Google ได้ประกาศฟีเจอร์การเข้ารหัสฝั่งไคลเอ็นต์ใหม่ของ Gmail ที่สัญญาว่าจะส่งอีเมลที่เข้ารหัสแบบ end-to-end ให้กับใครก็ได้ โดยไม่คำนึงถึงผู้ให้บริการอีเมลของพวกเขา อย่างไรก็ตาม ชุมชนเทคโนโลยีกำลังตั้งคำถามอย่างจริงจังว่าการใช้งานนี้ให้ผลตามที่สัญญาไว้เรื่องการเข้ารหัสจริงหรือไม่
ฟีเจอร์นี้จะเปิดให้ใช้งานตั้งแต่วันที่ 30 กันยายน 2025 ช่วยให้ผู้ใช้ Gmail ที่มีบัญชี Enterprise Plus สามารถส่งข้อความที่เข้ารหัสไปยังผู้รับภายนอกได้ เมื่อมีคนได้รับอีเมลดังกล่าว พวกเขาต้องยืนยันตัวตนผ่านอินเทอร์เฟซที่ Google โฮสต์เพื่อดูเนื้อหา แม้ว่าพวกเขาจะใช้บริการอีเมลที่แตกต่างกันโดยสิ้นเชิงก็ตาม
ข้อกำหนดการใช้งาน:
- Google Workspace Enterprise Plus
- ต้องมี Assured Controls add-on
- ฟีเจอร์ถูกปิดใช้งานโดยค่าเริ่มต้นสำหรับผู้ดูแลระบบ
- การเปิดตัวแบบค่อยเป็นค่อยไป เริ่มต้น 30 กันยายน 2025 (ใช้เวลาสูงสุด 15 วันสำหรับการมองเห็นแบบเต็มรูปแบบ)
ข้อกำหนดการยืนยันตัวตนทำให้เกิดสัญญาณเตือนภัย
นักวิจารณ์ชี้ให้เห็นข้อบกพร่องพื้นฐานในแนวทางของ Google เมื่อผู้รับคลิกเพื่อดูข้อความที่เข้ารหัส พวกเขาจะถูกนำไปยืนยันตัวตนบนเซิร์ฟเวอร์ของ Google ทำให้เกิดคำถามว่าใครเป็นคนควบคุมคีย์การเข้ารหัสจริงๆ กระบวนการนี้ดูเหมือนจะขัดแย้งกับหลักการพื้นฐานของการเข้ารหัสแบบ end-to-end ที่เฉพาะผู้ส่งและผู้รับที่ตั้งใจไว้เท่านั้นที่ควรมีสิทธิ์เข้าถึงคีย์ถอดรหัส
ขั้นตอนการยืนยันตัวตนกลายเป็นปัญหาโดยเฉพาะสำหรับผู้ใช้ที่มีเซิร์ฟเวอร์อีเมลที่โฮสต์เอง ซึ่งไม่มีกลไกที่ชัดเจนสำหรับ Google ในการตรวจสอบตัวตนของผู้รับโดยไม่เกี่ยวข้องกับระบบของตนเอง สิ่งนี้บ่งชี้ว่า Google ยังคงมีระดับการเข้าถึงกระบวนการเข้ารหัสอยู่บ้าง ซึ่งจะทำให้ไม่มีสิทธิ์ที่จะเรียกว่าเป็นการเข้ารหัสแบบ end-to-end อย่างแท้จริง
ข้อกังวลทางเทคนิคที่สำคัญ:
- ผู้รับต้องยืนยันตัวตนผ่านเซิร์ฟเวอร์ของ Google เพื่อดูข้อความ
- ส่วนหัวอีเมลและหัวข้อยังคงไม่ได้รับการเข้ารหัส
- ผู้รับภายนอกอาจต้องสร้างบัญชีผู้เยี่ยมชม Google
- การจัดการคีย์สำหรับเซิร์ฟเวอร์อีเมลที่โฮสต์เองยังไม่ชัดเจน
ความกังวลของชุมชนเกี่ยวกับการผูกมัดกับผู้ขาย
