目录:
称其为FUD可能有点强大,但对于2014年6月3日发布的名为“端到端”的Google Chrome扩展程序,确实存在很多困惑。 发布后,该扩展名将允许对电子邮件进行端到端加密。 听起来很简单,对吧? 但这就是混乱的开始,因为大多数人给人的印象是Gmail邮件已经被加密了。 而且,他们是。 好吧…
Gmail尚未加密吗?
解释Gmail当前加密的最简单方法是考虑从发件人计算机到目标电子邮件收件人的电子邮件。 在传输过程中,数字消息通过传输层安全性(TLS)加密,该协议可在通过Internet相互通信的客户端/服务器应用程序之间提供安全性。
当消息在发件人,中间服务器或收件人处处于静止状态时,误解就会起作用。 在这些时候,该消息未加密。 邮件不加密的另一次时间是收件人的电子邮件程序是否不接受HTTPS(使用TLS)邮件。 这就是为什么专家说当前的Gmail加密不是“端到端”的原因。
Google跟踪在传输过程中已加密的已发送Gmail邮件的数量,以及也在传输过程中也已加密的Gmail用户接收的邮件数量。 如下图所示,多达50%的Gmail邮件未加密。
端到端加密并不新鲜
有趣的是,有真正的端到端电子邮件加密应用程序,但是它们绝不受欢迎。 两个示例是PGP和GnuPG。 PGP的特别有趣之处在于,它的创建者Phil Zimmermann首次创建PGP时就遇到了美国政府的严重麻烦。 原因? PGP太有效了。
问题是,如果可以对电子邮件进行端到端加密,人们为什么不使用它? 答案:当便利和安全冲突时,通常会赢得便利。 当前,电子邮件加密的设置很复杂,使用起来很麻烦。 另外,直到最近,人们才开始担心加密电子邮件。 (在“关于在线隐私的知识”中了解有关隐私和安全性的更多信息。)
端到端电子邮件加密的另一个复杂之处是双方都需要兼容的加密软件。 如果程序不兼容,电子邮件将不会解密。 因此,大多数发件人不必担心没有阅读电子邮件,而不必担心加密问题。
什么是Google端到端?
Google开发人员很清楚上述问题,并创建了一个用户友好的加密过程,即“ Chrome扩展程序,可帮助您使用OpenPGP在浏览器中加密,解密,数字签名和验证签名消息”。 然后,这会将Google的电子邮件加密的新版本置于“端到端”类别中。
Google的加密扩展立即引起了隐私社区的关注。 如果端到端按照Google的说明进行操作,则该扩展名将阻止Google扫描邮件正文(Google现在正在这样做),并会考虑收入来源。 在6月11日的博客文章中,Covata的首席安全策略师Jim Ivers进行了介绍和解释。
艾弗斯写道:“我认为,谷歌愿意交易他们在加密数据中会丢失的东西,从而通过似乎担心客户的电子邮件隐私来保留他们在谷歌生态系统中的地位。”
什么不是Google端到端
加密专家已经开始扩展该扩展程序,并且出现了一些潜在的问题。 由于它是Chrome扩展程序,因此加密过程将要求发送者和接收者都使用Chrome Web浏览器。 上次我检查时,Chrome浏览器在Internet上的使用率不到50%。
其他问题是移动设备不支持Google端到端; 看来,附件目前仍将保持未加密状态。 总而言之,负面因素足以使专家们对大规模采用产生怀疑。
有关加密的一些有用提示
加密背后的整个想法是维护发送者和接收者之间的隐私。 发件人应考虑的一件事是,如果接收加密电子邮件的人不加密就转发该电子邮件呢? 如果消息足够重要,则发件人可能希望启动某些控件,这些控件仅允许收件人查看而不打印,复制或保存该消息。
艾弗斯写道:“教训很明确:提防那些举足轻重的大型生态系统供应商,仔细阅读详细信息以了解众多警告和例外,并从整体上看待加密,”艾弗斯写道。 这是一个很好的建议,尤其是当您考虑到Google的新加密扩展中缺少多少时。 当然,在采用任何类型的端到端加密时,最大的缺失就是便利性。
便利是关键
Google希望其新的Chrome服务将使端到端加密成为其用户的便捷选择。 即使这样,Google还是很现实的。 安全和隐私产品经理Stephan Somogyi说:“我们认识到,这种加密可能只会用于非常敏感的消息或需要额外保护的人员。”
谷歌表示,端到端仍然是一个Alpha版本,并且仅对开发人员社区可用。 该公司表示,一旦他们感觉扩展已经准备就绪且没有错误,他们将在Chrome网上应用店中提供该扩展。 这不是完美的安全解决方案,但是它仍然更安全。 问题是,有人愿意安装吗?
