גוגל הפכה את הצפנת HTTPS לחובה עבור כל Gmail; הידד! למען האמת, זה לא בדיוק אבן הדרך שזה נשמע. הצפנה הייתה תמיד אופציה והיא הייתה ברירת המחדל במשך למעלה מארבע שנים. תנועת ה- Gmail שלך מוצפנת כעת גם כשהיא נעה בין השרתים של גוגל באופן פנימי. האם זה אומר שה- NSA לא יכול ליירט ולקרוא את הדואר שלך? ובכן, לא ממש.
מה זה HTTPS שוב?
ראשית, רענון. "HTTP" שאתה רואה בתחילת כל כתובת URL מייצג את פרוטוקול העברת ההיפרקסט, בדגש על "טקסט". תעבורת HTTP מקפצת בין שרתים כטקסט רגיל, עם תגיות מבוססות טקסט כדי לציין כיצד יש לטפל בתוכן. הודעת Gmail הנוסעת דרך HTTP תעבור דרך מספר שרתים, ו"מרחרח "המותקן באחד מאותם שרתים עלול ליירט את הטקסט.
ה- S ב- HTTPS מייצג את Secure. כשאתה מתחבר לאתר HTTPS, בקשות מהדפדפן שלך מוצפנות בדרך לשרת, והנתונים שהוחזרו על ידי השרת מוצפנים בדרך חזרה לדפדפן שלך. חיבור HTTPS הכרחי לחלוטין בעת ביצוע עסקאות מקוונות רגישות. נכון לעכשיו, כל תנועת ה- Gmail שלך נעה באותה דרך… עד לנקודה מסוימת.
נמענים לא בטוחים
אם אתה משתף שיחת דוא"ל עם משתמש אחר ב- Gmail, הכל צריך להיות שקופטי. מהמחשב האישי שלך לשרתים של גוגל ומגוגל לנמען, הכל מוצפן. אבל לא כולם משתמשים ב- Gmail.
POP3 (פרוטוקול הדואר 3) לקבלת דואר אלקטרוני קיים כבר שנים, והוא עדיין בשימוש נרחב. הצפנה היא אפשרות, אך רבים (שרוב?) שרתי POP3 אינם משתמשים בה. כך גם ב- SMTP (פרוטוקול העברת דואר פשוט) המשמש לשליחת דוא"ל.
אם אתה שולח הודעה לאדם עם חשבון דוא"ל POP3 / SMTP, הוא יועבר בטקסט רגיל בין המחשב האישי של אותו אדם לשרת. אני לא בטוח לגבי התעבורה בין שרת זה לשרתי Gmail של גוגל, אבל החיבור הסופי בהחלט פתוח לרחרחנות ברשת.
יאהו הפכה את HTTPS לברירת המחדל מוקדם יותר השנה, אם כי יישומה עלה תחת אש. לא ברור אם התקשורת בין שרתי גוגל לשרתים של יאהו מוצפנת; אני מקווה שכן.
אולמות אחרים
ההצפנה של גוגל פשוט משמשת למניעת לכידת כמות גדולה של הודעות דוא"ל לניתוח ביג דאטה, וזה דבר טוב, אבל אם ה- NSA ממש מתעניין בך באופן ספציפי, יש להם דרכים אחרות לראות מה אתה עושה. אלה כוללים גישה למחשב האישי באמצעות ניצול אלחוטי ויירוט המסירה של המחשב שהזמנת להתקין תוכנות ריגול, בין אפשרויות רבות אחרות. אם הם רוצים את הנתונים שלך בפרט, הם יקבלו אותם.
קיימת גם אפשרות ש- HTTPS אינו מאובטח כמו שאנחנו חושבים. ה- NSA שילם 10 מיליון דולר לאבטחת RSA, ורבים מאמינים כי בתמורה לתשלום זה RSA התקינה דלת אחורית בפרוטוקול ההצפנה הנפוץ שלהם. בוועידת ה- RSA לאחרונה, יו"ר RSA הכחיש כל חוזה חשאי עם ה- NSA, אך השאיר את האפשרות כי לממשלה הייתה יד באומץ את האלגוריתם הפגום.
להצפין, להצפין, להצפין
גם בכנס RSA, כוכב הרוק האבטחה ברוס שנייר פרסם תוכנית פשוטה להגנה על חייך המקוונים: להצפין הכל. "קריפטוגרפיה עובדת, " אמר. "ה- NSA לא יכול לשבור את זה וזה מעצבן אותם."
הדבר הטוב ביותר שלך יכול להיות פתרון תקשורת מוצפן שעובד מחוץ למערכת הדוא"ל הרגילה. VaporStream הוא דוגמה. ההודעות שאתה שולח באמצעות שירות זה נעלמות לאחר קריאתן. אם אתה רוצה להישאר קרוב יותר לחוויית הדוא"ל הרגילה, מוצר כמו שלח. Pro יכול להשתלב עם Outlook כדי להצפין ולפענח הודעות באופן אוטומטי. כמובן שגם המקבלים שלך זקוקים לתוכנית.
תוכל גם פשוט לכתוב את ההודעה שלך כמסמך, לשמור אותה בקובץ ZIP מוצפן באמצעות סיסמה שנקבעה מראש ולשלוח את הקובץ כקובץ מצורף. אבל זה יהיה מביך. כלי כמו מעגלי אמון של HP מאפשר לך לשתף קבצים גלויים לחלוטין ושקופים לך ולמקבל שלך, אך מוצפנים עבור כולם. אפשרות נוספת תהיה להוריד קבצים מוצפנים לאחסון ענן. מוצרים כמו DataLocker SkyCrypt יכולים להפוך את הצפנת הקבצים המשותפים לפשוטים ואוטומטיים.
אימיילים קיימים בצורה כלשהי כבר למעלה מחמישים שנה. אולי זו לא הדרך בה אתה צריך לתקשר בכלל. ישנן המון אפשרויות להודעות טקסט מאובטחות. למעשה, שיחות iPhone ל- iPhone המשתמשות ב- iMessage הן מאובטחות במהותן
קודוס לגוגל על כך שהם מבצעים הכל בהצפנה. זה באמת דבר טוב, וזה יעזור למזער את היכולת של ה- NSA (או כל קבוצה אחרת) לקצור נתונים בדוא"ל בכמויות גדולות. אבל לתקשורת מאובטחת לחלוטין, אתה צריך להיות יוזם.