Mục lục:
- Không phải Gmail đã được mã hóa?
- Mã hóa đầu cuối không mới
- Google End-to-End là gì?
- Những gì Google End-to-End không phải là
- Một số lời khuyên hữu ích về mã hóa
- Thuận tiện là chìa khóa
Gọi nó là FUD có thể hơi mạnh, nhưng chắc chắn có rất nhiều nhầm lẫn về tiện ích mở rộng Google Chrome được công bố vào ngày 3 tháng 6 năm 2014, được gọi là End-to-End. Khi được phát hành, tiện ích mở rộng sẽ cho phép mã hóa từ đầu đến cuối của email. Nghe có vẻ đơn giản, phải không? Nhưng đó là nơi sự nhầm lẫn bắt đầu, bởi vì hầu hết mọi người đều có ấn tượng rằng các tin nhắn Gmail đã được mã hóa. Và họ là. Chà, loại …
Không phải Gmail đã được mã hóa?
Cách đơn giản nhất để giải thích mã hóa hiện tại của Gmail là suy nghĩ về thông điệp email đi từ máy tính của người gửi đến người nhận email dự định. Trong quá trình vận chuyển, tin nhắn kỹ thuật số được mã hóa thông qua TLS), một giao thức cung cấp bảo mật giữa các ứng dụng khách / máy chủ liên lạc với nhau qua Internet.
Quan niệm sai lầm xuất hiện khi tin nhắn ở trạng thái nghỉ tại người gửi, máy chủ trung gian hoặc người nhận. Tại những điểm đó, tin nhắn không được mã hóa. Một lần khác, tin nhắn không được mã hóa là nếu chương trình email của người nhận không chấp nhận tin nhắn HTTPS (sử dụng TLS). Đó là lý do tại sao các chuyên gia nói rằng mã hóa Gmail hiện tại không phải là "đầu cuối".
Google theo dõi số lượng tin nhắn Gmail đã gửi được mã hóa trong khi quá cảnh cũng như số lượng tin nhắn mà người dùng Gmail nhận được cũng được mã hóa trong quá cảnh. Như được hiển thị trong báo cáo bên dưới, có tới 50 phần trăm thư Gmail không được mã hóa.
Mã hóa đầu cuối không mới
Thật thú vị, có những ứng dụng mã hóa email đầu cuối thực sự, nhưng chúng không có nghĩa là phổ biến. Hai ví dụ là PGP và GnuPG. PGP đặc biệt thú vị ở chỗ, người tạo ra nó, Phil Zimmermann, đã gặp rắc rối nghiêm trọng với chính phủ Hoa Kỳ khi lần đầu tiên tạo ra PGP. Nguyên nhân? PGP đã quá hiệu quả.
Câu hỏi là, nếu có thể mã hóa email từ đầu đến cuối, tại sao mọi người không sử dụng nó? Câu trả lời: khi sự thuận tiện và xung đột an ninh, sự thuận tiện thường chiến thắng. Và hiện tại, mã hóa email rất phức tạp để thiết lập và gây khó khăn khi sử dụng. Ngoài ra, cho đến gần đây, mọi người không quan tâm đến việc mã hóa email của họ. (Tìm hiểu thêm về quyền riêng tư và bảo mật trong những điều bạn nên biết về quyền riêng tư trực tuyến của mình.)
Một sự phức tạp khác với mã hóa email từ đầu đến cuối là cả hai bên đều cần phần mềm mã hóa tương thích. Nếu các chương trình không tương thích, thông báo email sẽ không giải mã được. Vì vậy, thay vì rủi ro khi không đọc email, hầu hết người gửi không bận tâm đến mã hóa.
Google End-to-End là gì?
Các nhà phát triển của Google nhận thức rõ các vấn đề nêu trên và đã tạo ra một quy trình mã hóa thân thiện với người dùng, "tiện ích mở rộng Chrome giúp bạn mã hóa, giải mã, ký kỹ thuật số và xác minh các tin nhắn đã ký trong trình duyệt bằng OpenPGP." Điều này sau đó sẽ đặt phiên bản mã hóa email mới của Google vào danh mục "từ đầu đến cuối".
