• Explicação da encriptação de correio eletrónico ponta-a-ponta do Gmail: Um guia para utilizadores empresariais

Explicação da encriptação de correio eletrónico ponta-a-ponta do Gmail: Um guia para utilizadores empresariais

Blog

A Google está a lançar o correio eletrónico encriptado de ponta a ponta (E2EE) para os utilizadores empresariais do Gmail, utilizando a encriptação do lado do cliente (CSE).

por Milena Baghdasaryan

Tempo de leitura: 5 min
Explicação da encriptação de correio eletrónico ponta-a-ponta do Gmail: Um guia para utilizadores empresariais
Índice-

A Google anunciou recentemente que irá oferecer correio eletrónico encriptado de ponta a ponta (E2EE) através da Encriptação do lado do cliente (CSE) a todos os utilizadores empresariais. Embora ainda esteja em fase beta, os utilizadores empresariais já podem enviar mensagens de correio eletrónico encriptadas para utilizadores do Gmail dentro da mesma organização. No entanto, Google mencionou que "Nas próximas semanas, os utilizadores poderão enviar e-mails E2EE para qualquer caixa de entrada do Gmail e, mais tarde este ano, para qualquer caixa de entrada de e-mail." Esta capacidade ainda não está disponível para todas as organizações ou contas Gmail pessoais/gratuitas.

A nova forma de encriptação visa simplificar a tecnologia subjacente ao E2EE. A empresa apresenta-o como uma alternativa ao S/MIME, que é conhecido pela sua complexidade e sobrecarga em ambientes empresariais.

Takeaways de chaves

  • Iniciativa de encriptação da Google: A Google está a introduzir correio eletrónico encriptado de ponta a ponta para organizações que utilizam edições específicas do Google Workspace.
  • Encriptação simplificada: Este método funciona como uma alternativa ao protocolo S/MIME, com o objetivo de tornar a segurança do correio eletrónico mais acessível.
  • Implementação: As organizações podem ativar a encriptação de ponta a ponta no Gmail utilizando o Google Workspace CSE ou ferramentas de encriptação e extensões de browser de terceiros.
  • Outros fornecedores: Os serviços de correio eletrónico como o ProtonMail, o Tuta e o Mailfence também suportam a encriptação de ponta a ponta.
  • Benefícios de segurança: Embora a encriptação não impeça diretamente o phishing, protege o conteúdo da mensagem de ser intercetado ou adulterado. Combinada com protocolos de autenticação de correio eletrónico como o DMARC, reforça a sua defesa geral.

O Gmail oferece encriptação de ponta a ponta?

Por predefinição, o Gmail utiliza o TLS (Transport Layer Security) para encriptar os e-mails em trânsito. No entanto, o TLS apenas protege as mensagens entre servidores de correio eletrónico, não ao nível do conteúdo. Não impede o acesso do lado do servidor por fornecedores como a Google ou hackers. 

Em 2019, o Gmail introduziu Modo Confidencial como uma camada de privacidade adicional, permitindo datas de expiração e acesso restrito. No entanto, este modo não se qualifica como verdadeira encriptação de ponta a ponta porque:

  • O Google continua a poder aceder ao conteúdo das mensagens.
  • As capturas de ecrã, copiar/colar e soluções alternativas podem contornar os controlos do Modo Confidencial.

A verdadeira encriptação de ponta a ponta significa que apenas o remetente e o destinatário podem aceder à mensagem, nem mesmo o Google.

Recentemente, o Gmail disponibilizou a encriptação de ponta a ponta para utilizadores empresariais que utilizam edições suportadas do Google Workspace. Embora ainda não esteja disponível para contas Gmail gratuitas, está previsto um acesso mais alargado.

Como funciona a encriptação integrada do Gmail 

O TLS assegura a encriptação em trânsito. O modo confidencial permite datas de expiração e a revogação do acesso. No entanto, as mensagens continuam a ser armazenadas sem encriptação nos servidores da Google.

