Názory k článku
Google nabídne end-to-end šifrování pošty pro všechny

Chapu spravne, ze Google zacne vydavat S/MIME certifikaty? To by bylo velke... Akorat je otazka, jestli budou mit nejaky duveryhodny root cert...

A jak to bude fungovat na IMAP? Taky se stahne S/MIME zasifrovany mail?

Google svou CA vydavajici mj. S/MIME certifikaty ma uz nejaky ten patek ma. Uz asi od roku 2017.

Pokud příjemce používá jiného poskytovatele, dostane v mailu pozvánku k bezpečnému přečtení šifrované pošty.

Jasně: "pokud chcete tento email přečíst, musíte ho číst u nás s naší reklamou a šmírováním (váš email si už spárujeme sami)"

Já se obávám, že chytřejší řešení neexistuje. Pokud poštovní server na druhé straně nespolupracuje, je potřeba to udělat takhle. Pokud umíte S/MIME, máte certifikát a všechno připravené, může vám pošta dorazit šifrovaná do schránky. Pokud ne, tak si můžete vybrat: buď nešifrovaně, nebo si to přečtete někde na webu po autorizaci.

Ovšem pokud má Google mít možnost nechat e-mail číst někde na své webové stránce, pak ten e-mail nejspíš není end-to-end šifrovaný.

Samozřejmě to nikdy nemůže být dokonalé, pokud příjemce nevygeneroval pár klíčů předem bezpečně na svojí straně a nepředal veřejný klíč odesílateli. Což se dělá obvykle právě při S/MIME pomocí certifikátu. Tohle řešení čtení na webu je zřejmě spíš nouzovka, pokud není jiná možnost.

Jak to chceš udělat bezpečně, když se příjemce nesnaží? Ten klíč bude nutné vygenerovat na serverech Googlu a pak ho třeba poslat jako součást URL. Podobně to dělá Mega při posílání zašifrovaných souborů. Samozřejmě to není dokonale bezpečné, vždycky je lepší ten obsah zašifrovat něčím pořádným.

Jak? Nijak. Prostě buď se s příjemcem domluvím nebo mu nebudu, logicky, posílat šifrovaný mail. Dělat to jakkoliv jinak je hrubá neslušnost.

Pokud si email umi precist server na kterym je ulozen, neni to zadne endtoend sifrovani leda dalsi obri podvod.

V dokumentaci nikde nemohu najít, kde jsou uložené privátní klíče. Pokud jsou uloženy u Google, jak se dá předpokládat, pak se o end-to-end šifrování v pravém slova smyslu nejedná. Obecně se tento termín v poslední době nadužívá a vede pak k falešnému pocitu bezpečí.
Ten pocit ale rychle mizí, když klíč má i někdo jiný, než já.

ze zpravicky:
"Google zdůrazňuje, že klíče má stále pod kontrolou zákazník a Google k nim nemá přístup. Firemní správce pošty ..."
Tohle ma asi vetsi smysl pro firmy, presneji kdyz si asi firma objedna firemni google sluzby?

Předpokládám, že jako další certifikáty jsou v prohlížeči. A druhá strana si musí být schopná to přečíst. Na serverech googlu by to mělo být jen zašifrované. Teda aspoň doufám, že to tak je myšlený. Jinak to nemá smysl.

A jak presne prosim lze z prohlizece zasifrovat cokoli na webu ??? To by me vazne zajimalo ... A pak taky ten mechanismus, jak se ty klice dostanou ke komunikacnim partnerum ...

Víte, prohlížeče mají už léta engine pro jazyk, kterému se říká JavaScript, a tento "JavaScript" je turingovsky kompletní, tj. lze s ním vyřešit libovolný řešitelný problém. Toliko k tomu, co se dá udělat z prohlížeče.

Samozřejmě, pokud používáte něco jako NoScript, máte smůlu.

EDIT: Typovaná varianta javascript- typescript - má dokonce turingovsky kompletní typový systém :))

4. 4. 2025, 07:59 editováno autorem komentáře

Beru zpět a na milost end to end šifrování od Google. Dohledal jsem, že se používá CSE a klíče je možné používat buď své přes API https://developers.google.com/workspace/cse/guides/overview
nebo použít služeb nějakého z third party poskytovatelů šifrování jako FlowCrypt
Fortanix,Futu­reX,Stormshiel­d,Thales

Jestli to dobře chápu, tak ty emaily budou pořád dešifrované v prohlížeči, tedy softwarem, který se nahraje ze serverů Googlu, což celkem maže výhodu e2e šifrování jakožto ochranu před poskytovatelem služby, případně kompromitací služby, ne?

Tak Chrome není jedinej prohližeč ne? Nebo to bude fungovat jen tam?

Jakože když někdo vloží backdoor do webové aplikace Gmailu, tak ve Firefoxu to nebude fungovat?

Myslíte samozřejmě "chybou programátora" se třeba omylem zapomenutým debugem odesílá i co nemá
Backdoor je fuj a všichni ho odsuzují, ale "chyby" programátora se běžně stávají a nikdo se nad tím ani nepozastaví (viz ta naše eObčanka nedávno). +plausible deniality.

Fér argument, na druhou stranu, tak to je prakticky se všemi E2E aplikacemi jako WhatsApp nebo Signal - i když tedy změnit kód tlustého klienta je trochu složitější než změnit kód webové aplikace.

Hlavní výhoda E2E je podle mě hlavně pro provozovatele služby, který pak může snadno odmítat všechny žádosti o informace od OČTŘ s tím, že takové informace sám nemá. :)

Myslis jako treba Apple, kterej radsi sifrovani zrusi?

Když na něj nastoupí legislativa, tak může udělat
a) backdoor (fuj, protože to ohrozí všechny), nebo
b) pro danou zemi vysoké zabezpečení zruší
Je to dvě věci, ale b) je lepší, protože a) se mělo týkat kohokoliv, i mimo jurisdikci UK.
Vzhledem k vývoji v UK to ani nepřekvapuje, viz https://www.bbc.com/news/articles/cvg19gx7vl4o

3. 4. 2025, 14:57 editováno autorem komentáře

No, ideální je, když klient není na provozovateli služby vůbec nijak závislý. Když si emaily šifruji a dešifruji třeba v Thunderbirdu nebo Evolutionu, nemusí mě provozovatel služby vlastně vůbec zajímat. My máme celkem dost zákazníků, kteří právě kvůli tomuto pořád používají desktopové klienty. Tohle si myslím, že je úplně neuspokojí. Situaci to do určité míry zlepšuje (hlavně pro toho poskytovatele, jak říkáš), ale tu nutnost důvěřovat poskytovateli služby to neodstraňuje.

Používám desktopové klienty. Problém malinko je získat certifikát na (soukromý) mail, pokud nechci platit 700/rok.
Podepsané maily používám v Thunderbirdu, Outlooku (ten mám pro testování), Apple Mail (mac, mobil, tablet), žádný problém. A protože mám 3 maily, každý jinde, tak webmail není řešení i bez certifikátů.
Celkem blbé je, že Gmail ani nezobrazí, že je mail S/MIME podepsaný.

Certifikát stojí cca 400 na rok u Postsigna, když se pořídí tříletý, tak je to kolem litru za ty 3 roky.

Zas takovy problem to neni. A i kdyz si vezmete QCA od PostSignumu, tak v tom budete s triletym certifikatem za 367 kacek rocne, zadnych 700 se nekona :-)