Google、Gmailにクライアントサイドの暗号化を導入 - ただし、あなたには関係ありません。

Gmailのエンドツーエンド暗号化プロジェクトは、2017年に死んだかに見えた。今は復活していますが、主要アカウントのお客様のみです。

How to encrypt emails in Gmail? Use an encrypted email provider instead!

Gmailはかつて、デフォルトでエンドツーエンドの暗号化を行うことを約束しました。しかし、その約束はWorkspaceのキーアカウントにのみ適用されます。個人のGmailユーザーにとっては、エンドツーエンドの暗号化はまだ手の届かないところにある。この真のセキュリティのための新しい取り組みは、将来的にすべてのユーザーが利用できるようになるのでしょうか、それとも「選ばれた少数派」だけが利用できるようになるのでしょうか?


TL;DR: Googleは、エンドツーエンドの暗号化はセキュリティのために重要だと言っています。しかし、通常のユーザーはGmailアカウントにそのような機能を見ることはありません。今すぐメールを安全にするために、完全に暗号化されたTutanotaのメールボックスに登録することをお勧めします。メールボックスと連絡先を自動的に暗号化し、プライバシーを尊重するGmailの代替を使用することをお勧めします。

Gmailの暗号化

2014年当時、Gmailはエンドツーエンドの暗号化を全ユーザーに提供したいと考えていたようですが、NSAの監視に関するスノーデンのリーク事件の直後に行われたこの約束は、結局実行に移されることはありませんでした。

Gmailの当時のエンドツーエンド暗号化プロジェクトは、2017年には死んだかのように見えた。今は復活しているが、今回は主要アカウントの顧客のみを対象としている。

グーグルはこのたび、Gmailのメールサービスにクライアントサイドの暗号化を提供することをベータテストとして発表した。ただし、申請後のキーアカウント顧客のみで、今はベータ版としてのみ。

“Google Workspace Client-side encryption (CSE) では、データの送信やDriveのクラウドベースのストレージへの保存の前に、クライアントのブラウザでコンテンツの暗号化が処理されます。"

"そうすれば、Googleのサーバーが暗号化キーにアクセスしてデータを復号化することはできません。CSEを設定した後、クライアントサイドで暗号化されたコンテンツを作成し、社内外で共有できるユーザーを選択することができます」とGoogleは説明している。

ここでGoogleは、あなたがGoogle Workspace Enterprise Plus、Education Plus、Education Standardの顧客である場合、あなたのアカウントで有効になっている暗号化を適用する方法を説明します。

この機能は現在、ブラウザ内でのみ動作するが、アプリのサポートが予定されているという。

注目すべきは、Googleがこの機能を「エンドツーエンドの暗号化」ではなく、「クライアントサイドの暗号化」と呼んでいることだ。電子メールはゼロ知識形式で暗号化されないが、企業は自社のシステムを通じて送信された電子メールを、暗号化されていても復元することができる。

勢いを増す暗号化

Googleのこの新しい動きは、暗号化とプライバシーが重要であるというトレンドに沿ったもので、もともとは10年以上前にSignalやTutanotaといった完全暗号化サービスによって火がついたものである。

最近では、AppleがiCloudのバックアップをエンドツーエンドで暗号化するサービスを開始すると発表している。

TutanotaやSignalなどのアプリが10年にわたり順調にユーザーを増やしてきた結果、大手IT企業はプレッシャーを感じている。ユーザーはもはや、「無料」サービスの見返りとして自分のデータを提供したいとは思っていない。

むしろ、データは新しい金であり、他の貴重な資産と同じように、適切なエンドツーエンドの暗号化で保護されなければならないことを理解しているのです。

私たちツタノタは、GoogleとAppleの動きを歓迎します。しかし、暗号化のような重要な機能は、選ばれた一部の人だけに制限されるものではありません。

それどころか誰もが暗号化されるに値するのです。

これらの企業の決断とは関係なく、プライバシーの必要性と重要性を理解する人が増えていることに、私たちは感動しています。私たちはすでに2017年に「プライバシーの時代が始まった」と言いましたが、それ以来、私たちの正しさが証明されています。

世界中の人々が、ビッグ・テックの監視資本主義を煽って平気ではいられなくなっているのです。

ビッグテックはみんなを守ってくれるのか?

企業顧客に適切な暗号化を提供するというグーグルの最新の動きの後に残る疑問は、次のようなものだ。

グーグルはすべての人にエンドツーエンドの暗号化を提供するのだろうか?

個人データを収集し、ターゲット広告を企業に販売するというグーグルのビジネスモデルを考えると、そうなる可能性は極めて低いでしょう。

Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich. Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich.

