Casa Securitywatch Gmail è ora crittografato, ma non sei ancora a prova di nsa

Gmail è ora crittografato, ma non sei ancora a prova di nsa

Video: Reliable Email Providers More Private than Gmail (Novembre 2024)

Video: Reliable Email Providers More Private than Gmail (Novembre 2024)
Anonim

Google ha reso obbligatoria la crittografia HTTPS per tutto Gmail; evviva! In verità, questa non è proprio la pietra miliare che sembra. La crittografia è sempre stata un'opzione ed è l'impostazione predefinita da oltre quattro anni. Anche il tuo traffico Gmail è ora crittografato mentre si sposta tra i server di Google internamente. Ciò significa che l'NSA non può intercettare e leggere la tua posta? Bene, non proprio.

Che cos'è questo HTTPS, di nuovo?

Innanzitutto, un aggiornamento. Il "HTTP" che vedi all'inizio di ogni URL sta per Hypertext Transfer Protocol, con enfasi su "testo". Il traffico HTTP rimbalza tra i server come testo normale, con tag basati su testo per indicare come gestire il contenuto. Un messaggio Gmail che viaggia tramite HTTP passerà attraverso diversi server e uno "sniffer" installato su uno di questi server potrebbe intercettare il testo.

La S in HTTPS sta per Secure. Quando ti connetti con un sito HTTPS, le richieste dal tuo browser vengono crittografate sulla strada per il server e i dati restituiti dal server vengono crittografati sulla via del ritorno al tuo browser. Una connessione HTTPS è assolutamente necessaria quando si effettuano transazioni online sensibili. A partire da ora, tutto il tuo traffico Gmail viaggia allo stesso modo… fino a un certo punto.

Destinatari non sicuri

Se condividi una conversazione e-mail con un altro utente Gmail, tutto dovrebbe essere copacetico. Dal tuo PC ai server di Google e da Google al destinatario, tutto è crittografato. Ma non tutti usano Gmail.

POP3 (Post Office Protocol 3) per la ricezione di e-mail esiste da anni ed è ancora ampiamente utilizzato. La crittografia è un'opzione, ma molti (la maggior parte?) Server POP3 non la utilizzano. Lo stesso vale per SMTP (Simple Mail Transfer Protocol), utilizzato per l'invio di e-mail.

Se invii un messaggio a una persona con un account di posta elettronica POP3 / SMTP, verrà trasmesso in testo semplice tra il PC di quella persona e il server. Non sono sicuro del traffico tra quel server e i server Gmail di Google, ma la connessione finale è sicuramente aperta allo sniffing della rete.

Yahoo ha reso HTTPS l'impostazione predefinita all'inizio di quest'anno, sebbene la sua implementazione sia stata messa a dura prova. Non è chiaro se la comunicazione tra i server di Google e i server di Yahoo sia crittografata; Spero lo sia.

Altri viali

La crittografia di Google serve semplicemente a prevenire l'acquisizione di massa di messaggi e-mail per l'analisi dei Big Data, e questa è una buona cosa, ma se l'NSA è davvero interessata a te in modo specifico, hanno altri modi per vedere cosa stai facendo. Questi includono l'accesso al tuo PC attraverso un exploit wireless e l'intercettazione della consegna del computer che hai ordinato di installare spyware, tra molte altre opzioni. Se vogliono i tuoi dati in particolare, li otterranno.

C'è anche la possibilità che HTTPS non sia così sicuro come pensiamo. L'NSA ha pagato $ 10 milioni per la sicurezza di RSA e molti credono che in cambio di tale pagamento RSA abbia installato una backdoor nel proprio protocollo di crittografia ampiamente utilizzato. Alla recente conferenza della RSA, il presidente della RSA ha negato qualsiasi contratto segreto con la NSA, ma ha lasciato aperta la possibilità che il governo avesse una mano nel controllare l'algoritmo difettoso.

Encrypt, Encrypt, Encrypt

Sempre alla RSA Conference, la rockstar della sicurezza Bruce Schneier ha presentato un semplice piano per proteggere la tua vita online: crittografare tutto. "La crittografia funziona", ha detto. "L'NSA non può romperlo e li fa incazzare."

La soluzione migliore potrebbe essere una soluzione di comunicazione crittografata che funzioni al di fuori del sistema di posta elettronica standard. VaporStream è un esempio. I messaggi inviati tramite questo servizio scompaiono una volta letti. Se vuoi stare più vicino alla normale esperienza di posta elettronica, un prodotto come Invia. Pro può integrarsi con Outlook per crittografare e decrittografare automaticamente i messaggi. Naturalmente, anche i tuoi destinatari hanno bisogno del programma.

Puoi anche semplicemente scrivere il tuo messaggio come documento, salvarlo in un file ZIP crittografato usando una password predisposta e inviare il file come allegato. Sarebbe imbarazzante, però. Uno strumento come HP Trust Circles ti consente di condividere file che sono totalmente e in modo trasparente visibili a te e al tuo destinatario, ma crittografati per tutti gli altri. Un'altra opzione sarebbe quella di rilasciare i file crittografati nel cloud storage. Prodotti come DataLocker SkyCrypt possono rendere semplice e automatica la crittografia dei file condivisi.

L'e-mail è in circolazione in qualche forma da oltre cinquant'anni. Forse non è il modo in cui dovresti comunicare. Ci sono molte opzioni per la messaggistica di testo sicura. In effetti, le chiamate da iPhone a iPhone che utilizzano iMessage sono intrinsecamente sicure

Complimenti a Google per aver scelto la crittografia all-in. È davvero una buona cosa e contribuirà a ridurre al minimo la capacità dell'NSA (o di qualsiasi altro gruppo) di raccogliere dati e-mail in blocco. Ma per una comunicazione completamente sicura, devi essere proattivo.

Gmail è ora crittografato, ma non sei ancora a prova di nsa