Tiện ích mở rộng mã hóa của Google ngay lập tức thu hút được sự quan tâm từ cộng đồng quyền riêng tư. Nếu End-to-End thực hiện những gì Google nói, tiện ích mở rộng sẽ ngăn Google quét phần thân thư, hiện tại Google sẽ làm gì đó và xem xét một luồng doanh thu. Trong một bài đăng trên blog ngày 11 tháng 6, Jim Ivers, chiến lược gia an ninh chính của Covata, đưa ra và giải thích.
"Tôi cho rằng Google sẵn sàng đánh đổi những gì họ sẽ mất trong dữ liệu được mã hóa để giữ chân khách hàng trong hệ sinh thái Google bằng cách tỏ ra quan tâm đến quyền riêng tư email của họ", Ivers viết.
Những gì Google End-to-End không phải là
Các chuyên gia mã hóa đã và đang đá lốp xe của phần mở rộng, và một số vấn đề tiềm ẩn đã xuất hiện. Vì là tiện ích mở rộng của Chrome, quy trình mã hóa sẽ yêu cầu cả người gửi và người nhận sử dụng trình duyệt Chrome Web. Lần trước tôi đã kiểm tra, Chrome đã được sử dụng bởi ít hơn 50 phần trăm những người trên Internet.
Các vấn đề khác là Google End-to-End không được hỗ trợ trên thiết bị di động; có vẻ như các tệp đính kèm sẽ vẫn không được mã hóa cho đến bây giờ. Tất cả trong tất cả, có đủ điểm tiêu cực để đưa ra lý do để nghi ngờ áp dụng quy mô lớn.
Một số lời khuyên hữu ích về mã hóa
Toàn bộ ý tưởng đằng sau mã hóa là duy trì sự riêng tư giữa người gửi và người nhận. Một điều người gửi nên cân nhắc là, điều gì sẽ xảy ra nếu người nhận được email được mã hóa mà không cần mã hóa? Nếu tin nhắn đủ quan trọng, người gửi có thể muốn kích hoạt một số điều khiển nhất định chỉ cho phép người nhận xem, nhưng không in, sao chép hoặc lưu tin nhắn.
"Các bài học rất rõ ràng: hãy cẩn thận với các nhà cung cấp hệ sinh thái lớn mang quà tặng, đọc kỹ các chi tiết cho nhiều cảnh báo và ngoại lệ, và có cái nhìn toàn diện về mã hóa", Ivers viết. Đó là lời khuyên tốt, đặc biệt là khi bạn xem xét thiếu bao nhiêu trong phần mở rộng mã hóa mới của Google. Tất nhiên, điều lớn nhất còn thiếu khi áp dụng bất kỳ loại mã hóa đầu cuối nào là sự tiện lợi.
Thuận tiện là chìa khóa
Google đang hy vọng dịch vụ Chrome mới của mình sẽ biến mã hóa đầu cuối thành một lựa chọn dễ dàng cho người dùng. Mặc dù vậy, Google là thực tế. Stephan Somogyi, quản lý sản phẩm, bảo mật và quyền riêng tư cho biết: "Chúng tôi nhận ra rằng loại mã hóa này có thể sẽ chỉ được sử dụng cho các tin nhắn rất nhạy cảm hoặc bởi những người cần được bảo vệ thêm."
Google nói rằng End-to-End vẫn là bản dựng alpha và chỉ dành cho cộng đồng nhà phát triển. Công ty cho biết một khi họ cảm thấy tiện ích mở rộng đã sẵn sàng và không có lỗi, họ sẽ cung cấp tiện ích này trong cửa hàng Chrome Web. Đó là một giải pháp không hoàn hảo để bảo mật, nhưng nó vẫn an toàn hơn. Câu hỏi là, có ai bận tâm cài đặt nó không?
