GMail worstelt nog steeds met volledige versleuteling

VersleutelingBijna drie jaar geleden kondigde Google aan om zijn berichtendienst GMail volledig te beveiligen door versleuteling. Dat zou dan een grote privacyopsteker zijn voor meer dan eenmiljard GMail-gebruikers. Tot nu toe schijnt het nog steeds niet zo ver te zijn. Het Amerikaanse (web)blad Wired vraagt zich af of het ooit nog zo ver komt.

Afgelopen vrijdag meldde Google dat E2EMail, een extensie in de websurfer Chrome, niet langer meer een Google-opzetje is. Daarmee moeten GMail-berichten worden ver- en ontsleuteld. Google nodigde ontwikkelaars uit het project over te nemen. Google stelt er niet het bijltje erbij neergegooid te hebben, maar mensen uit het privacywereldje hebben zo hun twijfels.
“De echte boodschap is dat Google niet meer actief met het project bezig is”, zegt Matthew Green van de John Hopkins-universiteit (VS). Hij is blij dat er wat tevoorschijn komt, maar het is bij lange na niet wat Google beloofd heeft. “Het is erg teleurstellende dat ze dit project niet doorzetten, als je ziet hoeveel ze er op een gegeven moment hebben ingestoken.”

In juni 2014 kondigde Google totale versleuteling aan van GMail (E2E staat voor end to end) als reactie op de onthullingen van Edward Snowden. Inmiddels hebben Apple (iMessage), Facebook (Messenger), WhatsApp en zelfs Viber  volledige versleuteling, maar schijnt het project van Google niet uit de ontwikkelingsfase te komen. “Dat wordt niks meer”, zegt Jeremiah Grossman van het beveiligingsbedrijf Sentinel One. “Dat is hun manier om zich niet langer vast te leggen.” Volgens Green, die met Google-medewerkers heeft gesproken, heeft het project nooit voldoende ondersteuning gehad. “Google gaat daar ook niet veel meer aan doen”, voorspelt hij.

Moeilijk

Vertegenwoordigers van Google houden vol dat ze doorgaan. Om versleuteling makkelijk én veilig te maken is veel moeilijker dan mensen denken, stelt hoofd beveiliging Stephan Somogyi. De versleuteling moet, anders dan bij WhatsApp en Facebook Messenger, worden gekoppeld aan elektronische post, een oud protocol dat met miljarden computers moet kunnen samenwerken waar Google geen ‘zeggenschap’ over heeft. Google had al een volledig nieuwe codebibliotheek moeten bouwen in javascript, noodzakelijke voorbereiding voor veilige webmail, dat een aantal jaren geleden nog als onwerkbaar werd gezien.

Recenter moesten de Google-ingenieurs zich buigen over het sleutelbeheer, de lastige klus om de sleutel van de code veilig te verspreiden en te volgen of die wel bij de rechthebbende terechtkomt. Dat probleem heeft PGP jaren parten gespeeld, het systeem waarop Google zijn versleuteling heeft gebaseerd.
Google wil die problemen nu te lijf gaan binnen het project  Key Transparency, waar ook onderzoekers van Princeton, Yahoo en Open Whisper Systems aan deelnemen. Somogyi belooft niks. Hij zegt te hopen met hulp van buiten de klus alsnog, en sneller, te zullen klaren dan op eigen houtje door te gaan. “Mensen hoeven niet te wachten tot Google iets voor elkaar krijgt.”

Speculatie

Er wordt gespeculeerd over het waarom van het falen van Google. Zou het kunnen, zo vragen sommige critici zich af, dat Google beducht is voor aanvaringen met de Amerikaanse autoriteiten? Of is Google bang zichzelf in de voet te schieten? Het bedrijf is tenslotte rijk geworden met gerichte reclame, gebaseerd op het vergaren van informatie van zijn gebruikers. Zo werkt de Allo-assistent niet als de gebruikers versleuteling hebben ingeschakeld. Uiteindelijk is het doel van de volledige versleuteling dat niemand behalve de rechthebbenden weten wat er omgaat.

GMail-gebruikers hebben een keus: deel je geheimen met Google of verstuur je berichten via een van de vele totaal versleutelde berichtendiensten. Waarom zou je Google gebruiken?

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *