Google chce šifrování všude - ochrání vás v Chrome i Gmailu
9.3.2016 | Jindřich Zechmeister
Google je největší poskytovatel internetových služeb a v posledních letech se snaží posunout bezpečnost uživatelů na vyšší úroveň. Používáte-li Gmail, jistě jste si všimli drobné nové funkce související se zabezpečením e-mailů. Dnešní článek přináší vysvětlení této funkce a návod, jak ji využít. Novinky se dotkly i prohlížeče Chrome.
V Chrome některé prvky webu bez HTTPS nepůjdou
Novější verze prohlížeče Chrome neumožní použít určité funkce webu, pokud nejsou zabezpečeny šifrováním. Například pokud stránka obsahuje rámec nebo iframe s HTTPS, musí být i stránka obsahující iframe (hlavní stránka) zabezpečena pomocí SSL certifikátu.
Google též zakázal nezabezpečeným webům používat některé multimediální funkce jako mikrofon či tablet. Nezabezpečený přístup ke geolocation API bude zakázán ve verzi 50.
Uvedené změny jsou některými provozovateli webů považovány za kontroverzní, ale cílem Google je ochrana uživatele webu. Postupuje v souladu se zásadami bezpečného obsahu zveřejněnými organizací W3C, které chce dodržovat i Firefox. Snaha co nejdříve eliminovat nezabezpečený protokol HTTP je zjevná.
Gmail ukáže, který e-mail byl přenesen nešifrovaně
Pojďme se podívat na nové vlastnosti Gmailu, které vás ochraňují při e-mailové komunikaci.
Indikace nezabezpečeného přenosu a možnosti odposlechu
Šifrování přenosu dat mezi poštovními servery je vlastnost, která je široce rozšířená a funguje už mnoho let. Nelze však předpokládat, že e-maily jsou díky tomu v bezpečí. Ukázalo se, že velká část pošty je stále přenášena nešifrovaně a to i mezi servery, které šifrování podporují. Může za to protokol STARTTLS, který slouží k navázání šifrované komunikace z nešifrované při použití jen jednoho portu serveru (opačný přístup mají webové servery, které mají pro SSL/TLS vyhrazený port 443 a 80 pro HTTP). Více o tomto problému a downgrade útoku najdete v článku Don’t count on STARTTLS to automatically encrypt your sensitive e-mails. Z výzkumu vyplývá, že až 20 % zpráv odeslaných z Gmailu je záměrně přenášeno v textové podobě; v Tunisku je to dokonce až 96 %.
Při použití STARTTLS není možné nijak ověřit, zdali byl e-mail přenesen šifrovaně, nebo v "odposlechnutelné" podobě. Proto se Google odhodlal k většímu informování uživatelů. Do Gmailu přibylo upozornění o tom, zdali poštovní server odesilatele či příjemce podporuje šifrování a zdali je jeho identita zaručena.
Gmail upozorňuje na e-mail přenesený nezabezpečeně. Nikoliv na "nezašifrovanou zprávu", jak tvrdí nepřesně česky.
Pokud k vám e-mail dorazí nešifrovaně a mohl být po cestě odposloucháván, uvidíte v Gmailu symbol otevřeného červeného zámku. Je-li identita odesilatele neznámá a není možné ji ověřit, bude v jeho avataru (ikona u jména) otazník. V tomto případě doporučujeme maximální pozornost a nedůvěru.
Kontrola identity odesilatele
Princip fungování e-mailu umožňuje do pole odesilatele napsat jakýkoliv údaj; například putin@hrad.cz. Ten pak uvidí příjemce jako adresu odesilatele.
Ukázka podvrženého e-mailu - co uvedete jako odesilatele, to ve zprávě bude.
Pro kontrolu původu pošty a zamezení odesílání falešných e-mailů z jiné domény vznikly funkce SPF a DKIM. Jejich vlastnosti najdete na předchozích odkazech; důležitější je fakt, že otazník se v Gmailu zobrazí při jejich absenci a je známkou toho, že e-mail má pravděpodobně jiného odesilatele, než dovoluje dotyčná doména. Jeho identitu tak nelze ověřit a může jít o phishing s cílem vás okrást.
Je nutné si uvědomit, že e-mail je velmi starý komunikační nástroj a z principu není soukromý a bezpečný. I když dnes většina serverů šifruje přenášené zprávy, prakticky nikdo (kromě specialistů na to zaměřených) nešifruje zprávy při uložení. Zprávy jsou na poštovních serverech uloženy jako prostý text a stačí se k nim dostat.
Jak má vypadat důvěryhodná zpráva?
Gmail ukazuje nejen výtky k důvěryhodnosti zprávy, ale umožňuje také aktivně zkontrolovat, jak byla přenesena a zdali e-mail nepochází z podvržené adresy.
Otevřete si zprávu a v jejím záhlaví klikněte na šipku vedle jména adresáta. Slouží pro zobrazení více informací. Na příkladu níže vidíte důvěryhodnou zprávu od CZECHIA.COM. Byla přenesena šifrovaně a doména je podepsaná pomocí DKIM.
Příklad důvěryhodné zprávy a její kontroly.
Doporučujeme (alespoň některé) příchozí zprávy kontrolovat a zvyknout si na novou funkci Gmailu. Čím dříve ji pochopíte a začnete používat ve svůj prospěch, tím rychleji omezíte riziko vašeho zneužití.
Používejte bezpečný a soukromý e-mail
Gmail je populární a kvalitní služba, která je však známá tím, že vydělává na reklamě. Bezpečnost používání je na vysoké úrovni, ale e-maily samotné nejsou u Googlu uloženy šifrovaně a ten je strojově prochází, aby vám dokázal nabídnout cílenou reklamu na míru.
Chcete-li používat zabezpečený e-mail s ochranou proti phishingu bez pocitu, že vám nějaký robot Googlu čte e-maily, zvolte poštovní službu Z-mail pro profesionály a firmy, nebo inMail, který je zdarma. Obě služby stejně jako Gmail podporují DKIM a SPF.
Zdroje:
- Official Gmail blog. Making email safer for you.
- Gmail help. Email authentication.
- arstechnica.com. Don’t count on STARTTLS to automatically encrypt your sensitive e-mails.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz