Wyjaśnienie kompleksowego szyfrowania wiadomości e-mail w Gmailu: Przewodnik dla użytkowników korporacyjnych
Czas odczytu: 5 min
Firma Google ogłosiła niedawno, że będzie oferować wszystkim użytkownikom korporacyjnym zaszyfrowane wiadomości e-mail typu end-to-end (E2EE) za pośrednictwem szyfrowania po stronie klienta (CSE). Chociaż jest to wciąż wersja beta, użytkownicy korporacyjni mogą już wysyłać zaszyfrowane wiadomości e-mail do użytkowników Gmaila w tej samej organizacji. Jednakże, Google wspomniał że "W nadchodzących tygodniach użytkownicy będą mogli wysyłać wiadomości e-mail E2EE do dowolnej skrzynki odbiorczej Gmaila, a później w tym roku do dowolnej skrzynki odbiorczej poczty e-mail". Funkcja ta nie jest jeszcze dostępna dla wszystkich organizacji lub osobistych/darmowych kont Gmail.
Nowa forma szyfrowania ma na celu uproszczenie technologii stojącej za E2EE. Firma przedstawia ją jako alternatywę dla S/MIME, który jest znany ze swojej złożoności i narzutów w środowiskach korporacyjnych.
Kluczowe wnioski
- Inicjatywa szyfrowania Google: Google wprowadza kompleksowe szyfrowanie wiadomości e-mail dla organizacji korzystających z określonych wersji Google Workspace.
- Uproszczone szyfrowanie: Metoda ta służy jako alternatywa dla protokołu S/MIME, mająca na celu uczynienie bezpieczeństwa poczty elektronicznej bardziej dostępnym.
- Wdrożenie: Organizacje mogą włączyć szyfrowanie end-to-end w Gmailu za pomocą Google Workspace CSE lub narzędzi szyfrujących i rozszerzeń przeglądarki innych firm.
- Inni dostawcy: Usługi poczty e-mail, takie jak ProtonMail, Tuta i Mailfence, również obsługują szyfrowanie end-to-end.
- Korzyści w zakresie bezpieczeństwa: Szyfrowanie nie zapobiega bezpośrednio phishingowi, ale chroni treść wiadomości przed przechwyceniem lub manipulacją. W połączeniu z protokołami uwierzytelniania wiadomości e-mail, takimi jak DMARC, wzmacnia ogólną obronę.
Czy Gmail oferuje kompleksowe szyfrowanie?
Domyślnie Gmail używa TLS (Transport Layer Security) do szyfrowania wiadomości e-mail w trakcie ich przesyłania. Jednak TLS chroni tylko wiadomości między serwerami pocztowymi, a nie na poziomie treści. Nie zapobiega on dostępowi po stronie serwera przez dostawców takich jak Google lub hakerów.
W 2019 roku Gmail wprowadził Tryb poufny jako dodatkową warstwę prywatności, umożliwiającą wygaśnięcie daty i ograniczony dostęp. Tryb ten nie kwalifikuje się jednak jako prawdziwe szyfrowanie end-to-end, ponieważ:
- Google nadal ma dostęp do treści wiadomości.
- Zrzuty ekranu, kopiowanie/wklejanie i obejścia mogą ominąć kontrolę trybu poufnego.
Prawdziwe szyfrowanie end-to-end oznacza, że tylko nadawca i odbiorca mogą uzyskać dostęp do wiadomości, nawet Google.
Niedawno Gmail udostępnił szyfrowanie end-to-end dla użytkowników korporacyjnych korzystających z obsługiwanych wersji Google Workspace. Chociaż nie jest ono jeszcze dostępne dla darmowych kont Gmail, szerszy dostęp jest w planach.
Jak działa wbudowane szyfrowanie Gmaila?
TLS zapewnia szyfrowanie podczas przesyłania. Tryb poufny umożliwia wygaśnięcie i cofnięcie dostępu. Wiadomości są jednak nadal przechowywane w postaci niezaszyfrowanej na serwerach Google.
Tryb poufny ma jednak istotne ograniczenia:
- Nie uniemożliwia użytkownikom robienia zrzutów ekranu.
- Odbiorcy mogą pobierać lub kopiować zawartość wiadomości e-mail za pomocą prostych sztuczek:
- Użyj opcji "Zapisz stronę jako", aby pobrać zawartość wiadomości e-mail.
- W przeglądarce Firefox wyłącz reguły @print media za pomocą Edytora stylów, aby ponownie włączyć drukowanie.
- Zrzuty ekranu załączników lub użyj funkcji "Utwórz kopię" na Dysku Google, aby zduplikować chronione pliki PDF.
Ponadto, gdy wiadomości e-mail są wysyłane do użytkowników innych niż Gmail, odbiorcy muszą uzyskać do nich dostęp za pośrednictwem łącza i kodu dostępu. Jeśli zostaną one udostępnione, wiadomość przestaje być poufna.
Jak włączyć kompleksowe szyfrowanie w Gmailu?
Aby włączyć szyfrowanie end-to-end w Gmailu, można użyć Google Workspace CSE lub narzędzi szyfrujących innych firm.
Szyfrowanie po stronie klienta Google Workspace (CSE)
Aby włączyć Google Workspace Client-Side Encryption (CSE), wykonaj poniższe czynności:
- Należy wybrać zewnętrzną usługę klucza szyfrowania. Będzie ona kontrolować klucze szyfrowania najwyższego poziomu, które służą do ochrony danych.
- Następnie należy połączyć Google Workspace z dostawcą tożsamości, którym może być IdP innej firmy lub tożsamość Google. IdP sprawdza tożsamość użytkowników, zanim zezwoli im na szyfrowanie lub dostęp do zaszyfrowanej zawartości.
- Po trzecie, należy współpracować z dostawcą usług kluczowych. Celem jest ustanowienie usługi szyfrowania po stronie klienta Google Workspace.
- Po wykonaniu powyższych kroków należy dodać informacje o usłudze klucza wraz z dodaniem adresu URL zewnętrznej usługi klucza do konsoli administratora. Pomoże to połączyć usługę z Google Workspace.
- Po podłączeniu usługi do Google Workspace konieczne będzie przypisanie kluczowych usług do jednostek organizacyjnych.
- Należy pamiętać, że do wykonania tego kroku potrzebna będzie pewna wiedza techniczna na temat interfejsów API i skryptów Python. Jeśli posiadasz niezbędną wiedzę i umiejętności, wykonaj poniższe kroki:
- Utwórz projekt Google Cloud Platform (GCP)
- Włącz interfejs API Gmaila
- Udziel API dostępu do swojej organizacji
- włączyć CSE dla użytkowników Gmaila
- Konfiguracja dostępu do prywatnych i publicznych kluczy szyfrowania w Gmailu
- Włącz CSE dla użytkowników, którzy muszą tworzyć zaszyfrowaną zawartość po stronie klienta. Po zakończeniu wszystko gotowe!
Niektóre końcowe opcjonalne kroki mogą obejmować konfigurację zewnętrznego dostępu za pomocą S/MIME i/lub importowanie wiadomości do Gmaila jako wiadomości CSE.
Uwaga: Włączanie CSE może wyłączyć niektóre natywne funkcje Gmaila.
Korzystanie z narzędzi szyfrujących innych firm
- Narzędzia takie jak FlowCrypt dodają szyfrowanie PGP (Pretty Good Privacy) do Gmaila. Pomaga to zwiększyć bezpieczeństwo komunikacji e-mail. PGP odnosi się do systemu szyfrowania używanego do wysyłania zaszyfrowanych wiadomości e-mail. Jest on również używany do szyfrowania poufnych plików. Został wynaleziony w 1991 roku i szybko stał się de facto standardem bezpieczeństwa poczty e-mail.
- Mailvelope oferuje Mailvelope Key Server, szyfrowanie plików i funkcje szyfrowania formularzy. System dodaje wszelkie brakujące funkcje szyfrowania i deszyfrowania do interfejsu użytkownika. Zapewnia to szybki i skuteczny sposób szyfrowania komunikacji e-mail. Platforma integruje się z rozwiązaniami chmurowymi, takimi jak Google Workspace, Microsoft 365 i Nextcloud. Jest również kompatybilna z aplikacjami PGP.
Należy jednak zawsze zachować ostrożność podczas korzystania z funkcji szyfrowania od dostawców poczty e-mail i zastrzeżonych rozwiązań punktowych.
Inni dostawcy poczty e-mail obsługujący kompleksowe szyfrowanie
Inni dostawcy poczty e-mail obsługujący szyfrowanie typu end-to-end to ProtonMail, Tuta, Mailfence i inni.
ProtonMail
ProtonMail pomaga przejąć kontrolę nad własnymi danymi dzięki wbudowanemu kompleksowemu szyfrowaniu poczty e-mail. Zapewnia również inne usługi, takie jak VPN, przechowywanie w chmurze, menedżer haseł, kalendarz i portfel. Kompleksowe szyfrowanie i szyfrowanie z zerowym dostępem ograniczają dostęp do wiadomości e-mail wyłącznie do użytkownika, nawet do samej aplikacji Proton.
