Sommario:
- Gmail non è già crittografato?
- La crittografia end-to-end non è nuova
- Che cos'è Google end-to-end?
- Ciò che Google non è end-to-end
- Alcuni consigli utili sulla crittografia
- La convenienza è la chiave
Chiamarlo FUD potrebbe essere un po 'forte, ma c'è sicuramente molta confusione sull'estensione di Google Chrome annunciata il 3 giugno 2014, chiamata End-to-End. Una volta rilasciato, l'estensione consentirà la crittografia end-to-end dei messaggi e-mail. Sembra abbastanza semplice, giusto? Ma è qui che inizia la confusione, perché la maggior parte delle persone aveva l'impressione che i messaggi di Gmail fossero già crittografati. E loro sono. Beh, tipo di …
Gmail non è già crittografato?
Il modo più semplice per spiegare l'attuale crittografia di Gmail è pensare al messaggio di posta elettronica che viaggia dal computer del mittente al destinatario di posta elettronica previsto. Durante il transito, i messaggi digitali vengono crittografati tramite Transport Layer Security (TLS), un protocollo che fornisce sicurezza tra le applicazioni client / server che comunicano tra loro su Internet.
L'idea sbagliata entra in gioco quando il messaggio è a riposo presso il mittente, i server intermedi o il destinatario. In quei punti, il messaggio non è crittografato. Un'altra volta il messaggio non viene crittografato se il programma di posta elettronica del destinatario non accetta i messaggi HTTPS (utilizzando TLS). Ecco perché gli esperti affermano che l'attuale crittografia di Gmail non è "end-to-end".
Google tiene traccia del numero di messaggi Gmail inviati che vengono crittografati durante il trasporto nonché del numero di messaggi ricevuti dagli utenti Gmail che sono crittografati anche durante il trasporto. Come mostrato nel rapporto seguente, fino al 50 percento dei messaggi di Gmail non è crittografato.
La crittografia end-to-end non è nuova
È interessante notare che esistono vere applicazioni di crittografia e-mail end-to-end, ma non sono affatto popolari. Due esempi sono PGP e GnuPG. PGP è particolarmente interessante in quanto il suo creatore, Phil Zimmermann, ha avuto seri problemi con il governo degli Stati Uniti quando ha creato PGP. La ragione? PGP era troppo efficace.
La domanda è: se è possibile crittografare l'email end-to-end, perché le persone non la usano? La risposta: quando la convenienza e la sicurezza si scontrano, la convenienza di solito vince. E attualmente, la crittografia e-mail è complicata da configurare e una seccatura da usare. Inoltre, fino a poco tempo fa, le persone non erano così preoccupate per la crittografia della loro e-mail. (Ulteriori informazioni sulla privacy e sulla sicurezza in Cosa dovresti sapere sulla tua privacy online.)
Un'altra complicazione con la crittografia e-mail end-to-end è che entrambe le parti necessitano di un software di crittografia compatibile. Se i programmi non sono compatibili, il messaggio e-mail non verrà decrittografato. Pertanto, anziché rischiare di non leggere un'e-mail, la maggior parte dei mittenti non si preoccupa della crittografia.
Che cos'è Google end-to-end?
Gli sviluppatori di Google sono ben consapevoli dei problemi di cui sopra e hanno creato un processo di crittografia intuitivo, "un'estensione di Chrome che ti aiuta a crittografare, decrittografare, firmare digitalmente e verificare i messaggi firmati nel browser utilizzando OpenPGP". Ciò collocherebbe quindi la nuova versione di Google della crittografia e-mail nella categoria "end-to-end".
L'estensione di crittografia di Google ha immediatamente raccolto l'interesse della community sulla privacy. Se End-to-End fa ciò che dice Google, l'estensione impedirà a Google di scansionare il corpo del messaggio, cosa che fa Google adesso e considera un flusso di entrate. In un post sul blog dell'11 giugno, Jim Ivers, capo stratega della sicurezza di Covata, offre e spiega.
"Suppongo che Google sia disposto a scambiare ciò che perderebbe in dati crittografati per trattenere i clienti nell'ecosistema di Google sembrando preoccuparsi della loro privacy via email", scrive Ivers.
Ciò che Google non è end-to-end
Gli esperti di crittografia hanno già preso a calci le gomme dell'estensione e sono emersi diversi potenziali problemi. Poiché si tratta di un'estensione di Chrome, il processo di crittografia richiederà sia al mittente che al destinatario di utilizzare i browser Web Chrome. L'ultima volta che ho controllato, Chrome veniva utilizzato da meno del 50 percento di quelli su Internet.
Altri problemi sono che Google End-to-End non è supportato sui dispositivi mobili; sembra che gli allegati rimarranno non crittografati anche per ora. Tutto sommato, ci sono abbastanza punti negativi da dare agli esperti la ragione di dubitare di un'adozione su larga scala.
Alcuni consigli utili sulla crittografia
L'idea alla base della crittografia è quella di mantenere la privacy tra mittente e destinatario. Una cosa che il mittente dovrebbe prendere in considerazione è: cosa succede se la persona che riceve l'e-mail crittografata la inoltra senza crittografia? Se il messaggio è abbastanza importante, il mittente potrebbe voler attivare determinati controlli che consentono solo al destinatario di visualizzare, ma non stampare, copiare o salvare il messaggio.
"Le lezioni sono chiare: fai attenzione ai grandi venditori di ecosistemi che portano doni, leggi attentamente i dettagli per le numerose avvertenze ed eccezioni e osserva una visione olistica della crittografia", scrive Ivers. È un buon consiglio, soprattutto se si considera quanto manca nella nuova estensione di crittografia di Google. Naturalmente, la cosa più grande che manca quando si tratta di adottare qualsiasi tipo di crittografia end-to-end è la convenienza.
La convenienza è la chiave
Google spera che il suo nuovo servizio Chrome renderà la crittografia end-to-end un'opzione facile per i suoi utenti. Anche così, Google è realistico. Stephan Somogyi, product manager, sicurezza e privacy ha dichiarato: "Riconosciamo che questo tipo di crittografia verrà probabilmente utilizzato solo per messaggi molto sensibili o da coloro che necessitano di protezione aggiuntiva".
Google afferma che End-to-End era ancora una build alfa e disponibile solo per la comunità di sviluppatori. La società ha dichiarato che una volta sentita che l'estensione è pronta e priva di bug, la renderà disponibile nel Chrome Web store. È una soluzione imperfetta alla sicurezza, ma è ancora più sicura. La domanda è: qualcuno si prenderà la briga di installarlo?