Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Gmail wprowadza szyfrowanie poczty end2end. Na razie w wersji beta.

10 stycznia 2023, 09:23 | W biegu | komentarzy 16

Szyfrowanie e-maili możemy rozważać w dwóch perspektywach:

  1. Szyfrowanie w trakcie transportu – uniemożliwia to odczytanie wiadomości postronnym osobom, które podsłuchiwałyby ruch w Internecie. Mechanizm podobny jest do znanego nam ze świata webowego HTTPS i jest w zasadzie standardem.
  2. Szyfrowanie w spoczynku. Tutaj jest gorzej, bo mało osób używa tego typu szyfrowania w kontekście poczty. Czyli jeśli ktoś przejął skrzynkę pocztową ofiary (hello: poufna rozmowa), to bez problemu może czytać wszystkie historyczne (i nowe) wiadomości.

    W tym przypadku mamy praktycznie dwa standardy: PGP oraz S/MIME. Google niedawno ogłosił, że idzie w ten drugi mechanizm:

    With Gmail client-side encryption beta, you can send and receive encrypted emails within your domain and outside of your domain.

    Warto zaznaczyć, że tego typu szyfrowanie oznacza, że nawet Google (przynajmniej w teorii) nie będzie widziało, co znajduje się w tego typu szyfrowanych wiadomościach.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Bartek

    Co do wiedzy googla – zalezy gdzie te szyfrowanie bedzie mialo miejsce.
    Jesli bedzie wykonywac go kod od googla to bedzie miala dostep ( np Chrome, Android etc )

    Odpowiedz
  2. Leszek

    A czy któryś z dużych konkurentów ma to już zaimplementowane? Typu Outlook czy onet?

    Odpowiedz
    • GPG (S/MIME zresztą też) możesz używać z każdym providerem poczty (kwestia ogarnięcia tego po stronie klienta – np. Thunderbird)

      Odpowiedz
    • czesław

      Płatne certy musisz odnawiać co jest trochę upierdliwe.
      Protonmail ma zaimplementowane PGP out of the box, no ale on chyba nie jest duży (pytałeś tylko o dużych?)

      mailbox.org tez ma zaimplementowane PGP

      Odpowiedz
  3. Trolololo

    Robocza nazwa to CIAInTheMiddle lub End2CIA :D

    Odpowiedz
    • cia agent

      Co to znaczy?

      Odpowiedz
    • Docenia M.

      Wyśmienite :D

      Odpowiedz
  4. John

    Szkoda ze certy S/MIME sa takie drogie, a te darmowe maja klucze prywatne generowane po stronie wystawcy.

    Odpowiedz
    • m32

      centrum ma CSR, robisz go sam i wklejasz na stronie – s/mime masz za 50pln

      Odpowiedz
    • m32

      certum ma CSR, robisz go sam i wklejasz na stronie – s/mime masz za 50pln

      Odpowiedz
  5. Paweł

    Będzie możliwość wgrania na gmaila kluczy „samoróbek”?

    github.com/HPeTBD/smime/blob/main/funkcje.md

    Moglibyście przetestować działanie tego programu?

    Odpowiedz
    • czesław

      Nie wiem, ale zgaduję ,że nie ponieważ nie będą zaufane(?).

      Odpowiedz
    • John

      Przeciez to jest self signed, warty tyle samo co self signed na stronie www. Chyba tylko ostatni osiol bedzie wchodzil na jakas strone zeby pobrac certy i dodac je u siebie tylko po to aby „zweryfikowac” nadawce :D Caly mechanizm brzmi jak slynny albanski wirus komputerowy.

      Odpowiedz
  6. Artur

    Wesołe. Niektórzy znowu potraktują to poważnie. Po czym wklepią hasło w Chromie.
    Kolega od End2CIA już to wyjaśnił, ale jak widać dla niektórych już na tym etapie było zbyt trudno ;)

    Odpowiedz
  7. Michał

    Do kolegów od End2CIA – zamiast schizować zawsze lepiej zawężać krąg potencjalnych odbiorców. Dla poczty przychodzącej interfejs Gmail i tak musi wyrenderować zdeszyfrowaną treść, a dla wysyłanej i tak maila wprowadzasz cleartextem, natomiast odbiorca (niekoniecznie na Gmailu) zdeszyfruje sobie go dopiero na swojej końcówce. a Root CA można sobie wygenerować tylko pod kątem Least privilege po prostu.
    A tym co nie będzie wystarczać Hosted S/MIME Google (chyba) nadal nie będzie zabraniało uzywać S/MIME po stronie końcówki

    Odpowiedz
  8. Arek

    Śmieszniejszego artykułu o google chyba nie czytałem. Jak google czy facebook wprowadzają coś co istnieje już pare dobrych lat to znaczy że zostało to rozpracowane albo istnieje już lepsza metoda na inwigilacje. Poza tym zgodnie z rozporządzeniem UE szyfrowanie e2e ma być umyślnie osłabiane/uszkadzane w celu łatwiejszego szpiegowania. Więc tak czy siak lepiej szyfrować pierw u siebie w systemie a dopiero potem używać google, wiem to bo raz zaszyfrowałem backup i wrzuciłem na google drive to mi konto zablokowali bo nie mogli sie dostać do contentu niby takie geniusze i w dodatku posiadający superszybki komputer a z GPG mieli problem XD. Zresztą ktoś komu zależy na super tajnej komunikacji nie będzie używał serwisów, platform etc tylko swoich narzędzi aby tylko nie zostawić śladów.

    Odpowiedz

Odpowiedz