No entanto, o Modo Confidencial tem limitações significativas:

  • Não impede que os utilizadores façam capturas de ecrã.
  • Os destinatários podem descarregar ou copiar o conteúdo das mensagens de correio eletrónico utilizando truques simples:
    • Utilize "Guardar página como" para descarregar o conteúdo do correio eletrónico.
    • No Firefox, desactive as regras de media @print através do Editor de Estilos para voltar a ativar a impressão.
    • Faça uma captura de ecrã dos anexos ou utilize a opção "Criar cópia" do Google Drive para duplicar PDFs protegidos.

Além disso, quando as mensagens de correio eletrónico são enviadas para utilizadores que não são do Gmail, os destinatários têm de aceder às mesmas através de uma ligação e de um código de acesso. Se estes forem partilhados, a mensagem deixa de ser confidencial.

Como ativar a encriptação de ponta a ponta no Gmail 

Para ativar a encriptação de ponta a ponta no Gmail, pode utilizar o Google Workspace CSE ou ferramentas de encriptação de terceiros. 

Encriptação do lado do cliente do Google Workspace (CSE)

Para ativar Encriptação do lado do cliente do Google Workspace (CSE), siga os passos abaixo:

  1. Tem de selecionar o seu serviço de chave de encriptação externa. Este controlará as chaves de encriptação de nível superior que servem para proteger os seus dados.
  2. Em seguida, tem de ligar o Google Workspace ao seu fornecedor de identidade, que pode ser um IdP de terceiros ou a identidade Google. O IdP verifica a identidade dos utilizadores antes de lhes permitir encriptar ou aceder a conteúdos encriptados. 
  3. Em terceiro lugar, é necessário colaborar com o fornecedor do serviço de chaves. O objetivo é estabelecer o serviço de encriptação do lado do cliente do Google Workspace.
  4. Depois de concluir os passos acima, tem de adicionar as informações do seu serviço principal, juntamente com a adição do URL do serviço principal externo à consola de administração. Isto ajudá-lo-á a ligar o serviço ao Google Workspace. 
  5. Depois de ligar o serviço ao Google Workspace, terá de atribuir o(s) seu(s) serviço(s) principal(is) às suas unidades organizacionais.
  6. Note que precisará de alguns conhecimentos técnicos sobre APIs e scripts Python para concluir esta etapa. Se tiver os conhecimentos e competências necessários, siga os passos abaixo:
    1. Criar um projeto Google Cloud Platform (GCP)
    2. Ativar a API do Gmail
    3. Dar acesso à API à sua organização
    4. ativar o CSE para os utilizadores do Gmail
    5. Configurar o acesso de chaves de encriptação privadas e públicas ao Gmail
  7. Active o CSE para os utilizadores que necessitam de criar conteúdo encriptado do lado do cliente. Depois de concluído, está tudo pronto! 

Alguns passos opcionais finais podem incluir a configuração do acesso externo com S/MIME e/ou a importação de mensagens para o Gmail como correio eletrónico CSE.

Nota: Ativação do CSE pode desativar algumas funcionalidades nativas do Gmail.

Utilização de ferramentas de encriptação de terceiros

  • Ferramentas como FlowCrypt adicionam a encriptação PGP (Pretty Good Privacy) ao Gmail. Isto ajuda a aumentar a segurança das suas comunicações por correio eletrónico. PGP refere-se ao sistema de encriptação que é utilizado para enviar mensagens de correio eletrónico encriptadas. Também é utilizado para encriptar ficheiros sensíveis. Foi inventado em 1991 e rapidamente se tornou a norma de facto para a segurança do correio eletrónico.
  • Mailvelope oferece um servidor de chaves Mailvelope, encriptação de ficheiros e funcionalidades de encriptação de formulários. O sistema adiciona à IU todas as funcionalidades de encriptação e desencriptação em falta. Isto proporciona uma forma rápida e eficaz de encriptar as suas comunicações por correio eletrónico. A plataforma integra-se em soluções de nuvem como o Google Workspace, o Microsoft 365 e o Nextcloud. Também é compatível com aplicações PGP.

No entanto, tenha sempre cuidado ao utilizar funcionalidades de encriptação de fornecedores de correio eletrónico e soluções pontuais proprietárias.

