Hogar Seguridad El cifrado de extremo a extremo de Google no es lo que parece

El cifrado de extremo a extremo de Google no es lo que parece

Tabla de contenido:

Anonim

Llamarlo FUD puede ser un poco fuerte, pero ciertamente hay una gran confusión sobre la extensión de Google Chrome anunciada el 3 de junio de 2014, llamada End-to-End. Cuando se lance, la extensión permitirá el cifrado de extremo a extremo de los mensajes de correo electrónico. Suena bastante simple, ¿verdad? Pero ahí es donde comienza la confusión, porque la mayoría de las personas tenían la impresión de que los mensajes de Gmail ya estaban encriptados. Y estan. Bueno, como que …

¿Gmail ya no está encriptado?

La forma más sencilla de explicar el cifrado actual de Gmail es pensar en el mensaje de correo electrónico que viaja desde la computadora del remitente al destinatario de correo electrónico deseado. Durante el tránsito, los mensajes digitales se cifran a través de Transport Layer Security (TLS), un protocolo que proporciona seguridad entre las aplicaciones cliente / servidor que se comunican entre sí a través de Internet.


La idea errónea entra en juego cuando el mensaje está en reposo en el remitente, los servidores intermediarios o el destinatario. En esos puntos, el mensaje no está encriptado. Otra vez que el mensaje no está encriptado es si el programa de correo electrónico del destinatario no acepta mensajes HTTPS (usando TLS). Es por eso que los expertos dicen que el cifrado actual de Gmail no es "extremo a extremo".


Google rastrea la cantidad de mensajes de Gmail enviados que se cifran durante el tránsito, así como la cantidad de mensajes recibidos por los usuarios de Gmail que también se cifran en tránsito. Como se muestra en el informe a continuación, hasta el 50 por ciento de los mensajes de Gmail no están encriptados.


El cifrado de extremo a extremo no es nuevo

Curiosamente, existen verdaderas aplicaciones de cifrado de correo electrónico de extremo a extremo, pero de ninguna manera son populares. Dos ejemplos son PGP y GnuPG. PGP es especialmente interesante porque su creador, Phil Zimmermann, tuvo serios problemas con el gobierno de los Estados Unidos cuando creó PGP. ¿La razón? PGP fue demasiado efectivo.


La pregunta es, si es posible cifrar el correo electrónico de principio a fin, ¿por qué las personas no lo usan? La respuesta: cuando la conveniencia y la seguridad chocan, la conveniencia generalmente gana. Y actualmente, el cifrado de correo electrónico es complicado de configurar y difícil de usar. Además, hasta hace poco, a las personas no les preocupaba tanto cifrar su correo electrónico. (Obtenga más información sobre privacidad y seguridad en Lo que debe saber sobre su privacidad en línea).


Otra complicación con el cifrado de correo electrónico de extremo a extremo es que ambas partes necesitan un software de cifrado compatible. Si los programas no son compatibles, el mensaje de correo electrónico no se descifrará. Por lo tanto, en lugar de arriesgarse a que no se lea un correo electrónico, la mayoría de los remitentes no se molestan con el cifrado.

¿Qué es Google de extremo a extremo?

Los desarrolladores de Google son conscientes de los problemas anteriores y han creado un proceso de cifrado que es fácil de usar, "una extensión de Chrome que lo ayuda a cifrar, descifrar, firmar digitalmente y verificar mensajes firmados dentro del navegador usando OpenPGP". Esto colocaría la nueva versión de cifrado de correo electrónico de Google en la categoría de "extremo a extremo".


La extensión de cifrado de Google generó de inmediato el interés de la comunidad de privacidad. Si End-to-End hace lo que Google dice, la extensión evitará que Google escanee el cuerpo del mensaje, algo que Google hace ahora, y considera una fuente de ingresos. En una publicación de blog del 11 de junio, Jim Ivers, estratega jefe de seguridad de Covata, ofrece y explica.


"Supongo que Google está dispuesto a intercambiar lo que perderían en datos cifrados para retener a los clientes en el ecosistema de Google al parecer preocupado por la privacidad de su correo electrónico", escribe Ivers.

Lo que Google End-to-End no es

Los expertos en cifrado ya han estado pateando los neumáticos de la extensión, y han surgido varios problemas potenciales. Debido a que es una extensión de Chrome, el proceso de cifrado requerirá que tanto el remitente como el destinatario utilicen los navegadores web de Chrome. La última vez que lo comprobé, menos del 50 por ciento de los usuarios de Internet usaban Chrome.


Otros problemas son que Google End-to-End no es compatible con dispositivos móviles; parece que los archivos adjuntos permanecerán sin cifrar por ahora también. Con todo, hay suficientes puntos negativos para dar razones a los expertos para dudar de una adopción a gran escala.

Algunos consejos útiles sobre cifrado

La idea detrás del cifrado es mantener la privacidad entre el remitente y el destinatario. Una cosa que el remitente debe tener en cuenta es, ¿qué sucede si la persona que recibe el correo electrónico cifrado lo reenvía sin cifrado? Si el mensaje es lo suficientemente importante, el remitente puede querer instigar ciertos controles que solo permiten al destinatario ver, pero no imprimir, copiar o guardar el mensaje.


"Las lecciones son claras: tenga cuidado con los grandes vendedores de ecosistemas que llevan regalos, lea cuidadosamente los detalles de las numerosas advertencias y excepciones, y adopte una visión holística del cifrado", escribe Ivers. Es un buen consejo, especialmente cuando considera cuánto falta en la nueva extensión de cifrado de Google. Por supuesto, lo más importante que falta cuando se trata de adoptar cualquier tipo de cifrado de extremo a extremo es la conveniencia.

La conveniencia es la clave

Google espera que su nuevo servicio Chrome haga que el cifrado de extremo a extremo sea una opción fácil para sus usuarios. Aun así, Google es realista. Stephan Somogyi, gerente de producto, seguridad y privacidad, dijo: "Reconocemos que este tipo de encriptación probablemente solo se usará para mensajes muy sensibles o para aquellos que necesiten protección adicional".


Google dice que End-to-End todavía era una compilación alfa y solo estaba disponible para la comunidad de desarrolladores. La compañía dijo que una vez que sientan que la extensión está lista y libre de errores, la pondrán a disposición en la tienda web de Chrome. Es una solución imperfecta para la seguridad, pero aún es más segura. La pregunta es, ¿alguien se molestará en instalarlo?

El cifrado de extremo a extremo de Google no es lo que parece