Con un comunicato pubblicato sul blog aziendale, Google ha annunciato di volere estendere l’uso della crittografia in Gmail per il web. Una funzionalità messa a disposizione per il momento soltanto per gli utenti business, ossia coloro che pagano per i servizi Google Workspace Entreprise Plus, Education Plus ed Education Standard.
L’uso della crittografia permette che il contenuto delle email e degli allegati risultino indecifrabili per la stessa Google. Destinatario e mittente, con un opportuno scambio di chiavi, possono invece vedere le email in chiaro, ossia leggerle.
La crittografia end-to-end
La crittografia end-to-end non è una novità, viene usata da Threema, WhatsApp, iMessage, Signal e altre applicazioni di messaggistica istantanea affinché nessuno possa leggere il contenuto di un messaggio durante il proprio viaggio tra il dispositivo del mittente e quello del destinatario. Chiunque dovesse intercettare il messaggio vedrebbe una serie di caratteri apparentemente senza senso, tra lettere che si susseguono senza un ordine identificabile in una parola e caratteri alfanumerici (come, per esempio, apici, parentesi o simboli matematici).
Ciò avviene mediante lo scambio automatico di chiavi pubbliche e private utili a crittografare e poi convertire in chiaro il testo. Una misura di sicurezza che impedisce di prenderne visione anche ai gestori dei server attraverso i quali passano i messaggi.
La crittografia di Gmail
Per sua natura, la posta elettronica è insicura, proprio perché non prevede forme di crittografia, a meno che non vengano invocate e aggiunte dagli utenti stessi. Ora, grazie all’encryption proposta da Google, gli utenti dei servizi business potranno semplicemente abilitare la funzionalità di crittografia e, cliccando sull’icona con un lucchetto, essere certi che l’email rimarrà inaccessibile fino a quando il destinatario non la aprirà.
Si tratta di una crittografia “client side”, ciò significa che le chiavi per rendere leggibile il messaggio sono gestite dai proprietari degli account e non da chi gestisce il servizio di encryption, in questo caso Google.
La crittografia, in principio almeno, rimane efficace se destinatario e mittente utilizzano lo stesso servizio (Gmail, nel caso specifico) e Google sta facendo qualcosa di significativo, perché Gmail è uno strumento particolarmente diffuso nel mondo. Per il momento l’encryption resta appannagio dei clienti business, perché si presuppone siano dotati di personale IT in grado di gestire le chiavi ma questo non esclude che, in futuro, la crittografia possa essere estesa anche agli account Gmail gratuiti.
Si tratta di un problema reale: mentre chi usa WhatsApp non può inviare un messaggio a chi usa Signal, l’utente di un servizio di posta elettronica può inviare email a chiunque, a prescindere dal gestore del servizio. Riuscire a creare una rete numerosa di scambi di email crittografate è importante per diffondere lo scambio di messaggi e allegati nel pieno rispetto della privacy.
La posta elettronica è
debole, motivo per il quale non si dovrebbe mai usare per inviare informazioni sensibili, la cui sicurezza può essere maggiormente garantita usando applicazioni di messaggistica come Signal oppure Threema.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.