Indholdsfortegnelse:
- Er Gmail ikke allerede krypteret?
- Ende-til-ende-kryptering er ikke ny
- Hvad er Google ende til ende?
- Hvad Google fra ende til ende ikke er
- Nogle nyttige tip om kryptering
- Bekvemmelighed er nøglen
At kalde det FUD er måske en smule stærk, men der er bestemt en stor forvirring omkring Google Chrome-udvidelsen, der blev annonceret 3. juni 2014, kaldet End-to-End. Når udgivelsen tillader det, vil udvidelsen tillade ende-til-ende-kryptering af e-mail-meddelelser. Lyder enkelt nok, ikke? Men det er her forvirringen starter, fordi de fleste var under indtryk af, at Gmail-meddelelser allerede var krypteret. Og det er de også. Nå, slags …
Er Gmail ikke allerede krypteret?
Den enkleste måde at forklare Gmail's aktuelle kryptering er at tænke på e-mail-beskeden, der rejser fra afsenderens computer til den tilsigtede e-mail-modtager. Under transit krypteres digitale meddelelser via Transport Layer Security (TLS), en protokol, der giver sikkerhed mellem klient / serverapplikationer, der kommunikerer med hinanden over internettet.
Misforståelsen kommer i spil, når beskeden er i hvile hos afsenderen, mellemliggende servere eller modtageren. På disse punkter er meddelelsen ikke krypteret. En anden gang meddelelsen ikke er krypteret, er hvis modtagerens e-mail-program ikke accepterer HTTPS-meddelelser (ved hjælp af TLS). Derfor siger eksperter, at den nuværende Gmail-kryptering ikke er "ende til ende."
Google sporer antallet af sendte Gmail-meddelelser, der er krypteret under transit samt antallet af meddelelser, der er modtaget af Gmail-brugere, der også er krypteret under transit. Som vist i rapporten herunder er op til 50 procent af Gmail-beskeder ikke krypteret.
Ende-til-ende-kryptering er ikke ny
Interessant nok er der ægte ende-til-ende-e-mail-krypteringsapplikationer, men de er på ingen måde populære. To eksempler er PGP og GnuPG. PGP er især interessant, da dens skaber, Phil Zimmermann, fik alvorlige problemer med den amerikanske regering, da han først oprettede PGP. Grunden? PGP var for effektiv.
Spørgsmålet er, hvis det er muligt at kryptere e-mail fra ende til anden, hvorfor bruger folk ikke den? Svaret: når komfort og sikkerhed kæmper, vinder bekvemmeligheden normalt. Og i øjeblikket er e-mail-kryptering kompliceret at konfigurere og en smerte at bruge. Indtil for nylig var folk ikke så bekymrede for at kryptere deres e-mail. (Lær mere om privatlivets fred og sikkerhed i Hvad du skal vide om dit privatliv online.)
En anden komplikation med ende-til-ende-e-mail-kryptering er, at begge parter har brug for kompatibel krypteringssoftware. Hvis programmerne ikke er kompatible, dekrypteres e-mail-meddelelsen ikke. Så i stedet for at risikere at ikke få en e-mail læst, gider de fleste afsendere ikke med kryptering.
Hvad er Google ende til ende?
Google-udviklere er godt opmærksomme på ovenstående problemer og har oprettet en krypteringsproces, der er brugervenlig, "en Chrome-udvidelse, der hjælper dig med at kryptere, dekryptere, digital signere og verificere underskrevne meddelelser i browseren ved hjælp af OpenPGP." Dette placerer derefter Googles nye version af e-mail-kryptering i kategorien "ende-til-ende".
Googles krypteringsudvidelse fik straks interesse fra privatlivets fred. Hvis End-to-End gør, hvad Google siger, vil udvidelsen forhindre Google i at scanne meddelelsesorganet, noget Google gør nu og betragter en indtægtsstrøm. I et 11. juni-blogindlæg tilbyder Jim Ivers, chef for sikkerhedsstrateg for Covata, tilbud og forklaring.
"Jeg antager, at Google er villig til at handle, hvad de ville miste med krypterede data for at bevare kunder i Googles økosystem ved at synes at være bekymret for deres e-mail-privatliv, " skriver Ivers.
Hvad Google fra ende til ende ikke er
Krypteringseksperter har allerede sparket i forlængelsens dæk, og flere potentielle problemer er dukket op. Da det er en Chrome-udvidelse, kræver krypteringsprocessen både afsender og modtager at bruge Chrome-webbrowsere. Sidste gang jeg kontrollerede, blev Chrome brugt af mindre end 50 procent af dem på Internettet.
Andre problemer er, at Google End-to-End ikke understøttes på mobile enheder; det ser ud til, at vedhæftede filer også forbliver ukrypterede. Alt i alt er der nok negative punkter til at give pundits grund til at tvivle på en storstilet vedtagelse.
Nogle nyttige tip om kryptering
Hele ideen bag kryptering er at bevare privatliv mellem afsenderen og modtageren. Én ting, som afsenderen skal tage i betragtning, er, hvad hvis den person, der modtager den krypterede e-mail videresender den uden kryptering? Hvis meddelelsen er vigtig nok, kan afsenderen muligvis indstille visse kontroller, der kun giver modtageren mulighed for at se, men ikke udskrive, kopiere eller gemme beskeden.
"Lektionerne er klare: pas på store økosystemleverandører, der bærer gaver, læse detaljerne omhyggeligt for de mange advarsler og undtagelser, og se et holistisk syn på kryptering, " skriver Ivers. Det er gode råd, især når du overvejer hvor meget der mangler i Googles nye krypteringsudvidelse. Naturligvis er den største ting, der mangler, når det kommer til at vedtage nogen form for ende-til-ende-kryptering bekvemmelighed.
Bekvemmelighed er nøglen
Google håber, at dens nye Chrome-tjeneste vil gøre ende-til-ende-kryptering til en let mulighed for sine brugere. Alligevel er Google realistisk. Stephan Somogyi, produktchef, sikkerhed og privatliv sagde, "Vi anerkender, at denne slags kryptering sandsynligvis kun vil blive brugt til meget følsomme beskeder eller af dem, der har brug for ekstra beskyttelse."
Google siger, at End-to-End stadig var en alpha build og kun tilgængelig for udviklerfællesskabet. Selskabet sagde, når de føler, at udvidelsen er klar og fejlfri, vil de gøre den tilgængelig i Chrome Webshop. Det er en ufuldkommen løsning på sikkerhed, men den er stadig mere sikker. Spørgsmålet er, vil nogen gider at installere det?
