目次:
- Gmailはすでに暗号化されていませんか?
- エンドツーエンド暗号化は新しいものではありません
- Googleエンドツーエンドとは何ですか?
- Googleエンドツーエンドではないもの
- 暗号化に関するいくつかの有用なヒント
- 利便性が鍵
FUDと呼ぶのは少し強いかもしれませんが、2014年6月3日に発表されたエンドツーエンドと呼ばれるGoogle Chrome拡張機能については、かなりの混乱があります。 リリースされると、拡張機能により、電子メールメッセージのエンドツーエンドの暗号化が可能になります。 簡単そうですね。 しかし、ほとんどの人はGmailメッセージがすでに暗号化されているという印象を受けていたため、混乱が始まります。 そして彼らは。 まあ、ちょっと…
Gmailはすでに暗号化されていませんか?
Gmailの現在の暗号化を説明する最も簡単な方法は、送信者のコンピューターから目的の電子メール受信者に送信される電子メールメッセージについて考えることです。 転送中、デジタルメッセージはトランスポート層セキュリティ(TLS)を介して暗号化されます。TLSは、インターネットを介して互いに通信するクライアント/サーバーアプリケーション間のセキュリティを提供するプロトコルです。
誤解は、メッセージが送信者、中間サーバー、または受信者で停止しているときに発生します。 これらの時点では、メッセージは暗号化されていません。 メッセージが暗号化されないもう1つの状況は、受信者の電子メールプログラムがHTTPS(TLSを使用)メッセージを受け入れない場合です。 だからこそ、現在のGmail暗号化は「エンドツーエンド」ではないと専門家が言うのです。
Googleは、送信中に暗号化された送信済みGmailメッセージの数と、Gmailユーザーが受信し、送信中にも暗号化されたメッセージの数を追跡します。 以下のレポートに示すように、Gmailメッセージの最大50%は暗号化されていません。
エンドツーエンド暗号化は新しいものではありません
興味深いことに、真のエンドツーエンドの電子メール暗号化アプリケーションがありますが、決して普及しているわけではありません。 2つの例は、PGPとGnuPGです。 PGPが特に興味深いのは、その作成者であるPhil Zimmermannが最初にPGPを作成したときに米国政府と深刻な問題に直面したことです。 理由? PGPは非常に効果的でした。
問題は、メールをエンドツーエンドで暗号化できる場合、なぜ人々はそれを使用しないのかということです。 答え:利便性とセキュリティが衝突した場合、通常は利便性が優先されます。 そして現在、メールの暗号化は設定が複雑で、使用するのが面倒です。 また、最近まで、人々は電子メールの暗号化についてそれほど心配していませんでした。 (プライバシーとセキュリティの詳細については、オンラインのプライバシーについて知っておくべきことをご覧ください。)
エンドツーエンドの電子メール暗号化に関するもう1つの問題は、両方の当事者が互換性のある暗号化ソフトウェアを必要とすることです。 プログラムに互換性がない場合、電子メールメッセージは復号化されません。 そのため、ほとんどの送信者は、電子メールを読まないリスクを冒すよりも、暗号化を気にしません。
Googleエンドツーエンドとは何ですか?
Google開発者は上記の問題を十分に認識しており、ユーザーフレンドリーな暗号化プロセス「OpenPGPを使用してブラウザー内の署名済みメッセージの暗号化、復号化、デジタル署名、検証を支援するChrome拡張機能」を作成しました。 これにより、Googleの新しいバージョンの電子メール暗号化が「エンドツーエンド」カテゴリに配置されます。
Googleの暗号化拡張機能は、すぐにプライバシーコミュニティから関心を集めました。 エンドツーエンドがGoogleの言うことをする場合、拡張機能は、Googleがメッセージ本文をスキャンするのを防ぎ、Googleが現在行うことで、収益の流れを考慮します。 6月11日のブログ投稿で、CovataのチーフセキュリティストラテジストであるJim Iversが提案と説明をしています。
「Googleは、暗号化されたデータで失われるものを取引して、電子メールのプライバシーに関心があるように見えることにより、Googleエコシステムの顧客を維持することを望んでいると思います」とIversは書いています。
Googleエンドツーエンドではないもの
暗号化の専門家はすでに拡張機能のタイヤを蹴っていて、いくつかの潜在的な問題が浮上しています。 Chrome拡張機能であるため、暗号化プロセスでは送信者と受信者の両方がChrome Webブラウザーを使用する必要があります。 前回チェックしたとき、Chromeはインターネットの50%未満で使用されていました。
その他の問題は、Google End-to-Endがモバイルデバイスでサポートされていないことです。 添付ファイルは今のところ暗号化されていないようです。 全体として、大規模な採用を疑う専門家の理由を与えるのに十分な否定的なポイントがあります。
暗号化に関するいくつかの有用なヒント
暗号化の背後にある全体的な考え方は、送信者と受信者の間のプライバシーを維持することです。 送信者が考慮すべきことの1つは、暗号化された電子メールを受信した人が暗号化せずに転送した場合はどうなるでしょうか? メッセージが十分に重要である場合、送信者は、受信者のみにメッセージの表示、印刷、コピー、または保存を許可しない特定のコントロールを導入したい場合があります。
「教訓は明らかです。大規模なエコシステムベンダーが贈り物をしていることに注意し、多くの警告と例外について詳細を注意深く読み、暗号化の全体像を見てください」とIversは書いています。 特に、Googleの新しい暗号化拡張機能にどれだけ不足しているのかを考える場合は、良いアドバイスです。 もちろん、あらゆる種類のエンドツーエンド暗号化を採用する際に欠けている最大のことは、利便性です。
利便性が鍵
Googleは、新しいChromeサービスがエンドツーエンド暗号化をユーザーにとって簡単なオプションにすることを望んでいます。 それでも、Googleは現実的です。 セキュリティおよびプライバシーのプロダクトマネージャーであるStephan Somogyi氏は、「この種の暗号化は、非常に機密性の高いメッセージまたは保護を追加する必要のある人にのみ使用されることを認識しています。」
Googleは、End-to-Endはまだアルファ版であり、開発者コミュニティのみが利用可能であると述べています。 同社によると、拡張機能の準備ができてバグがなくなったと感じたら、Chrome Webストアで利用できるようになるという。 これはセキュリティに対する不完全なソリューションですが、さらに安全です。 問題は、誰かがそれをインストールするのを煩わせるでしょうか?