ผู้ที่ชื่นชอบเทคโนโลยีแสดงความกังวลว่าฟีเจอร์นี้เป็นอีกก้าวหนึ่งสู่การรวมศูนย์อีเมล หลายคนเห็นความคล้ายคลึงกับกลยุทธ์ embrace, extend, extinguish ในอดีتของ Microsoft ที่บริษัทที่มีอำนาจเหนือกว่าจะนำมาตรฐานเปิดมาใช้ ขยายด้วยฟีเจอร์ที่เป็นกรรมสิทธิ์ และในที่สุดทำให้ทางเลือกอื่นๆ เข้ากันไม่ได้
หลายปีต่อจากนี้ เราจะตื่นขึ้นมาในโลกที่ผู้คนจะรำคาญที่คุณไม่สามารถรับอีเมลของพวกเขาได้ และจะบอกคุณให้ 'ใช้ gmail เถอะ'
ความกังวลคือการใช้งานของ Google จะค่อยๆ ทำให้การใช้ผู้ให้บริการอีเมลทางเลือกยากขึ้น เนื่องจากการสื่อสารที่เข้ารหัสจะผูกติดกับโครงสร้างพื้นฐานของ Google
ข้อจำกัดทางเทคนิคยังคงอยู่
แม้จะอ้างเรื่องการเข้ารหัส แต่ปัญหาพื้นฐานด้านความปลอดภัยของอีเมลหลายประการยังคงไม่ได้รับการแก้ไข ส่วนหัวของอีเมล รวมถึงหัวข้อ ยังคงถูกส่งในรูปแบบข้อความธรรมดา ทำให้ข้อมูลเมตาที่สำคัญถูกเปิดเผย สิ่งนี้แสดงถึงการถอยหลังจากโซลูชันการเข้ารหัสที่มีอยู่แล้วเช่น S/MIME และ PGP ซึ่งมีมาเป็นเวลาหลายทศวรรษแต่ประสบปัญหาจากประสบการณ์ผู้ใช้ที่แย่มากกว่าข้อจำกัดทางเทคนิค
ข้อกำหนดให้ผู้รับสร้างบัญชี Google หรือใช้การยืนยันตัวตนแบบแขกยังสร้างความกังวลด้านความเป็นส่วนตัวใหม่ เนื่องจาก Google สามารถเก็บรวบรวมที่อยู่ IP ลายนิ้วมือของเบราว์เซอร์ และข้อมูลอื่นๆ จากผู้คนที่พยายามอ่านข้อความที่เข้ารหัส
ความพร้อมใช้งานที่จำกัดและการมุ่งเน้นองค์กร
ฟีเจอร์นี้จะพร้อมใช้งานเฉพาะลูกค้า Google Workspace Enterprise Plus ที่มี Assured Controls add-on เท่านั้น ซึ่งบ่งชี้ว่ามุ่งเป้าไปที่องค์กรขนาดใหญ่มากกว่าผู้ใช้รายบุคคลที่แสวงหาความเป็นส่วนตัว การเปิดตัวที่จำกัดนี้บ่งชี้ว่า Google อาจกำลังมุ่งเป้าไปที่การติ๊กช่องการปฏิบัติตามกฎระเบียบมากกว่าการปรับปรุงความเป็นส่วนตัวอย่างแท้จริง
แม้ว่าความพยายามของ Google ในการทำให้อีเมลที่เข้ารหัสง่ายขึ้นจะน่าสังเกต แต่การตอบสนองของชุมชนบ่งชี้ว่าความเป็นส่วนตัวของอีเมลที่แท้จริงยังคงต้องการความเข้าใจพื้นฐานของการเข้ารหัสและการจัดการคีย์ มากกว่าการพึ่งพาโซลูชันที่ง่ายขึ้นซึ่งอาจประนีประนอมความปลอดภัยเพื่อความสะดวก