أدت الاختراقات المستمرة وتسريبات إدوارد سنودن عن تجسس الحكومة الأميركية إلى إثارة العديد من الأسئلة ولعلّ أهمّها: لماذا لا تقوم المواقع التي تقدم خدمات البريد الإلكتروني والتخزين السحابي بتشفير البيانات المخزّنة على خوادمها؟
هذه التسريبات أجبرت عمالقة الإنترنت المعروفين مثل شركة “غوغل” و”ياهو” على إعادة التفكير ملياً في قضايا الخصوصية والأمان. وتلبية لذلك، بدأت هذه الشركات بتحسين معايير التشفير لديها، عبر تفعيل خيار التصفح باستخدام بروتوكول SSL بشكل افتراضي وإزالة خيار إيقاف تشغيله.
قبل عدة أيام، اعترفت شركة “غوغل” بأن أنظمتها الآلية تقرأ محتوياتكم، بما في ذلك الرسائل الواردة والصادرة لتوفّر لكم إعلانات ذات صلة. يعني ذلك أن الشركات التي تستخدم تشفير SSL، مثل “غوغل”، تشفّر الاتصال بين أجهزتكم وخوادمها، إلا أن باستطاعتها قراءة هذا المحتوى المشفر لامتلاكها مفتاح التشفير.
التشفير إجباري في الإنترنت الحديث، وعلى خدمات الويب أن تأخذ بعين الاعتبار تشفير بياناتكم وفك تشفيرها محلياً، أي على أجهزتكم وليس على خوادم الشركة، بحيث لا يستطيع أي شخص أن يتجسس عليكم.
آلية التشفير هذه تسمى End-to-end encryption أو “التشفير بين نقطتي الاتصال”، وتتضمن تشفير البيانات على جهاز المرسل وفك تشفيرها على جهاز المستقبل، بينما خادم الشركة يُستخدم فقط لتمرير هذه البيانات، مما يعني أن محتوى رسائلكم معروف بالنسبة إليكم والمتصفح الذي تستخدمونه، ولكن ليس بالنسبة إلى شركة “غوغل”.
تشفير (End-to-end encryption) في “جيميل”
أكد مصدر لم يكشف عن اسمه في “غوغل” أن الشركة، أخيراً، تخطط لاتخاذ خطوة أخرى في تأمين الخصوصية عبر زيادة أدوات إضافية للتشفير، مثل تشفير PGP الآمن.
ويعرف عن تشفير PGP بأنه مفتوح المصدر، كما يعدّ معياراً قياسياً للتشفير end-to-end، وتم استخدامه لتشفير رسائل البريد الإلكتروني عبر الإنترنت، كما يوفّر الخصوصية وإمكانية التحقق من البيانات والاتصالات، مما يجعل من الصعب جداً أن يتم كسره. لذا، فإن إضافة تشفير PGP إلى خدمة البريد الإلكتروني من “غوغل” (“جيميل”) ستنتج تشفيراً قوياً لخدمات البريد الإلكتروني.
وأضاف المصدر نفسه من “غوغل”: “التشفير بين نطقتي الاتصال (end-to-end) يعد الأفضل من وجهة نظر أمنية، ويتوافق مع بريد “جيميل”، ولكن إضافته للمستخدم تتطلب جهداً كبيراً”.
وبمجرد إضافة خدمة تشفير (end-to-end) إلى خدمة البريد الإلكتروني، فذلك يعني أن المرسل والمستقبل فقط يستطيعان قراءة المحتوى، لذا فهي توفّر حمايةً أقوى من تشفير SSL/TLS.
العقبات
حتماً ستكون هناك العديد من العقبات، على الرغم من أننا لا نعرف ما هي الآلية المتّبعة للإضافة، ولكن نستطيع التركيز على المشكلتين الأبرز التي ربما سنواجههما:
1- كيف ستتم إدارة المفاتيح؟
تشفير PGP يتطلب وجود مفاتيح لفك التشفير ويملك هذه المفاتيح المرسل والمتلقي فقط، فيما لن يكون لشركة “غوغل” إمكانية الوصول إلى محتوى رسائلكم، مما يطرح سؤالاً ثانياً:
2- ماذا عن الميزات التي تعتمد على محتوى الرسائل؟
قد يشكل تبنّي شركة “غوغل” تشفير PGP مشكلة لها، لكونه سيمنعها من فحص محتوى الرسائل وتصنيفها على أنها بريد موثوق أو غير مرغوب به (Spam)، بالإضافة إلى أنه لن يستطيعوا استهدافكم بالإعلانات لان الرسائل ستكون مشفّرة.
بما أن “غوغل” قد تخسر جزءاً كبيراً من الإعلانات في الرسائل المشفّرة، فمن المحتمل أن تجعل التشفير خياراً متاحاً مقابل مبلغ من المال، وليس إجبارياً.
بإمكانكم قراءة المزيد عن تشفير PGP هنا.