Taula de continguts:
- Gmail ja no està xifrat?
- El xifrat de punta a punta no és nou
- Què és Google End-to-End?
- Què no és Google End-to-End
- Alguns consells útils sobre el xifrat
- La conveniència és la clau
Posar-se el nom de FUD pot ser una mica fort, però certament hi ha molta confusió sobre l’extensió de Google Chrome anunciada el 3 de juny de 2014, anomenada End-to-End. Quan s'allibera, l'extensió permetrà encriptar de forma final a extrem els missatges de correu electrònic. Sona prou senzill, oi? Però aquí és on comença la confusió, perquè la majoria de la gent tenia la impressió que els missatges de Gmail ja estaven xifrats. I, ho són. Bé, una mena de …
Gmail ja no està xifrat?
La manera més senzilla d’explicar l’encriptació actual de Gmail és pensar en el missatge de correu electrònic que viatja des de l’ordinador del remitent fins al destinatari de correu electrònic previst. Durant el trànsit, els missatges digitals es xifren mitjançant Transport Layer Security (TLS), un protocol que proporciona seguretat entre les aplicacions client / servidor que es comuniquen entre elles a través d’Internet.
La concepció errònia entra en joc quan el missatge es troba en repòs al remitent, als servidors intermediaris o al destinatari. En aquests punts, el missatge no es xifra. Una altra vegada el missatge no es xifra és si el programa de correu electrònic del destinatari no accepta els missatges HTTPS (utilitzant TLS). És per això que els experts asseguren que el xifrat de Gmail actual no és "extrem a extrem".
Google rastreja el nombre de missatges Gmail enviats que es xifren en trànsit, així com el nombre de missatges rebuts pels usuaris de Gmail que també es xifren en trànsit. Com es mostra a l'informe següent, fins a un 50 per cent dels missatges de Gmail no es xifren.
El xifrat de punta a punta no és nou
Curiosament, hi ha veritables aplicacions de xifrat de correu electrònic de final a extrem, però de cap manera són populars. Dos exemples són PGP i GnuPG. PGP és especialment interessant perquè el seu creador, Phil Zimmermann, va tenir greus problemes amb el govern dels Estats Units quan va crear PGP. La raó? El PGP era massa efectiu.
La pregunta és si és possible xifrar el correu electrònic de forma final a l'altra, per què la gent no l'utilitza? La resposta: quan la comoditat i la seguretat xocen, la comoditat generalment guanya. I actualment, és complicat configurar el xifratge de correu electrònic i un dolor a utilitzar. A més, fins fa poc, la gent no es preocupava de xifrar el correu electrònic. (Obteniu més informació sobre la privadesa i la seguretat en allò que heu de saber sobre la vostra privadesa en línia.)
Una altra complicació amb el xifrat de correu electrònic de final a extrem és que ambdues parts necessiten un programari de xifrat compatible. Si els programes no són compatibles, el missatge de correu electrònic no es desxifrarà. Així, en lloc de arriscar-se a no llegir-ne un correu electrònic, la majoria dels remitents no molesten amb el xifrat.
Què és Google End-to-End?
Els desenvolupadors de Google coneixen bé els problemes anteriors i han creat un procés de xifratge fàcil d’utilitzar, "una extensió Chrome que us ajuda a xifrar, desxifrar, signar digital i verificar missatges signats al navegador mitjançant OpenPGP." D’aquesta manera, situaria la nova versió de xifrat de correu electrònic de Google a la categoria “de punt a final”.
L’extensió de xifratge de Google va obtenir immediatament interès de la comunitat de privadesa. Si End-to-End fa el que diu Google, l’extensió evitarà que Google escaneixi el cos de missatges, cosa que fa Google ara i considera un flux d’ingressos. En una publicació al bloc de l’11 de juny, Jim Ivers, estratega de seguretat de Covata, ofereix i explica.
"Suposo que Google està disposat a comerciar allò que perdrien en dades xifrades per retenir els clients a l'ecosistema de Google si semblen estar preocupats per la seva privadesa per correu electrònic", escriu Ivers.
Què no és Google End-to-End
Els experts en xifrat ja han estat donant cops als pneumàtics de l’extensió i han aparegut diversos problemes possibles. Com que es tracta d’una extensió Chrome, el procés de xifratge requerirà que l’emissor i el destinatari utilitzin els navegadors web de Chrome. L’última vegada que vaig comprovar, menys del 50 per cent de les persones que es trobaven a Internet s’estaven utilitzant Chrome.
Altres problemes són que Google End-to-End no és compatible amb els dispositius mòbils; sembla que els fitxers adjunts es continuaran sense xifrar ara mateix. Tot plegat, hi ha suficients punts negatius per donar raó als pundits per dubtar d’una adopció a gran escala.
Alguns consells útils sobre el xifrat
Tota la idea que hi ha darrere del xifrat és mantenir la privadesa entre l’emissor i el destinatari. Una de les coses que ha de tenir en compte l’emissor és què passa si la persona que rep el correu electrònic xifrat l’envia sense xifrat? Si el missatge és prou important, l’enviador pot voler instigar certs controls que només permeten al destinatari visualitzar, però no imprimir, copiar o guardar el missatge.
"Les lliçons són clares: vés amb compte amb els grans proveïdors d'ecosistemes que ofereixen regals, llegeix atentament els detalls per a les nombroses advertències i excepcions i té una visió holística del xifrat", escriu Ivers. És un bon consell, sobretot si teniu en compte la quantitat que falta a la nova extensió de xifrat de Google. Per descomptat, el més important que falta a l’hora d’adoptar qualsevol tipus de xifratge de punta a punt és la conveniència.
La conveniència és la clau
Google espera que el seu nou servei de Chrome converteixi el xifratge de punta a extrem per a una opció fàcil per als seus usuaris. Tot i així, Google és realista. Stephan Somogyi, responsable de productes, seguretat i privacitat, va dir: "Reconeixem que aquest tipus de xifrat probablement només es farà servir per a missatges molt delicats o per aquells que necessitin protecció addicional".
Google diu que End-to-End no deixa de ser una creació alfa, i només està disponible per a la comunitat de desenvolupadors. La companyia va dir que un cop consideren que l’extensió està preparada i no conté errors, la faran disponible a la botiga web de Chrome. És una solució imperfecta per a la seguretat, però segueix sent més segura. La pregunta és: algú es molestarà en instal·lar-lo?
