Googles kryptering i slutändan är inte som det verkar

Att kalla det FUD kan vara lite starkt, men det är verkligen en hel del förvirring om Google Chrome-tillägg som tillkännagavs 3 juni 2014, kallad End-to-End. När den släpps kommer tillägget att tillåta kryptering av e-postmeddelanden i slutändan. Låter tillräckligt enkelt, eller hur? Men det är där förvirringen börjar, eftersom de flesta var under intrycket att Gmail-meddelanden redan var krypterade. Och de är. Ungefär …

Är inte Gmail redan krypterat?

Det enklaste sättet att förklara Gmails nuvarande kryptering är att tänka på e-postmeddelandet som reser från avsändarens dator till den avsedda e-postmottagaren. Under transiteringen krypteras digitala meddelanden via Transport Layer Security (TLS), ett protokoll som ger säkerhet mellan klient / serverapplikationer som kommunicerar med varandra via Internet.

Missuppfattningen spelar upp när meddelandet är i vila hos avsändaren, mellanhandsservrar eller mottagaren. Vid dessa punkter är meddelandet inte krypterat. En annan gång meddelandet inte är krypterat är om mottagarens e-postprogram inte accepterar HTTPS (med hjälp av TLS) -meddelanden. Det är därför experter säger att den nuvarande Gmail-krypteringen inte är "ände till slut."

Google spårar antalet skickade Gmail-meddelanden som är krypterade under transporten samt antalet meddelanden som tas emot av Gmail-användare som också är krypterade under transitering. Som visas i rapporten nedan är upp till 50 procent av Gmail-meddelanden inte krypterade.

End-to-end-kryptering är inte ny

Intressant nog finns det riktiga applikationer för e-postkryptering, men de är inte alls populära. Två exempel är PGP och GnuPG. PGP är särskilt intressant eftersom dess skapare, Phil Zimmermann, fick allvarliga problem med den amerikanska regeringen när han först skapade PGP. Anledningen? PGP var för effektivt.

Frågan är, om det är möjligt att kryptera e-post från slutet till varför, varför använder inte människor det? Svaret: när bekvämlighet och säkerhet kolliderar vinner bekvämligheten vanligtvis. Och för närvarande är e-postkryptering komplicerad att konfigurera och en smärta att använda. Fram till nyligen var människor inte så bekymrade över att kryptera sin e-post. (Läs mer om sekretess och säkerhet i vad du borde veta om din integritet online.)

En annan komplikation med end-to-end e-postkryptering är att båda parter behöver kompatibel krypteringsprogramvara. Om programmen inte är kompatibla dekrypteras inte e-postmeddelandet. Så snarare än att riskera att inte läsa ett e-postmeddelande bryr de flesta avsändare sig inte om kryptering.

Vad är Google End-to-End?

Google-utvecklare är väl medvetna om ovanstående problem och har skapat en krypteringsprocess som är användarvänlig, "en Chrome-förlängning som hjälper dig att kryptera, dekryptera, digitala tecken och verifiera signerade meddelanden i webbläsaren med OpenPGP." Detta skulle sedan placera Googles nya version av e-postkryptering i kategorin "ände till slut".

Googles krypteringsförlängning fick genast intresse från sekretessgemenskapen. Om End-to-End gör det som Google säger kommer förlängningen att hindra Google från att skanna meddelandekroppen, något som Google gör nu och överväger en inkomstström. I ett blogginlägg den 11 juni erbjuder Jim Ivers, chef för säkerhetsstrateg för Covata, och förklaring.

"Jag antar att Google är villigt att handla vad de skulle förlora i krypterad data för att behålla kunder i Googles ekosystem genom att tyckas vara bekymrad över deras integritetspost", skriver Ivers.

Vad Google End-to-End inte är

Krypteringsexperter har redan sparkat tilläggets däck, och flera potentiella problem har dykt upp. Eftersom det är ett Chrome-tillägg kräver krypteringsprocessen både avsändaren och mottagaren att använda Chrome webbläsare. Förra gången jag kontrollerade, användes Chrome av mindre än 50 procent av dem på Internet.

Andra problem är att Google End-to-End inte stöds på mobila enheter; det verkar som om bilagor kommer att förbli okrypterade också. Sammantaget finns det tillräckligt med negativa punkter för att ge skickliga skäl att ifrågasätta en storskalig adoption.

Några användbara tips om kryptering

Hela idén bakom kryptering är att bibehålla integriteten mellan avsändaren och mottagaren. En sak som avsändaren bör ta hänsyn till är, vad händer om personen som tar emot det krypterade e-postmeddelandet vidarebefordrar det utan kryptering? Om meddelandet är tillräckligt viktigt kan avsändaren inställa vissa kontroller som bara gör att mottagaren kan se men inte skriva ut, kopiera eller spara meddelandet.

"Lektionerna är tydliga: se upp för stora ekosystemförsäljare som bär gåvor, läs noggrant detaljerna för de många varningar och undantag och ta en helhetssyn på kryptering, " skriver Ivers. Det är bra råd, särskilt när du tänker på hur mycket som saknas i Googles nya krypteringsförlängning. Naturligtvis är det största som saknas när det gäller att anta någon form av en-till-ände-kryptering bekvämlighet.

Bekvämlighet är nyckeln

Google hoppas att den nya Chrome-tjänsten kommer att göra kryptering från ett ände till ett enkelt alternativ för sina användare. Trots det är Google realistiskt. Stephan Somogyi, produktchef, säkerhet och integritet sa, "Vi inser att den här typen av kryptering troligen endast kommer att användas för mycket känsliga meddelanden eller av dem som behöver extra skydd."

Google säger att End-to-End fortfarande var en alpha build och endast tillgänglig för utvecklargruppen. Företaget sa att när de känner att tillägget är klart och felfritt kommer de att göra det tillgängligt i Chrome Web Store. Det är en ofullkomlig lösning på säkerhet, men den är fortfarande säkrare. Frågan är, kommer någon att bry sig om att installera den?