谷歌推出端對端郵件加密工具：對抗NSA監控

新浪科技訊 北京時間6月4日早間消息，谷歌周二發布了一個新的Chrome瀏覽器擴展的原始碼，可以方便用戶對電子郵件進行加密，使得美國國家安全局(以下簡稱“NSA”)等情報機構的監聽難度大幅增加。

這款名為End-to-End的加密工具使用OpenPGP開源加密程序編寫，可以在用戶的電子郵件離開瀏覽器后對其加密，直到被收件人解密。該工具還可以方便用戶讀取發送到其電子郵件伺服器中的加密信息。不過，發送和接受郵件的雙方都需要使用End-to-End或其他加密工具，才能令該系統真正發揮作用。

此舉將對NSA的監聽行為構成重大打擊。盡管過去20年已經出現過多加密技術，但PGP和GnuPG等端對端郵件加密技術仍然需要大量人員的介入，而且需要很強的技術能力。NSA也經常利用人為錯誤來破解加密信息。

“政府不能越權，這一點很重要。”谷歌首席安全官埃裏克·格羅斯(Eric Grosse)，“我們不希望任何政府破壞互聯網安全。”

谷歌的新工具可以加大NSA及其他情報機構的工作難度。雖然端對端加密無法徹底消除信息被黑客或情報機構攔截的風險，但卻會迫使他們直接入侵用戶電腦讀取信息，而無法在發送過程中獲取。不過，他們也可以通過秘密法院的命令，從電信運營商那裏收集信息。

但“稜鏡門”曝光者、NSA前僱員愛德華·斯諾登(Edward Snowden)曾在SXSW音樂節上建議技術人員降低端對端加密技術的使用難度。

直到目前，科技公司在推廣端對端加密技術時始終比較遲疑，因為這會導致谷歌和雅虎等公司難以利用用戶發送的數據來投放廣告。這些科技巨頭都沒有加入“暗郵聯盟”(Dark Mail Alliance)。該組織的發起方是Silent Circle和Lavabit兩家重視隱私的通信提供商，他們向微軟、谷歌和雅虎提供了新的端對端加密電子郵件協議。

隱私激進人士曾經批評谷歌和其他公司沒有盡快支持端對端加密協議。美國民主自由聯盟首席技術專家克里斯多夫·索霍伊安(Christopher Soghoian)：“谷歌想介入你和與你互動的所有人之間，並提供某種形式的附加價值。他們希望成為你與他人之間的紐帶，導致這種紐帶的安全性難以確保。”

不過，谷歌周二的這一聲明表明該公司已經對這些擔憂予以重視。

谷歌隱私和安全品經理史蒂芬·索莫吉(Stephan Somogyi)在博客中寫道：“我們意識到這種加密很可能只會用在十分敏感的信息上，或者被那些需要額外保護的人使用。但我們希望End-to-End擴展可以方便人們盡快得到所需的額外安全保護。”

要讓End-to-End工具發揮作用，可能還需要再等一段時間。谷歌周二將End-to-End工具的早期開原始碼面向密碼員、隱私激進人士和工程師發布，希望他們從中尋找錯誤和后門。谷歌通過名為Vulnerability Reward Program的獎勵項目，為找到安全漏洞的工程師提供獎金。

另外，谷歌周二發布的最新數據顯示，該公司仍然需要做出很多努力才能確保用戶的通信安全。在從谷歌伺服器向外發送信息時，該公司會自動加密網絡數據流，但如果另外一端的通信服務提供商不支持加密，數據仍然無法得到保護。

谷歌表示，Gmail與其他電子郵件提供商之間的郵件往來有40%至50%沒有加密。例如，谷歌與康卡斯特之間的流量只有1%實現加密，而谷歌與雅虎、Facebook、Twitter、Craigslist和亞馬遜之間的加密流量占比超過95%。

康卡斯特發言人稱，該公司正在測試加密功能，並計劃在幾周內啟用。而該公司的工程師也將在下周出席一次行業會議，並專門探討此事。

微軟也仍有一些工作要做，因為谷歌與微軟的Hotmail等服務之間的流量只有半數經過了加密。(書聿)