Seguridad

Google invita a los desarrolladores de código abierto a probar el cifrado E2EMail

La semana pasada Google lanzó buzón de correo electrónico El código de cifrado es de código abierto como una forma de avanzar en la tecnología.

«Google ha sido criticado por tardar demasiado y parecer carecer de progreso en el cifrado E2EMail, por lo que el código fuente abierto podría ayudar a que el proyecto avance más rápido», dijo el analista principal Charles King. Golpearlo.

Le dijo a LinuxInsider que esto no disuadirá a los críticos, como lo demostró la reacción a la decisión.

Sin embargo, King añadió que esto debería permitir a la empresa centrar su atención y recursos en lo que considera cuestiones más urgentes.

Google lanzó el proyecto E2EMail hace más de un año para proporcionar a los usuarios una aplicación de Chrome que permita un intercambio sencillo de correos electrónicos privados.

Este proyecto integra OpenPGP en Gmail a través de una extensión de Chrome. Mejora la usabilidad y mantiene todo el texto claro del cuerpo del mensaje solo en el cliente.

Los miembros del equipo de ingeniería de seguridad y privacidad de Google, KB Sriram, Eduardo Vela Nava y Stephan Somogyi, señalaron en un artículo en línea que E2EMail se basa en una biblioteca de cifrado Javascript de código abierto probada desarrollada por Google.

E2EMail ha sido desbloqueado

Las primeras versiones de E2EMail eran sólo de texto y sólo admitían mensajes PGP/MIME. Ahora utiliza su propio servidor de claves.

Las aplicaciones criptográficas eventualmente dependerán de la reciente Iniciativa de Transparencia de Claves de Google para la búsqueda de claves de cifrado. Google abrió el proyecto a principios de este año para simplificar las búsquedas de claves públicas a escala de Internet.

Los esfuerzos clave de transparencia abordan los desafíos de usabilidad que han obstaculizado la adopción generalizada de OpenPGP.

Durante el proceso de instalación, E2EMail generará una clave OpenPGP y cargará la clave pública en el servidor de claves. Las claves privadas siempre se almacenan localmente.


E2EMail utiliza un servidor de claves central simple para realizar pruebas. La declaración clave de transparencia de Google es crucial para su futuro desarrollo.

Google se beneficia parcialmente

Los sistemas de mensajería seguros pueden beneficiarse al hacer que el sistema sea de código abierto. Los desarrolladores pueden utilizar el directorio al crear aplicaciones para encontrar las claves públicas asociadas con las cuentas y los registros de auditoría públicos de cualquier cambio crítico.

Sriram, Nava y Somogyi dijeron en su publicación conjunta que el descubrimiento y distribución de claves de cifrado está en el centro de los desafíos de usabilidad que enfrentan las implementaciones de OpenPGP.

Key Transparency proporciona una solución confiable, escalable y práctica. Señalan que reemplaza el problemático modelo de red de confianza utilizado tradicionalmente con PGP.

«Google anunció el cifrado de correo electrónico de extremo a extremo hace casi tres años, pero nunca implementó ningún producto o solución». más allá de la confianza.

«Con este anuncio, Google cumple la promesa de una extensión de Chrome que cifrará Gmail de extremo a extremo sin problemas», dijo a LinuxInsider.

Haber agregó que dado que Google decidió abrir el proyecto, la tecnología ya no será exclusiva de Chrome y Gmail. En cambio, Google ya no está comprometido con el proyecto y la comunidad será propietaria del trabajo y de cualquier derivado potencial.

«Esto podría verse como el cumplimiento de una promesa hecha hace tres años, o como el lanzamiento de un proyecto de piezas de automóvil reconocido en el mercado. En cualquier caso, la tecnología utilizada puede estimular algunas otras innovaciones en soluciones similares de tipo mensajería». .

último esfuerzo

El analista jefe de Google, Rob Enderle, dijo que la decisión de Google de abandonar E2EMail y el código abierto puede ser la manera que tiene la empresa de salvar las apariencias. Grupo Endler.

Le dijo a LinuxInsider que el mejor de los casos es que compartir el proyecto podría inspirar a otros desarrolladores y potencialmente mejorar la seguridad general.


«Creo que, como muchos proyectos de Google, Google perdió interés en este proyecto», continuó Enderle. «Ponerlo en código abierto es al menos una manera de que otros se beneficien del esfuerzo. Es mejor que simplemente dejar de trabajar y ponerlo en marcha. Es mejor Archiva tu trabajo en un repositorio privado”.

King señaló que el impacto de la decisión de Google de abrir el proyecto en código abierto es difícil de evaluar.

«Google reconoce que los problemas que rodean el cifrado de correo electrónico de extremo a extremo son más complejos de lo que inicialmente asumió, por lo que el código que lanzó está lejos de estar completamente maduro», dijo.

King añadió que esto hace que su valor real sea difícil de determinar, pero poner más ojos y energía en el trabajo podría ayudarle a progresar más rápido.

Todavía necesito solución

Aproximadamente la mitad del correo electrónico viaja en línea sin cifrar, pero este puede no ser el caso de las aplicaciones de mensajería y redes sociales, advierte más allá de la confianzaHarper.

«Las implementaciones básicas de tecnología como esta podrían usarse para proteger todo, desde extractos bancarios hasta restablecimiento de contraseñas», dijo.

Aunque el proyecto de Google nunca se materializó en un producto, las ideas y métodos son buenos ejemplos de los que vale la pena aprender.

«Ayudará a las personas a comprender las tecnologías y proyectos que pueden fallar en relación con el cifrado de extremo a extremo, pero en última instancia, los investigadores e ingenieros de seguridad deberían resolver los grandes problemas de la gestión de claves y las colisiones SHA1», dijo Haber.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba