venerdì, Novembre 22, 2024

Google sta aggiungendo la crittografia lato client a Gmail e Calendar. Dovrebbe interessarti? – Ars Tecnica

| Data:

Google

Martedì, Google ha reso disponibile la crittografia lato client a un gruppo limitato di utenti di Gmail e Calendar con una mossa progettata per offrire loro un maggiore controllo su chi vede comunicazioni e pianificazioni sensibili.

La crittografia lato client è un termine generico per qualsiasi tipo di crittografia applicata ai dati prima che vengano inviati dal dispositivo di un utente a un server. Al contrario, con la crittografia lato server, un dispositivo client invia i dati a un server centrale, che quindi utilizza le chiavi in ​​suo possesso per crittografarli durante l’archiviazione. Questo è ciò che Google sta facendo oggi. (Per essere chiari, i dati vengono inviati crittografati tramite HTTPS, ma vengono decrittografati una volta che Google li riceve.)

La crittografia lato client di Google occupa una via di mezzo tra i due. I dati vengono crittografati sul dispositivo client prima di essere inviati (tramite HTTPS) a Google. I dati possono essere decrittografati solo sul dispositivo endpoint con la stessa chiave utilizzata dal mittente. Ciò offre un ulteriore vantaggio perché i dati rimarranno illeggibili sia per i Google Insider che per gli hacker malintenzionati che riescono a compromettere i server di Google.

In breve, CSE, la crittografia lato client era già disponibile per gli utenti di Google Drive, Documenti, Presentazioni, Fogli e Meet di Google Workspace, che l’azienda vende alle aziende. A partire da martedì, Google lo distribuirà ai clienti di Gmail e Calendar Workspace.

“Workspace crittografa già i dati inattivi e in transito utilizzando librerie crittografiche sicure in base alla progettazione”, Ganesh Chillakapati, Google Group Product Manager per Google Workspace, e Andy Wynne, Product Management Manager per Google Workspace Security, libri. “La crittografia lato client con questa funzionalità di crittografia porta questa funzionalità di crittografia a un livello superiore, garantendo che i clienti abbiano il controllo esclusivo sulle proprie chiavi di crittografia e quindi il pieno controllo su tutti gli accessi ai propri dati”.

READ  I Fall Guys si scusano dopo aver acquistato automaticamente un completo da cazzo

Probabilmente sarebbe esagerato affermare che Google CSE offre ai clienti il ​​”controllo esclusivo” sulle loro chiavi di crittografia. Questo perché le chiavi CSE possono essere gestite da alcuni servizi di chiavi di crittografia di terze parti che collaborano con Google. Tecnicamente, ciò significa che questi provider avranno almeno un certo controllo sugli switch. Google offre agli utenti CSE la possibilità di impostare il proprio servizio principale con a API di Google.

CSE è molto diverso dalla crittografia della posta PGP (Privacy Good) popolare tra le persone attente alla sicurezza un decennio fa. Questo sistema forniva una vera crittografia end-to-end in cui i contenuti potevano essere decifrati solo con una chiave in possesso del destinatario. La difficoltà di gestire una chiave diversa per ciascuna estremità alla fine si è rivelata troppo ingombrante, soprattutto su larga scala, quindi l’uso di PGP è in gran parte scomparso ed è stato sostituito da implementazioni di crittografia end-to-end come Signal.

Ecco una panoramica dei dati dell’area di lavoro che CSE non protegge e non protegge:

servizio Dati crittografati lato client dati che NO crittografato lato client
Google Drive
  • File creati con gli editor di Google Documenti (Documenti, Fogli e Presentazioni)
  • File caricati, come PDF e file di Microsoft Office
  • Indirizzo del file
  • Metadati del file, come proprietario, creatore e data dell’ultima modifica
  • Etichette di Drive (chiamate anche metadati di Drive)
  • Contenuti collegati al di fuori di Documenti o Drive (ad esempio, un video di YouTube collegato da un documento Google)
  • Preferenze dell’utente, come gli stili di intestazione del documento
gmail
  • Corpo dell’email, comprese le immagini incorporate
  • files allegatiNB: L’allegato di file di Drive crittografati non è ancora supportato sul lato client
  • Intestazione dell’e-mail, inclusi oggetto, timestamp ed elenchi di destinatari
calendario google
  • Descrizione dell’evento
  • File allegati di Drive (se la ricerca personalizzata di Drive è attivata)
  • Stream video e audio di Meet (se hai attivato il motore di ricerca di Meet)
Qualsiasi contenuto diverso dalla descrizione dell’evento, dagli allegati e dai dati di Meet, ad esempio:

  • indirizzo dell’evento
  • Gli orari di inizio e fine dell’evento
  • lista d’attesa
  • Prenota camere
  • Iscriviti per numero di telefono
  • Incontra il collegamento all’app
Google è morto
  • flussi audio
  • Stream video (inclusa la condivisione dello schermo)
  • Nessun dato diverso dai flussi audio e video
READ  BioWare sta tirando fuori la statua di Mass Effect Shepard dopo i WTF di tutti

Lo scopo del CSE è quello di occupare le organizzazioni che hanno severi requisiti di conformità imposti dalla legge o da obblighi contrattuali. CSE offre a questi clienti un maggiore controllo sui dati archiviati da Google, facilitando allo stesso tempo la decrittografia da parte degli utenti autorizzati per la condivisione e la collaborazione.

“Gli utenti possono continuare a collaborare su altre app principali in Google Workspace mentre i team IT e di sicurezza possono garantire che i dati sensibili rimangano conformi alle normative”, afferma il post di Google martedì. “Poiché i clienti mantengono il controllo delle chiavi di crittografia e il servizio di gestione delle identità accede a tali chiavi, i dati sensibili non sono decrittografabili per Google e altre entità esterne”.

Google ha pubblicato l’anno scorso questo video Progettato per mostrare qual è l’esperienza dell’utente.

Risolvi la sovranità digitale con Google Workspace.

Il cerchio blu con lo scudo nelle seguenti immagini indica che i contenuti di documenti, calendari o chat video sono protetti da CSE:

Naturalmente, CSE funziona solo se il software non è stato modificato. Se dovesse essere alterato in modo dannoso per archiviare chiavi o copiare dati non crittografati, tutte le scommesse sono annullate.

Nel complesso, Motore di ricerca personalizzato offre un miglioramento incrementale rispetto alle attuali protezioni offerte da Google. Le persone e le organizzazioni con usi o requisiti specifici possono trovarle utili, ma è improbabile che vengano richieste dalle masse in tempi brevi.

Popolare

Altri simili