Объяснение сквозного шифрования электронной почты Gmail: Руководство для корпоративных пользователей
Время чтения: 5 мин
Недавно компания Google объявила о том, что будет предлагать всем корпоративным пользователям электронную почту со сквозным шифрованием (E2EE) с помощью технологии Client-Side Encryption (CSE). Пока это бета-версия, корпоративные пользователи уже могут отправлять зашифрованные письма пользователям Gmail в той же организации. Однако, Google отметил что "В ближайшие недели пользователи смогут отправлять письма E2EE в любой почтовый ящик Gmail, а позднее, в этом году, - в любой почтовый ящик". Пока эта возможность доступна не для всех организаций или личных/бесплатных аккаунтов Gmail.
Новая форма шифрования призвана упростить технологию, лежащую в основе E2EE. Компания представляет ее как альтернативу S/MIME, которая известна своей сложностью и накладностью в корпоративных средах.
Ключевые выводы
- Инициатива Google по шифрованию: Google внедряет сквозное шифрование электронной почты для организаций, использующих специальные редакции Google Workspace.
- Упрощенное шифрование: Этот метод служит альтернативой протоколу S/MIME и призван сделать безопасность электронной почты более доступной.
- Реализация: Организации могут включить сквозное шифрование в Gmail с помощью Google Workspace CSE или сторонних инструментов шифрования и расширений браузера.
- Другие поставщики: Такие службы электронной почты, как ProtonMail, Tuta и Mailfence, также поддерживают сквозное шифрование.
- Преимущества с точки зрения безопасности: Хотя шифрование напрямую не предотвращает фишинг, оно защищает содержимое сообщений от перехвата или подделки. В сочетании с протоколами аутентификации электронной почты, такими как DMARC, оно усиливает общую защиту.
Предлагает ли Gmail сквозное шифрование?
По умолчанию Gmail использует TLS (Transport Layer Security) для шифрования писем при передаче. Однако TLS защищает только сообщения между почтовыми серверами, а не на уровне содержимого. Он не предотвращает доступ к серверу со стороны провайдеров, таких как Google, или хакеров.
В 2019 году в Gmail появился режим конфиденциальности в качестве дополнительного уровня конфиденциальности, позволяющего устанавливать сроки действия и ограничивать доступ. Однако этот режим не может считаться настоящим сквозным шифрованием, поскольку:
- Google по-прежнему может получить доступ к содержимому сообщений.
- Скриншоты, копирование/вставка и обходные пути позволяют обойти контроль конфиденциального режима.
Настоящее сквозное шифрование означает, что доступ к сообщению могут получить только отправитель и получатель, даже Google.
Недавно Gmail сделал сквозное шифрование доступным для корпоративных пользователей, использующих поддерживаемые редакции Google Workspace. Пока оно недоступно для бесплатных учетных записей Gmail, но более широкий доступ к нему уже запланирован.
Как работает встроенное шифрование Gmail
TLS обеспечивает шифрование при передаче данных. Конфиденциальный режим позволяет устанавливать сроки действия и отзывать доступ. Однако сообщения по-прежнему хранятся на серверах Google в незашифрованном виде.
Однако конфиденциальный режим имеет существенные ограничения:
- Это не мешает пользователям делать скриншоты.
- Получатели могут загружать или копировать содержимое электронной почты с помощью простых приемов:
- Используйте "Сохранить страницу как", чтобы загрузить содержимое электронной почты.
- В Firefox отключите правила @print media через редактор стилей, чтобы снова включить печать.
- Сделайте скриншот вложений или воспользуйтесь функцией Google Drive "Создать копию", чтобы продублировать защищенные PDF-файлы.
Кроме того, при отправке писем не пользователям Gmail получатели должны получить доступ к ним по ссылке и коду. Если они будут переданы, сообщение перестанет быть конфиденциальным.
Как включить сквозное шифрование в Gmail
Чтобы включить сквозное шифрование в Gmail, можно использовать Google Workspace CSE или сторонние инструменты шифрования.
Шифрование на стороне клиента (CSE) в рабочей области Google
Чтобы включить Шифрование на стороне клиента рабочего пространства Google (CSE), выполните следующие действия:
- Вам необходимо выбрать службу внешних ключей шифрования. Она будет управлять ключами шифрования верхнего уровня, которые служат для защиты ваших данных.
- Затем необходимо подключить Google Workspace к провайдеру идентификации, в качестве которого может выступать сторонний IdP или идентификатор Google. IdP проверяет личность пользователей, прежде чем разрешить им шифрование или доступ к зашифрованному содержимому.
- В-третьих, необходимо сотрудничать с поставщиком услуг ключей. Цель состоит в том, чтобы создать службу для шифрования на стороне клиента Google Workspace.
- После выполнения описанных выше действий необходимо добавить информацию о службе ключей, а также URL-адрес внешней службы ключей в консоль администратора. Это поможет вам подключить службу к Google Workspace.
- После подключения службы к Google Workspace вам нужно будет назначить ключевую службу (службы) организационным подразделениям.