Redditの人々も、Googleが真の暗号化をすべての人に提供することはないと確信しています。

しかし、幸いなことに、人々は代替手段を選択できるほど賢いのです。

新しいツールによって、人々の個人データを保護することはとても簡単になった。TutanotaのようなメールサービスやSignalのようなチャットアプリは、ユーザーが暗号化の仕組みについて考える必要がないように、暗号化をサービスにシームレスに統合しているほんの一例です。

そして、何より素晴らしいのは。これらのアプリを使えば、選ばれた一部の人だけでなく、誰もが暗号化を利用できるのです。


Gmailのエンドツーエンド暗号化プロジェクトの歴史

2017年、GoogleはGmailでブラウザの拡張機能を使って簡単にエンドツーエンドの暗号化を可能にするために開始したプロジェクトE2EMailを「オープンソースコミュニティ」に黙って渡しました。それ以来、GitHubのプロジェクトは文字通り死んでしまった。

その3年前、GoogleはGmailユーザー間のメールを自動的に暗号化するエンドツーエンド暗号化Chromeプラグインを構築中であることを発表していた。

Gmailにメール暗号化ツールを追加するとの約束は、マーケティング上の動きだった

2017年、Gmailで簡単にメールを暗号化することを数百万人のユーザーに約束したのは、2013年のスノーデン暴露の後、マーケティング上の動きでしかなかったことが明らかになった。E2EMailプロジェクトは、何百万人もの人々がエンドツーエンドの暗号化を自動的に適応できる素晴らしいツールだったはずですが、そのマーケティング効果が見込めなくなったため、Googleによって葬り去られたのです。

暗号の専門家であるMatthew Green氏はWiredに、「本当のメッセージは、彼らがもうGoogleのプロジェクトとしてこれを積極的に開発していないということです」と述べ、「Googleが一時期このプロジェクトについてどれほどの誇大宣伝をしたか考えると、彼らがこれをGmailの中核機能として追求していないというのは、確かにちょっとした失望です」とGreen氏は言います。

メールの暗号化を簡単にするのは難しい

Google社は、暗号化への取り組みを断念したわけではないと公式に述べています。しかし、電子メールの暗号化を簡単に開発することは、人が考えるよりもずっと難しいことだと説明している。

暗号化された電子メールをさまざまなクライアントで相互運用できるようにするのはもちろん、鍵交換を使いやすいように設計するのも難しい。PGPのユーザーなら誰でも知っている問題で、GoogleがChromeにPGPベースのプラグインを追加しようとしたときも、この問題は消え去りませんでした。

とはいえ、世界中のGmailユーザーにエンドツーエンドの暗号化電子メールを提供するはずだったプロジェクトを終了させたことは、Googleの本当の関心がどこにあるのかを示しています。それは、ユーザーの個人情報を保護することではなく、自分たちの利益のために個人情報を収集することなのです。

Gmailに自動的なメール暗号化の機能はない

Googleは、電子メールをどのように暗号化するかという質問をユーザーに委ねています。しかし、Gmailにメール暗号化のオプションを追加することは、他のメールサービスと同様に複雑なままです。メールソフトのPGPサポートを有効にし、自分で鍵を生成・管理し、その鍵を自分の端末に安全に保管する必要があります。それでも、携帯電話のメール暗号化は基本的に不可能です。

グーグルは、暗号化を利用するかどうかの最終判断をユーザーに委ねたいと考えているが、暗号の専門家であるマシュー・グリーンは、ツイッターを通じてこれを「自分勝手な判断」と厳しく批判している。

2007年のGoogle。HTTPS?それはユーザーが選ぶべきものだ。

2017年のグーグル。エンドツーエンドの暗号化?本当にユーザーの選択であるべきです。

より多くの人がメールの暗号化を利用すれば、より良いものになります。

私たちツタノタは、プライバシーの権利を信じ、自分たちでメールの自動暗号化を使って戦っています。もしGmailがエンドツーエンドの自動暗号化を採用していたら、今日のオンラインセキュリティのレベルは大きく変わっていたことでしょう。何百万人ものユーザーにとってインターネットの安全性が格段に向上し、ネット上での違法な集団監視も不可能になったでしょう。

残念ながら、2017年にE2EMailを放棄したGoogleの動きは、私たちの個人情報を大組織に任せてはいけないということを示しています。

グーグルが過去に一度ユーザーとの約束を破ったように、Gmailにエンドツーエンドの暗号化を導入するという新たな動きも、有料ビジネス顧客に限られたものにとどまる可能性がむしろ高くなりました。

ユーザーデータを採掘し、ターゲット広告を掲載することに重点を置いている企業が、突然Gmailにエンドツーエンドの暗号化を組み込んでユーザーのプライバシー権を保護し始めると信じるのは、最初から幻想だったのかもしれない。

もし私たちが本当にプライバシーを守りたいのであれば、自分たちの手で問題を解決しなければならないのです。そしてこれこそが、私たちがここ数年ツタノタで行っていることなのです。誰でも簡単に使えるエンドツーエンドの暗号化されたメールを作ることです。Tutanotaでは、メールボックス全体が暗号化され、誰も-開発者でさえも-あなたの個人的なメールを読むことができません。


もしあなたがプライバシーを完全に取り戻したいのであれば、Googleから離れる方法とTutanotaがGmailの代替となる理由を読むことをお勧めします。