De end-to-end-codering van Google is niet wat het lijkt

FUD noemen is misschien een beetje sterk, maar er is zeker veel verwarring over de Google Chrome-extensie die op 3 juni 2014 werd aangekondigd, End-to-End genoemd. Wanneer de extensie wordt vrijgegeven, staat de end-to-end-codering van e-mailberichten toe. Klinkt eenvoudig genoeg, toch? Maar dat is waar de verwarring begint, omdat de meeste mensen de indruk hadden dat Gmail-berichten al waren gecodeerd. En zij zijn. Soort van …

Is Gmail niet al gecodeerd?

De eenvoudigste manier om de huidige codering van Gmail uit te leggen, is door na te denken over het e-mailbericht dat van de computer van de afzender naar de beoogde e-mailontvanger gaat. Tijdens de overdracht worden digitale berichten gecodeerd via Transport Layer Security (TLS), een protocol dat zorgt voor beveiliging tussen de client / server-applicaties die met elkaar communiceren via internet.

De misvatting speelt een rol wanneer het bericht in rust is bij de afzender, tussenliggende servers of de ontvanger. Op die punten is het bericht niet gecodeerd. Een andere keer dat het bericht niet is gecodeerd, is als het e-mailprogramma van de ontvanger geen HTTPS-berichten (met TLS) accepteert. Dat is de reden waarom experts zeggen dat de huidige Gmail-codering niet "end-to-end" is.

Google houdt het aantal verzonden Gmail-berichten bij dat tijdens de verzending is versleuteld, evenals het aantal berichten dat is ontvangen door Gmail-gebruikers die ook tijdens de verzending zijn versleuteld. Zoals in het onderstaande rapport wordt weergegeven, is tot 50 procent van Gmail-berichten niet gecodeerd.

End-to-End-codering is niet nieuw

Interessant is dat er echte end-to-end e-mailcoderingstoepassingen zijn, maar deze zijn zeker niet populair. Twee voorbeelden zijn PGP en GnuPG. PGP is vooral interessant omdat de maker, Phil Zimmermann, in de problemen kwam met de Amerikaanse overheid toen hij voor het eerst PGP creëerde. De reden? PGP was te effectief.

De vraag is, als het mogelijk is om e-mail end-to-end te coderen, waarom gebruiken mensen het dan niet? Het antwoord: wanneer gemak en veiligheid met elkaar botsen, wint gemak meestal. En momenteel is e-mailversleuteling ingewikkeld om in te stellen en lastig te gebruiken. Tot voor kort waren mensen niet zo bezorgd over het versleutelen van hun e-mail. (Meer informatie over privacy en beveiliging vindt u in Wat u online moet weten over uw privacy.)

Een andere complicatie met end-to-end e-mailversleuteling is dat beide partijen compatibele versleutelingssoftware nodig hebben. Als de programma's niet compatibel zijn, wordt het e-mailbericht niet gedecodeerd. Dus in plaats van het risico te lopen dat een e-mail niet wordt gelezen, maken de meeste afzenders zich niet druk over codering.

Wat is Google end-to-end?

Google-ontwikkelaars zijn zich terdege bewust van de bovenstaande problemen en hebben een coderingsproces ontwikkeld dat gebruiksvriendelijk is, "een Chrome-extensie waarmee u ondertekende berichten in de browser kunt coderen, decoderen, digitaal ondertekenen en verifiëren met OpenPGP." Dit zou Google's nieuwe versie van e-mailencryptie dan in de categorie "end-to-end" plaatsen.

De coderingsextensie van Google heeft onmiddellijk interesse gewekt bij de privacygemeenschap. Als End-to-End doet wat Google zegt, voorkomt de extensie dat Google de berichttekst scant, iets wat Google nu doet en een inkomstenstroom in overweging neemt. In een blogbericht van 11 juni biedt Jim Ivers, hoofdstrateeg voor Covata, aanbiedingen en uitleg.

"Ik ga ervan uit dat Google bereid is om te ruilen wat ze zouden verliezen in gecodeerde gegevens om klanten in het Google-ecosysteem te behouden door zich bezig te houden met hun e-mailprivacy", schrijft Ivers.

Wat Google End-to-End niet is

Encryptie-experts schoppen al tegen de banden van de extensie en verschillende potentiële problemen zijn aan het licht gekomen. Omdat het een Chrome-extensie is, moeten voor het coderingsproces zowel de afzender als de ontvanger Chrome-webbrowsers gebruiken. De laatste keer dat ik het controleerde, werd Chrome door minder dan 50 procent van degenen op internet gebruikt.

Andere problemen zijn dat Google End-to-End niet wordt ondersteund op mobiele apparaten; het lijkt erop dat bijlagen ook nu niet versleuteld blijven. Al met al zijn er genoeg negatieve punten om experts reden te geven te twijfelen aan een grootschalige toepassing.

Enkele nuttige tips over codering

Het hele idee achter codering is om de privacy tussen de afzender en de ontvanger te behouden. Een ding waar de afzender rekening mee moet houden, is wat als de persoon die de gecodeerde e-mail ontvangt deze zonder codering doorstuurt? Als het bericht belangrijk genoeg is, wil de afzender mogelijk bepaalde bedieningselementen instellen waarmee alleen de ontvanger het bericht kan bekijken, maar niet mag afdrukken, kopiëren of opslaan.

"De lessen zijn duidelijk: pas op voor grote ecosysteemverkopers met geschenken, lees de details zorgvuldig voor de vele voorbehouden en uitzonderingen, en neem een ​​holistische kijk op codering, " schrijft Ivers. Het is een goed advies, vooral als u bedenkt hoeveel er ontbreekt in de nieuwe coderingsextensie van Google. Het grootste wat ontbreekt als het gaat om het gebruik van end-to-end-codering, is natuurlijk gemak.

Gemak is de sleutel

Google hoopt dat zijn nieuwe Chrome-service end-to-end-codering een eenvoudige optie voor zijn gebruikers zal maken. Toch is Google realistisch. Stephan Somogyi, productmanager, beveiliging en privacy zei: "We erkennen dat dit soort codering waarschijnlijk alleen zal worden gebruikt voor zeer gevoelige berichten of voor degenen die extra bescherming nodig hebben."

Google zegt dat End-to-End nog steeds een alpha-build was en alleen beschikbaar was voor de ontwikkelaarscommunity. Het bedrijf zei dat zodra ze het gevoel hebben dat de extensie klaar en vrij van fouten is, ze deze beschikbaar zullen maken in de Chrome Web Store. Het is een imperfecte oplossing voor beveiliging, maar het is nog veiliger. De vraag is, zal iemand de moeite nemen om het te installeren?