La crittografia end-to-end sbarca su Gmail: un passo avanti per le aziende

La crittografia end-to-end (E2EE) arriva su Gmail

L’invio di e-mail crittografate oggi comporta un incubo di certificati e grattacapi amministrativi. Google oggi si dice pronta a rendere le cose più semplici.

Ecco le novità che l’azienda di Mountain View ha lanciato:

• crittografia user-friendly: Gmail rende la crittografia E2EE semplice e immediata, senza passare dallo scambio di certificati o dall’uso di software personalizzato.
• protezione a 360 gradi: le chiavi crittografiche, sotto il controllo del cliente e non accessibili ai server di Google, proteggono le email, assicurando più privacy e data security.
• compatibilità universale: è intuitivo l’invio di email E2EE a qualsiasi utente Gmail (interno o esterno all’organizzazione) e, prossimamente, a qualsiasi email, a prescindere dalla piattaforma o dal provider;
• monitoraggio IT: i team IT possono fare richiesta che tutti i destinatari esterni impieghino una versione limitata di Gmail per la visualizzazione delle email E2EE, assicurando che non avvenga l’archiviazione dei dati dell’organizzazione su server e device di terze parti.
• disponibile da oggi: La funzionalità, in fase beta, permette di spedire messaggi di posta elettronica E2EE agli utenti Gmail nella propria organizzazione, già da oggi. Nel corso dell’anno, sarà possibile l’invio di email E2EE a qualsiasi casella di posta elettronica.

“Tradizionalmente, soluzioni come S/MIME erano difficili da gestire, ma ora gli utenti possono inviare email protette in modo semplice e immediato”, spiega Paganini.

L’idea di Google è che gli utenti finali possano scegliere di crittografare un messaggio facendo clic su una casella di controllo. Quello che succede dopo dipende da chi si trova all’altro capo del messaggio.

Secondo Google, questa funzione cripta il contenuto di un messaggio sul client prima che venga trasmesso o memorizzato su un server di Google Workspace. Questo approccio significa che ogni messaggio è protetto da una crittografia a conoscenza zero e soddisfa gli standard che le industrie altamente regolamentate devono seguire.

Per gli amministratori di Google Workspace non è necessaria alcuna configurazione aggiuntiva. La funzione si basa sulla crittografia lato client, sfruttando chiavi sotto il controllo dell’organizzazione e archiviate sui server aziendali e non nel cloud di Google.

I vantaggi di Gmail

Oggi una manciata di utenti inizierà a testare la versione di anteprima di Gmail. A differenza di altri servizi di webmail gratuiti, Gmail si basa sull’idea che gli utenti non debbano mai archiviare o cancellare un messaggio, né faticare a trovare un’email inviata o ricevuta.

Le caratteristiche principali di Gmail includono:

• Ricerca: basato sulla tecnologia di ricerca di Google, Gmail permette di cercare rapidamente tutte le email inviate o ricevute. Attraverso parole chiave o funzioni di ricerca avanzate, gli utenti di Gmail possono trovare ciò di cui hanno bisogno, quando ne hanno bisogno;
• archiviazione: Google ritiene che le persone debbano poter conservare la propria posta per sempre. Ecco perché Gmail offre 1.000 megabyte (1 gigabyte) di spazio di archiviazione gratuito, più di 100 volte quello offerto dalla maggior parte degli altri servizi di webmail gratuiti;
• velocità: Gmail rende l’uso della posta elettronica più veloce ed efficiente, eliminando la necessità di archiviare i messaggi in cartelle e organizzando automaticamente le singole email in “conversazioni” significative che mostrano i messaggi nel contesto di tutte le risposte inviate in risposta ad essi. E trasforma i fastidiosi messaggi di posta elettronica di spam nell’equivalente di carne in scatola.

Secondo Page e Brin, Google renderà disponibile la versione di prova di Gmail a un piccolo numero di appassionati di e-mail. Con un po’ di fortuna, Gmail si rivelerà popolare per loro e per l’utente originale che ha dato vita all’idea.

Lo standard S/MIME

Negli ambienti aziendali odierni, gli amministratori possono impostare sistemi di messaggistica sicura basati sullo standard S/MIME. Questa configurazione rende relativamente facile lo scambio di messaggi sicuri tra persone all’interno dell’organizzazione, a patto che l’amministratore abbia assegnato a ogni utente un certificato e non abbia lasciato scadere nessuno di questi certificati.

Ma se si invia un messaggio di posta elettronica a persone esterne all’organizzazione, è necessario assicurarsi che il destinatario abbia attivato S/MIME (la maggior parte delle persone non lo fa) e quindi scambiare i certificati S/MIME.

Esistono anche opzioni meno centralizzate, come Pretty Good Privacy (PGP), ma queste soluzioni non fanno altro che trasferire l’onere della gestione all’utente finale.

Tuttavia non c’è da stupirsi che da uno studio accademico emerga che solo un messaggio su 1.700 è criptato.

L’importanza della crittografia forte

La crittografia forte è alla base di quasi tutte le funzioni di sicurezza e privacy dello scenario informatico moderno.

Lo smartphone è crittografato per impostazione predefinita, quindi il suo contenuto è disponibile solo quando si sblocca con la biometria o con un PIN. Un Pc Windows è crittografato con BitLocker e il MacBook con FileVault.

Ogni pagina web è crittografata in transito e se visitiamo una pagina che non ha “Https” all’inizio dell’URL, riceviamo un brutto messaggio di errore.

Le chat di Signal sono criptate. Se si invia a qualcuno un contratto in formato PDF, è possibile crittografarlo facilmente e mantenere il contenuto al sicuro da occhi indiscreti.

L’unico posto in cui la crittografia non è facilmente disponibile è la posta elettronica.La casella di posta è crittografata a riposo e in transito.

Ma se un utente vuole proteggere un messaggio in modo che possa essere letto solo dalla persona a cui lo sta inviando, deve adottare una delle opzioni esistenti per la crittografia delle email. E sono costose, troppo complesse da amministrare e poco funzionali. Fino ad ora.

“Questo ulteriore aggiornamento concorre ad innalzare la sicurezza degli utenti, assicura il controllo dei dati e agevola la conformità alle normative senza necessità di strumenti aggiuntivi o configurazioni complesse”, conclude Paganini.