Casa Vigilant de seguretat Ara, Gmail està xifrat, però encara no teniu cap prova nsa

Ara, Gmail està xifrat, però encara no teniu cap prova nsa

Vídeo: Эдвард Сноуден: Вот так мы отвоёвываем Интернет (De novembre 2024)

Vídeo: Эдвард Сноуден: Вот так мы отвоёвываем Интернет (De novembre 2024)
Anonim

Google ha obligat a encriptar HTTPS per a tot Gmail; hooray! En veritat, aquesta no és la fita que sembla. El xifrat sempre ha estat una opció i ha estat la predeterminada des de fa més de quatre anys. El trànsit de Gmail ara també es xifra quan es mou entre els servidors de Google internament. Vol dir que l'ANS no pot interceptar ni llegir el correu? Bé, no del tot.

Què és aquest HTTPS, de nou?

Primer, un refresc. El "HTTP" que veieu al començament de cada URL significa Hypertext Transfer Protocol, amb un èmfasi en "text". El trànsit HTTP rebota entre servidors com a text normal, amb etiquetes basades en text per indicar com s’ha de manejar el contingut. Un missatge de Gmail que viatja per HTTP passarà per diversos servidors i un "sniffer" instal·lat en qualsevol d'aquests servidors podria interceptar el text.

La S de HTTPS significa Secure. Quan us connecteu amb un lloc HTTPS, les sol·licituds del vostre navegador es xifren en el camí al servidor i les dades retornades pel servidor es xifren a la tornada al vostre navegador. Una connexió HTTPS és totalment necessària a l’hora de realitzar transaccions en línia sensibles. Fins ara, tot el trànsit de Gmail viatja de la mateixa manera… fins a un punt.

Destinataris insegurs

Si compartiu una conversa per correu electrònic amb un altre usuari de Gmail, tot hauria de ser copacètic. Des del vostre PC als servidors de Google i de Google al destinatari, tot està xifrat. Però no tothom utilitza Gmail.

La recepció de missatges de correu electrònic POP3 (Post Office Protocol 3) ha estat des de fa temps, i continua sent molt utilitzada. El xifrat és una opció, però molts (la majoria?) De servidors POP3 no l'utilitzen. El mateix passa amb SMTP (protocol de transferència de correu electrònic simple), utilitzat per a l'enviament de correu electrònic.

Si envieu un missatge a una persona amb un compte de correu electrònic POP3 / SMTP, es transmetrà en un text senzill entre el PC d'aquesta persona i el servidor. No estic segur del trànsit que hi ha entre aquest servidor i els servidors de Gmail de Google, però la connexió final està oberta a la renovació de la xarxa.

Yahoo va convertir HTTPS per defecte a principis d’aquest any, tot i que la seva implementació s’ha sotmès a incendi. No està clar si la comunicació entre els servidors de Google i els servidors de Yahoo està xifrada; Espero que sigui.

Altres avingudes

El xifratge de Google serveix simplement per evitar la captura massiva de missatges de correu electrònic per a l’anàlisi de Big Data, i això és una cosa bona, però si l’NSA està realment interessat en tu específicament, tenen altres maneres de veure què fas. Aquests inclouen l’accés al vostre PC mitjançant una explotació sense fils i la interceptació del lliurament de l’ordinador que vau encarregar d’instal·lar programari espia, entre moltes altres opcions. Si volen les dades en concret, les obtindran.

També hi ha la possibilitat que HTTPS no sigui tan segur com creiem. La NSA va pagar 10 milions de dòlars a la seguretat RSA i molts creuen que, a canvi d’aquest pagament, RSA va instal·lar una porta del darrere en el seu protocol de xifrat àmpliament utilitzat. A la recent Conferència de RSA, el president de RSA va negar cap contracte secret amb l'ANS, però va deixar oberta la possibilitat que el govern tingués la mà per comprovar l'algorisme defectuós.

Xifrar, xifrar, xifrar

A la conferència RSA, Bruce Starne, el rock de seguretat Bruce Schneier, va exposar un senzill pla per protegir la seva vida en línia: xifrar-ho tot. "La criptografia funciona", va dir. "L'ANS no pot trencar-la i els molesta".

La vostra millor aposta pot ser una solució de comunicació xifrada que funciona fora del sistema de correu electrònic estàndard. VaporStream n’és un exemple. Els missatges que envieu mitjançant aquest servei desapareixen una vegada llegits. Si voleu mantenir-vos més a prop de l’experiència de correu electrònic normal, un producte com ara Enviar. Pro es pot integrar amb Outlook per xifrar i desxifrar automàticament missatges. Per descomptat, els vostres destinataris també necessiten el programa.

També podeu simplement escriure el vostre missatge com a document, guardar-lo en un fitxer ZIP xifrat mitjançant una contrasenya prèviament arreglada i enviar-la com a fitxer adjunt. Tot i això seria difícil. Una eina com HP Trust Circles us permet compartir fitxers que siguin totalment transparents i visibles per a vosaltres i els vostres destinataris, però xifrats per a tots els altres. Una altra opció seria deixar els fitxers xifrats a l'emmagatzematge en núvol. Productes com DataLocker SkyCrypt poden fer que el xifrat de fitxers compartits sigui simple i automàtic.

Més de cinquanta anys, el correu electrònic ha estat creat en alguna forma. Potser no és la manera de comunicar-se. Hi ha moltes opcions de missatgeria de text segura. De fet, les trucades d’iPhone a iPhone que utilitzen iMessage són intrínsecament segures

Kudos a Google per accedir al xifratge. És realment una bona cosa i ajudarà a minimitzar la capacitat de la NSA (o de qualsevol altre grup) de recollir dades de correu electrònic a granel. Però per obtenir una comunicació completament segura, heu de tenir proactivitat.

Ara, Gmail està xifrat, però encara no teniu cap prova nsa