Netneutraliteit blijft work-in-progress

Het begin van End-to-End

De week in 262 woorden
DOSSIER / Versleuteling

Hoe goed de relatie tussen Google en NSA is, is niet duidelijk. Met haar aankondiging van vandaag lijkt Google een dikke middelvinger naar de NSA op te steken. Het bedrijf dat alles van iedereen weet lanceerde vandaag End-to-End: een browserplugin die het je makkelijk moet maken om je e-mail tot aan de verzender te versleutelen.

Wil je zeker weten dat niemand onderweg meeleest, dan zorg je ervoor dat de e-mail op je eigen computer wordt versleuteld en alleen op de computer van de ontvanger weer leesbaar kan worden gemaakt. De nieuwe plugin moet precies dat gaan doen. Google baseert zijn plugin op OpenPGP, een standaard voor het garanderen van de vertrouwelijkheid, integriteit en de authenticiteit van e-mail. Dringend nodig, want onze e-mails worden vandaag de dag op grote schaal door overheden en bedrijven afgeluisterd, opgeslagen en geanalyseerd. Google heeft de plugin voorlopig alleen beschikbaar gemaakt voor ontwikkelaars, later is het grote publiek pas aan de beurt.

Toch wil Google niet dat iedereen de plugin gaat gebruiken. Google schrijft in haar aankondiging:“[…] will probably only be used for very sensitive messages or by those who need added protection.” De plugin “will make it quicker and easier for people to get that extra layer of security should they need it,” hoopt Google. Dat is geen handige keuze: op die manier is voor elke drie- of vierletterige agency direct duidelijk welke berichten en individuen bovengemiddeld interessant zijn. Is “your online security” écht “a top priority” voor Google, dan zorgt Google ervoor dat alle e-mail van haar gebruikers end-to-end is versleuteld.

Googles verdienmodel, waarin de adverteerder de werkelijke klant is, staat daarbij echter in de weg. Om de kans dat jij op een advertentie klikt zo groot mogelijk te maken, wil Google je graag “gepersonaliseerde advertenties” tonen. Dat kan alleen als Google in je mailbox kan kijken en je e-mail kan analyseren. De nieuwe plugin voorkomt dat, omdat Google niet de beoogde ontvanger van jouw e-mail is. Met andere woorden: als de nieuwe plugin een groot succes zou zijn heeft Google een groot probleem.

Het zou wel een mooie uitdaging zijn: een goede implementatie van OpenPGP is superlastig gebleken. Hoewel de achterliggende principes niet bijzonder complex zijn, is het toch moeilijk om dat op een gebruikersvriendelijke en zinvolle manier te implementeren in een user interface. Technisch gezien bestaan de oplossingen voor end-to-end encryptie al jaren, maar het gebrek aan gebruiks­vriendelijke user interfaces heeft er voor gezorgd dat alleen een selecte groep gebruikers e-mail versleutelt.

En zelfs als het Google zou lukken om al haar gebruikers op een zinvolle wijze OpenPGP te laten gebruiken zijn we nog niet klaar. De versleuteling van de e-mail zorgt er immers alleen maar voor dat de inhoud voor een afluisteraar niet meer te volgen is. De gegevens over de communicatie (wie heeft wanneer met wie contact) zijn nog altijd gewoon beschikbaar. En we weten hoe gevoelig die zijn: op basis daarvan worden mensen gedood.

  1. Harry Solter

    I don’t trust Google. At all. So I’m gonna read up on OpenPGP and download it from here: http://www.pgpi.org

    Besides, the plugin from Google only works for Chrome, a browser I don’t use.

  2. Joe

    Ik had hier graag een iets technischer verhaal gelezen.
    Om je email verkeer te ver- en ontsleutelen, wanneer jij op een wilekeurige computer inlogt op je gmail, moet Google toegang hebben tot je private key.
    Dat klinkt mij als een slecht idee in de oren. Hebben de experts van BoF daar geen uitleg en meing over?
    Ook is het raar dat de plugin enkel elliptic curve keys kan aanmaken, terwijl RSA-keys de standaard is die door alle andere pgp-implementaties wordt ondersteund. Als reden hiervoor wordt gegeven dat het aanmaken van EC-keys sneller gaat (een actie die je maar één keer uitvoert!)
    Niet dat Elliptic Curve tegenwoordig als onveilig wordt beschouwd, maar toch is het een vreemde keuze van Google.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.