Tuta
Tuta jest jednym z pierwszych dostawców kompleksowych usług szyfrowanej poczty e-mail z kryptografią odporną na kwanty. Platforma wykorzystuje architekturę zero-knowledge wraz ze ściśle przestrzeganymi przepisami RODO.
Mailfence
Mailfence nie korzysta z żadnych zewnętrznych narzędzi reklamowych ani marketingowych. Nie zawiera również żadnych reklam. Przestrzega ścisłych przepisów dotyczących prywatności i zapewnia szyfrowanie typu end-to-end. Oznacza to, że nawet sama aplikacja Mailfence nie może uzyskać dostępu do wiadomości e-mail ani ich odczytać.
Dlaczego kompleksowe szyfrowanie ma znaczenie dla bezpieczeństwa poczty e-mail?
Szyfrowanie typu end-to-end oferuje liczne korzyści w zakresie bezpieczeństwa poczty elektronicznej.
Ochrona przed phishingiem i przechwytywaniem wiadomości e-mail
Gmail dodaje również nowy model sztucznej inteligencji, który sprawdzi i oceni znaczną liczbę połączonych sygnałów z miliardów punktów końcowych. Zaawansowana ocena umożliwi systemowi wykrywanie i rozwiązywanie phishingu na wczesnych etapach. W połączeniu z odpowiednią konfiguracją konfiguracją DMARC, może zwiększyć bezpieczeństwo poczty e-mail i chronić domenę.
Zgodność z przepisami dotyczącymi prywatności danych (RODO, HIPAA itp.).
Istnieje wiele wymogów dotyczących zgodności. Na przykład RODO wymaga umów o przetwarzaniu danych dla każdego dostawcy usług w chmurze, który obsługuje dane europejskich konsumentów. Nowe szyfrowanie end-to-end w Gmailu może być krokiem w kierunku zgodności z istniejącymi standardami. Będzie ono najbardziej skuteczne w połączeniu z DMARC, ponieważ wiele z tych międzynarodowych przepisów wymaga również protokołów uwierzytelniania poczty elektronicznej.
Bezpieczna komunikacja dla wrażliwych danych
E2EE pomaga chronić wrażliwe dane, ograniczając dostęp tylko do autoryzowanych stron. Oznacza to, że tylko nadawca i docelowy odbiorca mogą uzyskać dostęp do danych zawartych w wiadomościach e-mail. Ponieważ wiadomości e-mail są szyfrowane po stronie klienta jeszcze przed ich przesłaniem, nawet Google nie może uzyskać dostępu do zaszyfrowanych danych.
Zminimalizowane ryzyko błędu ludzkiego
Szyfrowanie end-to-end redukuje błędy ludzkie poprzez uproszczenie procesu szyfrowania. Nie ma już potrzeby wymiany certyfikatów ani weryfikacji konfiguracji, co miało miejsce w przypadku protokołu S/MIME.
Przypis końcowy
Uruchomienie przez Gmaila nowego mechanizmu szyfrowania end-to-end jest obiecujące; jednak inicjatywa ta jest wciąż na wczesnym etapie. Dopiero z czasem będzie można ocenić rzeczywistą skuteczność tej nowej technologii. W międzyczasie wszystkie firmy powinny zbadać dodatkowe metody szyfrowania i stosować najlepsze praktyki.
Oprócz szyfrowania wiadomości e-mail, korzystanie z uwierzytelniania poczty elektronicznej może znacznie zmniejszyć ryzyko spoofingu i phishingu. Zaufane firmy zajmujące się bezpieczeństwem poczty elektronicznej i nazw domen, takie jak PowerDMARC, oferują usługi zarządzane DMARC. Pomoże to osiągnąć bezbłędne wdrożenie DMARC, bez złożoności technicznej.
Specjalista ds. treści w PowerDMARC
Milena jest wykwalifikowaną pisarką i twórczynią treści z ponad 7-letnim doświadczeniem w tworzeniu angażujących treści na temat IT, cyberbezpieczeństwa, wirtualnych wydarzeń i nie tylko. Ma udokumentowane doświadczenie w dostarczaniu wysokiej jakości prac dla międzynarodowych magazynów i jest absolwentką prestiżowych instytucji, takich jak New York University Abu Dhabi, UWC China i College of Europe.
Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)
