北京时间6月4日早间消息,谷歌周二发布了一个新的Chrome浏览器扩展的源代码,可以方便用户对电子邮件进行加密,使得美国国家安全局(以下简称“NSA”)等情报机构的监听难度大幅增加。
这款名为End-to-End的加密工具使用OpenPGP开源加密程序编写,可以在用户的电子邮件离开浏览器后对其加密,直到被收件人解密。该工具还可以方便用户读取发送到其电子邮件服务器中的加密信息。不过,发送和接受邮件的双方都需要使用End-to-End或其他加密工具,才能令该系统真正发挥作用。
此举将对NSA的监听行为构成重大打击。尽管过去20年已经出现过众多加密技术,但PGP和GnuPG等端对端邮件加密技术仍然需要大量人员的介入,而且需要很强的技术能力。NSA也经常利用人为错误来破解加密信息。
“政府不能越权,这一点很重要。”谷歌首席安全官埃里克·格罗斯(Eric Grosse)说,“我们不希望任何政府破坏互联网安全。”
谷歌的新工具可以加大NSA及其他情报机构的工作难度。虽然端对端加密无法彻底消除信息被黑客或情报机构拦截的风险,但却会迫使他们直接入侵用户电脑读取信息,而无法在发送过程中获取。不过,他们也可以通过秘密法院的命令,从电信运营商那里收集信息。
但“棱镜门”曝光者、NSA前雇员爱德华·斯诺登(Edward Snowden)曾在SXSW音乐节上建议技术人员降低端对端加密技术的使用难度。
直到目前,科技公司在推广端对端加密技术时始终比较迟疑,因为这会导致谷歌和雅虎等公司难以利用用户发送的数据来投放广告。这些科技巨头都没有加入“暗邮联盟”(Dark Mail Alliance)。该组织的发起方是Silent Circle和Lavabit两家重视隐私的通信提供商,他们向微软、谷歌和雅虎提供了新的端对端加密电子邮件协议。
隐私激进人士曾经批评谷歌和其他公司没有尽快支持端对端加密协议。美国民主自由联盟首席技术专家克里斯多夫·索霍伊安(Christopher Soghoian)说:“谷歌想介入你和与你互动的所有人之间,并提供某种形式的附加价值。他们希望成为你与他人之间的纽带,导致这种纽带的安全性难以确保。”
不过,谷歌周二的这一声明表明该公司已经对这些担忧予以重视。
谷歌隐私和安全产品经理史蒂芬·索莫吉(Stephan Somogyi)在博客中写道:“我们意识到这种加密很可能只会用在十分敏感的信息上,或者被那些需要额外保护的人使用。但我们希望End-to-End扩展可以方便人们尽快得到所需的额外安全保护。”
要让End-to-End工具发挥作用,可能还需要再等一段时间。谷歌周二将End-to-End工具的早期开源代码面向密码员、隐私激进人士和工程师发布,希望他们从中寻找错误和后门。谷歌通过名为Vulnerability Reward Program的奖励项目,为找到安全漏洞的工程师提供奖金。
另外,谷歌周二发布的最新数据显示,该公司仍然需要做出很多努力才能确保用户的通信安全。在从谷歌服务器向外发送信息时,该公司会自动加密网络数据流,但如果另外一端的通信服务提供商不支持加密,数据仍然无法得到保护。
谷歌表示,Gmail与其他电子邮件提供商之间的邮件往来有40%至50%没有加密。例如,谷歌与康卡斯特之间的流量只有1%实现加密,而谷歌与雅虎、Facebook、Twitter、Craigslist和亚马逊之间的加密流量占比超过95%。
|