Сквозное шифрование Google не то, что кажется

Называть его FUD может быть немного сильным, но, безусловно, существует большая путаница в объявленном 3 июня 2014 года расширении Google Chrome под названием End-to-End. После выпуска расширение позволит осуществлять сквозное шифрование сообщений электронной почты. Звучит достаточно просто, правда? Но вот тут и начинается путаница, потому что у большинства людей сложилось впечатление, что сообщения Gmail уже зашифрованы. И они. Ну вроде …

Разве Gmail уже не зашифрован?

Самый простой способ объяснить текущее шифрование Gmail - подумать о том, какое сообщение электронной почты отправляется с компьютера отправителя предполагаемому получателю электронной почты. Во время передачи цифровые сообщения шифруются с помощью протокола TLS, который обеспечивает безопасность между клиент-серверными приложениями, которые обмениваются данными друг с другом через Интернет.

Это заблуждение вступает в игру, когда сообщение находится в состоянии покоя у отправителя, промежуточных серверов или получателя. В этих точках сообщение не зашифровано. В другой раз сообщение не зашифровано, если программа электронной почты получателя не принимает сообщения HTTPS (используя TLS). Вот почему эксперты говорят, что текущее шифрование Gmail не является «сквозным».

Google отслеживает количество отправленных сообщений Gmail, зашифрованных во время передачи, а также количество сообщений, полученных пользователями Gmail, которые также зашифрованы при передаче. Как показано в отчете ниже, до 50 процентов сообщений Gmail не шифруются.

Сквозное шифрование не ново

Интересно, что существуют настоящие комплексные приложения для шифрования электронной почты, но они ни в коем случае не популярны. Два примера - PGP и GnuPG. PGP особенно интересен тем, что его создатель, Фил Циммерманн, столкнулся с серьезными проблемами с правительством США, когда он впервые создал PGP. Причина? PGP был слишком эффективен.

Вопрос в том, что если есть возможность зашифровать электронную почту, почему люди ее не используют? Ответ: когда удобство и безопасность сталкиваются, удобство обычно побеждает. И в настоящее время шифрование электронной почты сложно настроить и неудобно использовать. Кроме того, до недавнего времени люди не были так обеспокоены шифрованием своей электронной почты. (Подробнее о конфиденциальности и безопасности см. В разделе «Что следует знать о конфиденциальности в Интернете».)

Еще одно осложнение сквозного шифрования электронной почты заключается в том, что обеим сторонам требуется совместимое программное обеспечение для шифрования. Если программы несовместимы, сообщение электронной почты не будет расшифровано. Таким образом, вместо того, чтобы рисковать, не прочитав письмо, большинство отправителей не беспокоятся о шифровании.

Что такое Google Сквозной?

Разработчики Google хорошо осведомлены о вышеупомянутых проблемах и создали удобный для пользователя процесс шифрования, «расширение Chrome, которое помогает вам шифровать, дешифровать, цифровую подпись и проверять подписанные сообщения в браузере с помощью OpenPGP». Это тогда поместит новую версию Google для шифрования электронной почты в категорию «сквозной».

Расширение шифрования от Google сразу же вызвало интерес у сообщества по защите конфиденциальности. Если сквозное выполнение того, что говорит Google, расширение не позволит Google сканировать тело сообщения, что сейчас делает Google, и учитывает поток дохода. В сообщении в блоге от 11 июня Джим Айверс, главный стратег по безопасности Covata, предлагает и объяснения.

«Я предполагаю, что Google готов обменять то, что они потеряют в зашифрованных данных, чтобы удержать клиентов в экосистеме Google, по-видимому, заботясь о конфиденциальности их электронной почты», - пишет Айверс.

Чем Google не является сквозным

Эксперты по шифрованию уже пинают шины расширения, и возникло несколько потенциальных проблем. Поскольку это расширение Chrome, для процесса шифрования потребуется, чтобы отправитель и получатель использовали веб-браузеры Chrome. В прошлый раз, когда я проверял, Chrome использовался менее чем 50 процентами пользователей Интернета.

Другие проблемы заключаются в том, что Google End-to-End не поддерживается на мобильных устройствах; Похоже, что вложения пока остаются незашифрованными. В общем, есть достаточно негативных моментов, чтобы дать ученым повод усомниться в широкомасштабном усыновлении.

Несколько полезных советов о шифровании

Вся идея шифрования заключается в поддержании конфиденциальности между отправителем и получателем. Отправитель должен принять во внимание одну вещь: что если человек, получивший зашифрованное письмо, пересылает его без шифрования? Если сообщение достаточно важно, отправитель может захотеть использовать определенные элементы управления, которые позволяют только получателю просматривать, но не распечатывать, копировать или сохранять сообщение.

«Уроки очевидны: остерегайтесь крупных поставщиков экосистем, несущих подарки, внимательно читайте подробности для многочисленных предостережений и исключений и придерживайтесь целостного подхода к шифрованию», - пишет Айверс. Это хороший совет, особенно если учесть, чего не хватает в новом расширении шифрования Google. Конечно, самое большое, чего не хватает, когда дело доходит до принятия любого вида сквозного шифрования, - это удобство.

Удобство - это ключ

Google надеется, что его новый сервис Chrome сделает сквозное шифрование простым вариантом для своих пользователей. Несмотря на это, Google реалистичен. Стефан Сомоджи, менеджер по продукту в сфере безопасности и конфиденциальности, сказал: «Мы понимаем, что этот вид шифрования, вероятно, будет использоваться только для очень конфиденциальных сообщений или для тех, кто нуждается в дополнительной защите».

Google утверждает, что сквозная работа по-прежнему была альфа-сборкой и доступна только для сообщества разработчиков. Компания заявила, что, как только они почувствуют, что расширение готово и не содержит ошибок, они сделают его доступным в Интернет-магазине Chrome. Это несовершенное решение для безопасности, но оно еще более безопасно. Вопрос, кто-нибудь потрудится установить его?