Outros provedores de e-mail que suportam criptografia de ponta a ponta

Outros fornecedores de correio eletrónico que suportam a encriptação de ponta a ponta incluem o ProtonMail, o Tuta, o Mailfence, entre outros. 

ProtonMail 

O ProtonMail ajuda-o a assumir o controlo dos seus próprios dados com correio eletrónico encriptado de ponta a ponta integrado. Também fornece outros serviços, como uma VPN, armazenamento na nuvem, gestor de palavras-passe, calendário e carteira. A encriptação de ponta a ponta e a encriptação de acesso zero restringem o acesso aos seus e-mails apenas a si, nem mesmo ao próprio Proton.

Tuta 

A Tuta é um dos primeiros fornecedores de serviços de correio eletrónico encriptado de ponta a ponta com criptografia resistente ao quantum. A plataforma aproveita a arquitetura de conhecimento zero juntamente com os regulamentos GDPR rigorosamente seguidos. 

Mailfence 

O Mailfence não utiliza quaisquer rastreadores de publicidade ou marketing de terceiros. Também não contém quaisquer anúncios publicitários. Segue regulamentos de privacidade rigorosos e fornece encriptação de ponta a ponta. Isto significa que nem mesmo o próprio Mailfence pode aceder ou ler os seus e-mails. 

Porque é que a encriptação de ponta a ponta é importante para a segurança do correio eletrónico 

A encriptação de ponta a ponta oferece inúmeras vantagens para a segurança do correio eletrónico. 

Proteção contra phishing e interceção de correio eletrónico

O Gmail também está a adicionar um novo modelo de IA que irá verificar e avaliar um número substancial de sinais combinados de milhares de milhões de terminais. A avaliação avançada permitirá que o sistema detecte e resolva o phishing nas fases iniciais. Isto, combinado com a configuração correta do configuração DMARC correta, pode aumentar a segurança do seu correio eletrónico e proteger o seu domínio.

Conformidade com as leis de privacidade de dados (RGPD, HIPAA, etc.)

Existem muitos requisitos de conformidade. O GDPR, por exemplo, exige acordos de processamento de dados para todos os fornecedores de serviços em nuvem que lidam com dados de consumidores europeus. A nova encriptação de ponta a ponta do Gmail pode ser um passo para a conformidade com as normas existentes. Será mais eficaz quando combinada com o DMARC, uma vez que muitos destes regulamentos internacionais também exigem protocolos de autenticação de correio eletrónico. 

Comunicação segura para dados sensíveis

O E2EE ajuda a proteger os dados sensíveis, limitando o acesso apenas às partes autorizadas. Isto significa que apenas o remetente e o destinatário-alvo podem aceder aos dados contidos nas mensagens de correio eletrónico. Uma vez que as mensagens de correio eletrónico são encriptadas no lado do cliente mesmo antes de serem transmitidas, nem mesmo a Google pode aceder aos dados encriptados. 

Erro de risco humano minimizado

A encriptação de ponta a ponta reduz os erros humanos, simplificando o processo de encriptação. Já não é necessário trocar certificados ou verificar configurações, o que acontecia com o protocolo S/MIME. 

Nota final 

O lançamento pelo Gmail de um novo mecanismo de encriptação de ponta a ponta é promissor; no entanto, a iniciativa ainda está na sua fase inicial. Só com o tempo será possível avaliar a verdadeira eficácia desta nova tecnologia. Entretanto, todas as empresas devem explorar métodos de encriptação adicionais e aplicar as melhores práticas. 

Além da criptografia de e-mail, o uso da autenticação de e-mail pode reduzir substancialmente o risco de falsificação de e-mail e phishing. Empresas de confiança na segurança do correio eletrónico e dos nomes de domínio, como a PowerDMARC, oferecem serviços geridos por DMARC. Isto ajudá-lo-á a conseguir uma implementação DMARC sem erros, sem a complexidade técnica.

CTA

Últimas mensagens de Milena Baghdasaryan (ver todas)
Melhores ferramentas de entrega de correio eletrónicoRegras de remetente de correio eletrónico em massa para Google, Yahoo, Microsoft e Apple iCloud Mail