Facebook is vandaag een experiment gestart waarbij het berichten die het naar gebruikers stuurt, de zogeheten e-mailnotificaties, via OpenPGP gaat versleutelen. Volgens de sociale netwerksite heeft het al allerlei maatregelen genomen om de verbinding naar Facebook toe te beveiligen, maar communiceert het ook via allerlei andere kanalen met gebruikers, zoals e-mail.

Hoewel Facebook TLS voor het versturen van de e-mails gebruikt, kan een aanvaller die toegang tot de inbox van een gebruiker krijgt de inhoud van de berichten lezen, aangezien die niet zijn versleuteld. Om de privacy van de e-mails te verbeteren is er vandaag begonnen met de uitrol van een nieuwe feature waarmee gebruikers publieke OpenPGP-sleutels aan hun profiel kunnen toevoegen. Deze sleutels worden vervolgens door Facebook gebruikt voor het versleutelen van de e-mailnotificaties.

Voor de implementatie van de e-mailencryptie heeft Facebook gekozen voor GNU Privacy Guard (GPG), de populaire en gratis implementatie van de OpenPGP-standaard. "Facebook is een supporter van GPG en we moedigen anderen aan om GPG ook te steunen", zo laat de sociale netwerksite via een blogposting weten.

Voor de uitgaande berichten zal Facebook de eigen sleutel gebruiken, zodat gebruikers meer zekerheid hebben dat de inhoud van de e-mails legitiem zijn. De OpenPGP-sleutel die Facebook gebruikt bestaat uit een lange termijn primaire sleutel met subsleutels voor de korte termijn. Op deze manier kunnen de operationele sleutels worden geroteerd, terwijl het "web of trust" behouden en de identiteit consistent blijven. Het beheer van encryptiesleutels wordt nog niet op mobiele apparaten ondersteund, iets waar Facebook nog aan werkt.