- Обратите внимание, что для выполнения этого шага вам понадобятся некоторые технические знания в области API и сценариев Python. Если у вас есть необходимые знания и навыки, выполните следующие шаги:
- Создайте проект Google Cloud Platform (GCP)
- Включите API Gmail
- Предоставьте API-доступ к вашей организации
- включить CSE для пользователей Gmail
- Настройка доступа к закрытым и открытым ключам шифрования в Gmail
- Включите CSE для пользователей, которым нужно создавать зашифрованное содержимое на стороне клиента. После этого все готово!
Последние необязательные шаги могут включать настройку внешнего доступа с помощью S/MIME и/или импорт сообщений в Gmail в качестве электронной почты CSE.
Примечание: Включение CSE может привести к отключению некоторых собственных функций Gmail.
Использование сторонних средств шифрования
- Такие инструменты, как FlowCrypt добавляют в Gmail шифрование PGP (Pretty Good Privacy). Это позволяет повысить безопасность переписки по электронной почте. PGP - это система шифрования, которая используется для отправки зашифрованных сообщений электронной почты. Она также используется для шифрования конфиденциальных файлов. Она была изобретена в 1991 году и вскоре стала стандартом де-факто для защиты электронной почты.
- Mailvelope предлагает сервер ключей Mailvelope, функции шифрования файлов и шифрования форм. Система добавляет все недостающие функции шифрования и дешифрования в пользовательский интерфейс. Это обеспечивает быстрый и эффективный способ шифрования электронной почты. Платформа интегрируется с облачными решениями, такими как Google Workspace, Microsoft 365 и Nextcloud. Она также совместима с приложениями PGP.
Однако всегда будьте осторожны при использовании функций шифрования от провайдеров электронной почты и собственных точечных решений.
Другие поставщики услуг электронной почты, поддерживающие сквозное шифрование
Среди других провайдеров электронной почты, поддерживающих сквозное шифрование, - ProtonMail, Tuta, Mailfence и другие.
ProtonMail
ProtonMail поможет вам взять под контроль свои данные благодаря встроенной электронной почте со сквозным шифрованием. Он также предоставляет другие услуги, такие как VPN, облачное хранилище, менеджер паролей, календарь и кошелек. Сквозное шифрование и шифрование с нулевым доступом ограничивают доступ к вашей электронной почте только для вас, даже для самого Proton.
Тута
Tuta - один из первых поставщиков услуг сквозной шифрованной электронной почты с квантово-устойчивой криптографией. Платформа использует архитектуру "нулевого знания" и строго соблюдает правила GDPR.
Mailfence
Mailfence не использует сторонние рекламные или маркетинговые трекеры. Он также не содержит никакой рекламы. Он строго соблюдает правила конфиденциальности и обеспечивает сквозное шифрование. Это означает, что даже сама Mailfence не сможет получить доступ к вашим письмам или прочитать их.
Почему сквозное шифрование важно для безопасности электронной почты
Сетевое шифрование дает множество преимуществ для безопасности электронной почты.
Защита от фишинга и перехвата электронной почты
Gmail также добавляет новую модель искусственного интеллекта, которая будет проверять и оценивать значительное количество комбинированных сигналов от миллиардов конечных точек. Усовершенствованная оценка позволит системе обнаруживать и устранять фишинг на ранних стадиях. Это, в сочетании с правильной настройкой DMARC, может повысить безопасность электронной почты и защитить ваш домен.
Соблюдение законов о конфиденциальности данных (GDPR, HIPAA и др.)
Существует множество требований к соответствию. Например, GDPR требует заключения соглашений об обработке данных для каждого поставщика облачных услуг, который работает с данными европейских потребителей. Новое сквозное шифрование в Gmail может стать шагом к соблюдению существующих стандартов. Оно будет наиболее эффективным в сочетании с DMARC, поскольку многие из этих международных норм также требуют протоколов аутентификации электронной почты.
Безопасная связь для конфиденциальных данных
E2EE помогает защитить конфиденциальные данные, ограничивая доступ только авторизованным лицам. Это означает, что только отправитель и целевой получатель могут получить доступ к данным, содержащимся в электронных письмах. Поскольку электронные письма шифруются на стороне клиента еще до передачи, даже Google не сможет получить доступ к зашифрованным данным.
Минимизация ошибок, связанных с человеческим риском
Сквозное шифрование снижает количество человеческих ошибок, упрощая процесс шифрования. Больше нет необходимости обмениваться сертификатами или проверять конфигурацию, как это было в случае с протоколом S/MIME.
Конечная сноска
Запуск Gmail нового механизма сквозного шифрования многообещающ, однако эта инициатива пока находится на ранней стадии. Только со временем можно будет оценить истинную эффективность этой новой технологии. Пока же всем компаниям следует изучить дополнительные методы шифрования и использовать лучшие практики.
Помимо шифрования электронной почты, использование аутентификации электронной почты может существенно снизить риск подделки электронной почты и фишинга. Надежные компании в области защиты электронной почты и доменных имен, такие как PowerDMARC, предлагают управляемые услуги DMARC. Это поможет вам добиться безошибочного внедрения DMARC без технических сложностей.
Специалист по контенту в PowerDMARC
Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.
Последние сообщения Милены Багдасарян (см. все)
- Объяснение сквозного шифрования электронной почты Gmail: Руководство для корпоративных пользователей - 9 апреля 2025 г.
- Лучшие инструменты для обеспечения доставки электронной почты - 7 апреля 2025 г.
- Как проверить доставляемость электронной почты? - 2 апреля 2025 г.
