעורים ברורים: היזהרו ממוכרי מערכות אקולוגיות גדולות הנושאות מתנות, קרא בעיון את הפרטים בכדי לקבל הערות אזהרה וחריגים רבים, וקח מבט הוליסטי של ההצפנה", כותב אייברס. עצה טובה, במיוחד כשאתה שוקל כמה חסר בתוסף ההצפנה החדש של גוגל. כמובן שהדבר הגדול ביותר שחסר בכל הנוגע לאימוץ כל סוג של קידוד מקצה לקצה הוא הנוחות.

הנוחות היא המפתח

גוגל מקווה ששירות Chrome החדש שלה יהפוך את ההצפנה מקצה לקצה לאופציה קלה למשתמשים שלה. עם זאת, גוגל היא מציאותית. סטפן סומוגיי, מנהל מוצר, אבטחה ופרטיות אמר, "אנו מכירים בכך שהצפנה מסוג זה תשמש ככל הנראה רק להודעות רגישות מאוד או למי שזקוק להגנה נוספת."

גוגל אומרת שקצה לקצה עדיין היה בניית אלפא, וזמינה רק לקהילת המפתחים. מהחברה נמסר כי ברגע שהם מרגישים שהשלוחה מוכנה ונטולת באגים, הם ינגישו אותה בחנות האינטרנט של Chrome. זה פיתרון לא מושלם לאבטחה, אך הוא עדיין מאובטח יותר. השאלה היא האם מישהו יטרח להתקין אותו?