Venerdì Google ha annunciato che la sua crittografia lato client per Gmail è in versione beta per i clienti di Workspace e Education come parte dei suoi sforzi per proteggere le e-mail inviate utilizzando la versione browser della piattaforma (se non lo sapessi, anche da telefono puoi non usare l’applicazione ed usare un qualsiasi browser).
Questa notizia del “potenziamento” della nota piattaforma mail di Google arriva in un momento in cui le preoccupazioni sulla privacy online e la sicurezza dei dati sono ai massimi storici, rendendolo un gradito cambiamento per gli utenti che apprezzano la protezione dei propri dati personali.
A tal fine, i clienti di Google Workspace Enterprise Plus, Education Plus ed Education Standard possono richiedere l’iscrizione alla versione beta fino al 20 gennaio 2023, tale servizio, tuttavia, non è disponibile (almeno per ora) per gli Account Google personali.
In cosa consiste questo “potenziamento” della crittografia di Gmail?
“L’utilizzo della crittografia lato client in Gmail garantisce che i dati sensibili nel corpo dell’e-mail e gli allegati siano indecifrabili per i server di Google“, ha affermato la società in un post. “I clienti mantengono il controllo sulle chiavi di crittografia e sul servizio di identità per accedere a tali chiavi“.
È importante sapere che le ultime protezioni offerte da Gmail sono diverse dalla crittografia end-to-end (usata ad esempio da WhatsApp).
La Client-side encryption, come dice il nome stesso, è un modo per proteggere i dati inattivi ed essa consente alle organizzazioni di crittografare i dati sui servizi Google con le proprie chiavi crittografiche; pertanto i dati vengono decrittografati sul lato client utilizzando chiavi generate e gestite da un servizio di gestione delle chiavi, che è ospitato in un servizio cloud.
La funzione di attivazione di Google richiede agli amministratori di configurare un servizio di chiave di crittografia tramite uno dei partner dell’azienda, offerti da Flowcrypt, Fortanix, Futurex, Stormshield, Thales o Virtru, o in alternativa, creare il proprio servizio utilizzando il suo lato client API di crittografia; fuori da Gmail, nel mondo Google, qualcosa di simile è già applicato per gli sviluppatori Play Store.
Ciò significa che i dati sono pertanto protetti da accessi non autorizzati, anche dal server o dai vari fornitori di servizi; tuttavia, l’organizzazione o l’amministratore ha il controllo sulle chiavi e può monitorare i file crittografati degli utenti o revocare l’accesso di un utente alle chiavi, anche se sono state generate dall’utente stesso.
D’altronde, la crittografia end-to-end (E2EE) è un metodo di comunicazione nel quale le informazioni sono crittografate sul dispositivo del mittente e possono essere decrittografate solo sul dispositivo del destinatario con una chiave nota solo al mittente e al destinatario.
Detto questo, la nuova opzione, per ora limitata al browser Web, consente agli utenti di inviare e ricevere e-mail crittografate sia all’interno che all’esterno dei propri domini, perciò la crittografia “copre” ciò che è scritto sulla mail Gmail e gli allegati dell’e-mail, comprese le immagini in linea, ma questa funzione non cripterà gli elenchi di oggetti e destinatari.
Ma Gmail non è l’unico servizio Google con la crittografia lato client attivata: il colosso della tecnologia ha abilitato la stessa funzionalità per Google Drive l’anno scorso e Google Meet all’inizio di agosto; una prova simile è stata fatta anche per Google Calendar e si è conclusa l’11 novembre 2022.
Vale la pena rendere noto che le applicazioni di Google Drive per desktop, Android e iOS supportano anche lorola crittografia lato client: Google ha affermato che la funzione sarà integrata nelle app mobili per Meet e Calendar in versioni successive di ambedue le applicazioni.
“La crittografia lato client aiuta a rafforzare la riservatezza dei dati, contribuendo nel contempo a soddisfare un’ampia gamma di esigenze di sovranità e conformità dei dati“, ha aggiunto infine l’azienda di Mountain View.