谷歌为Gmail引入客户端加密技术--但不是为你。
Gmail的端到端加密项目在2017年似乎已经死亡。现在它又回来了,但只针对关键账户客户。
TL;DR:谷歌说端到端加密对安全很重要。但普通用户在他们的Gmail账户中不会看到这样的功能。为了保证你现在的电子邮件安全,我们建议你注册一个完全加密的Tutanota邮箱。最好使用一个Gmail的替代品,自动加密您的整个邮箱和联系人 - 并尊重您的隐私。
Gmail的加密功能
早在2014年,看起来Gmail想给所有用户带来端对端加密,然而,该公司从未兑现这一承诺,这是在斯诺登泄露国家安全局监控信息后不久做出的。
Gmail当时的端到端加密项目在2017年似乎已经死亡。现在它又回来了,但这次只针对关键账户客户。
谷歌刚刚宣布为其Gmail电子邮件服务提供客户端加密的测试。不过,只针对申请后的关键账户客户,而且现在只作为测试版。
"通过谷歌工作区客户端加密(CSE),在任何数据被传输或存储在Drive的云端存储之前,内容加密在客户端的浏览器中处理。"
"这样一来,谷歌服务器就无法访问你的加密密钥并解密你的数据。在你设置了CSE之后,你可以选择哪些用户可以创建客户端加密内容,并在内部或外部分享",谷歌解释说。
这里谷歌解释了如果你是谷歌工作空间企业版、教育版和教育标准版的客户,如何申请在你的账户上启用加密功能。
该公司说,该功能目前只在浏览器内工作,但计划支持应用程序。
值得注意的是,谷歌称该功能不是 "端到端加密",而是 "客户端加密"。电子邮件不是以零知识格式加密的,但企业可以恢复通过其系统发送的电子邮件,即使它们被加密了。
加密的势头越来越猛
谷歌的这一新举措遵循了加密和隐私问题的趋势--这一趋势最初是由Signal和Tutanota等完全加密的服务在十多年前引发的。
最近,苹果公司也宣布将开始为iCloud备份提供端对端加密。
在Tutanota、Signal等应用成功地实现了十年的用户增长后,大科技公司感到了压力。用户不再愿意送出他们的数据以换取 "免费 "服务。
相反,他们明白,他们的数据是新的黄金,必须像其他有价值的资产一样得到保护:适当的端到端加密。
我们在Tutanota欢迎谷歌和苹果的举动,因为它将使我们所知道的网络更加安全。然而,像加密这样的重要功能绝不能局限于选定的少数人!
恰恰相反。每个人都应该有加密功能!
无论这些公司的决定如何,我们很高兴看到越来越多的人理解隐私的必要性和重要性。我们在2017年已经说过,隐私时代已经开始,而且从那时起我们就被证明是正确的。
世界各地的人们不再同意助长大科技公司的监控资本主义。
大科技公司会保护所有人吗?
在谷歌向企业客户提供适当加密的最新举措之后,剩下的问题是。
谷歌会向所有人提供端到端的加密吗?
鉴于谷歌收集个人数据并向企业出售目标广告的商业模式,他们极有可能不会。
Reddit上的人们也确信,谷歌不会向所有人提供真正的加密服务。
但幸运的是,人们足够聪明,可以选择替代方案。
新的工具已经使保护人们的私人数据变得非常容易。像Tutanota这样的电子邮件服务和像Signal这样的聊天应用程序只是少数几个将加密无缝地整合到他们的服务中,这样用户就不必考虑加密如何运作。
而且最好的一点是。有了这些应用,每个人都可以使用加密,而不仅仅是被选中的少数人。
Gmail的端到端加密项目的历史
2017年,谷歌已经默默地将E2EMail项目交给了"开源社区",该项目是为了在Gmail中通过浏览器扩展轻松实现端到端加密而启动的。从那时起,这个GitHub项目实际上已经死了。
三年前,谷歌曾宣布,他们正在建立一个端到端加密的Chrome插件,以自动加密Gmail用户之间的电子邮件。
承诺为Gmail添加电子邮件加密工具是营销之举
2017年,很明显,在2013年斯诺登事件曝光后,承诺在Gmail中向数百万用户提供方便的电子邮件加密只是一种营销举措。虽然E2EMail项目本来是数百万人自动适应端到端加密的伟大工具,但当他们不再看到其营销效益时,它已经被谷歌埋没了。
"真正的信息是,他们不再把这作为一个谷歌项目积极开发,"密码学专家马修-格林对《连线》说。"鉴于谷歌一度围绕这个项目产生了多少炒作,看到他们不再把这作为Gmail的一个核心功能来追求,这绝对是一个有点失望的消息,"格林说。
让电子邮件加密变得简单是很难的
谷歌官方表示,他们没有放弃加密的举措。然而,他们解释说,开发简单的电子邮件加密比人们想象的要难得多。
要使加密的电子邮件能够与不同的客户端互通,以及以易于使用的方式设计密钥交换是很难的。这些问题对于任何PGP用户来说都是众所周知的,而且当谷歌想在Chrome浏览器中添加一个基于PGP的插件时,这些问题并没有消失。
尽管如此,结束一个本可以给全世界的Gmail用户带来端到端加密邮件的项目,显示了谷歌的真正利益所在。不是保护他们用户的私人数据,而是为了他们自己的利益而收集这些数据。
Gmail中没有自动的电子邮件加密
谷歌将如何加密电子邮件的问题留给了用户。然而,在Gmail中增加一个电子邮件加密的选项仍然和其他电子邮件服务一样复杂。用户需要在他们的电子邮件客户端中启用PGP支持,必须生成和管理他们自己的密钥,并确保这些密钥在他们的设备上得到安全保存。即便如此,移动电子邮件加密基本上也是不可能的。
谷歌希望将是否使用加密的最终决定权留给用户,但密码学专家马修-格林通过Twitter严厉批评了这一做法,称其为 "自以为是的决定"。
2007年的谷歌。HTTPS?这应该是用户的选择。
2017年的谷歌。端到端加密?真的应该是用户的选择。
使用电子邮件加密的人越多越好
我们Tutanota公司相信我们的隐私权,并自己用自动电子邮件加密来争取。如果Gmail都采用自动端到端加密,这将对今天的网络安全水平产生巨大的影响。它将使互联网对数以百万计的用户更加安全,并使网上的非法大规模监控成为不可能。
不幸的是,谷歌在2017年放弃E2EMail的举动表明,我们不应该把我们的私人信息信任给大型组织。
由于谷歌之前已经违背了对用户的承诺,新的为Gmail带来端到端加密的举动仍然仅限于付费的商业客户,这种可能性相当大。
也许从一开始,相信一家如此专注于挖掘用户数据和发布目标广告的公司会突然开始用Gmail的内置端到端加密来保护其用户的隐私权就是一种幻想。
如果我们想真正保护我们的隐私,我们必须把事情掌握在自己手中。而这正是我们过去几年在Tutanota所做的事情。建立易于使用的端到端加密电子邮件,对任何人都免费。在Tutanota,你的整个邮箱是加密的,所以没有人 - 甚至我们的开发人员 - 可以阅读你的个人电子邮件。
