Google está presentando esta semana un estándar mejorado de cifrado del lado del cliente (CSE) en su servicio Gmail ampliamente utilizado, que marca sus 21calle Cumpleaños el 1 de abril: que espera que pueda hacer que el estándar de Extensiones de correo de Internet seguras/multipropósito largas (S/MIME) para el correo electrónico cifrado de extremo a extremo (E2EE) sea obsoleto de una vez por todas.
S/MIME se utiliza para el cifrado de clave pública y la firma de datos MIME y fue desarrollado originalmente por RSA hace muchos años. Hoy, aunque la funcionalidad S/MIME se usa ampliamente, no siempre está habilitada de forma predeterminada para la mayoría de los servicios de correo electrónico y solo funciona cuando las partes que envían y las partes reciben cumplen con el estándar.
Esto se debe a que ambos equipos de TI necesitan adquirir y administrar los certificados necesarios e implementarlos en cada usuario, agregado a los que los usuarios deben averiguar si ellos y el destinatario tienen S/MIME configurados y luego intercambiar certificados antes de que puedan intercambiar correos electrónicos cifrados.
Y si bien existen alternativas como funciones incorporadas de proveedores de correo electrónico o soluciones de puntos, sufren inconvenientes similares.
En la mente de Google, esto limita el uso de E2EE a organizaciones que tienen recursos de TI significativos para recurrir y casos de uso fuertes para enviar correo cifrado, e incluso entonces solo pueden hacerlo utilizando soluciones que crean experiencias fragmentadas, limitadas y subóptimas para todos los involucrados.
“Cuando hablas con cualquier administrador de TI, te dirán algunas cosas sobre el cifrado”, dijo Neil Kumaran, gerente de productos del grupo de Gmail Security en Google. “Primero, probablemente le dirán que para algún subconjunto de sus datos, deben estar completamente encriptados de alguna manera, generalmente debido a la obligación regulatoria y tal vez debido a la obligación contractual.
“Lo segundo que le dirán es que el estado actual de cifrado es muy difícil de implementar en todo el ecosistema de correo electrónico. E incluso si implementan algunas de estas soluciones fuera de los casos de uso ideales, generalmente hay agujeros en su postura de cifrado. El TLDR es ampliamente que se siente en toda nuestra base de clientes”.
Google dijo que su solución a esto democratiza efectivamente el cifrado, al tiempo que requiere un esfuerzo mínimo tanto para los equipos de TI como para los usuarios, abstraiendo los viejos dolores de cabeza asociados con el cifrado al tiempo que mejora el control de datos, la privacidad y la soberanía.
Nuevo modelo
La solución de Google es un nuevo modelo de cifrado que dijo que elimina la necesidad de requisitos de certificado complejos o derechos de administración complejos y permite a los usuarios enviar mensajes totalmente cifrados a cualquier usuario en cualquier plataforma.
“La idea es que estamos creando una especie de burbuja protectora para correos electrónicos que se sienten automáticos hasta el punto de que se siente como un correo electrónico normal”, dijo Julian Duplant, gerente de productos de seguridad de Gmail, a Computer Weekly. “Hemos creado un servicio que hace que las organizaciones que usan esta funcionalidad se conviertan en el portero total de esos datos”.
Con la nueva tecnología de burbujas, Google dijo que primero está poniendo el control de los certificados, o claves, necesarios para cifrar o descifrar mensajes en manos de sus clientes, renunciando a su propia capacidad para acceder a los mensajes para siempre.
En segundo lugar, les está dando el control del directorio de usuario que decide quién tiene acceso a las teclas.
En tercer lugar, ha creado una nueva funcionalidad de invitados donde los clientes pueden generar automáticamente cuentas temporales en su organización para que los destinatarios externos accedan y descifrar el mensaje sujeto a las reglas del cliente.
“Lo que parece como funcionalidad es que, si está enviando a un destinatario que tiene Gmail, ya sea espacio de trabajo o consumidor, podrán descifrar automáticamente ese mensaje en función de las reglas de la organización. [But] Si la organización es cualquier otro proveedor de correo electrónico en el mundo, recibirán una notificación por correo electrónico que dice que Julian le ha enviado un mensaje cifrado, haga clic aquí para leerlo ”, dijo Duplant.
“Cuando el usuario haga clic en ese mensaje, el navegador se abrirá y verá una interfaz de Gmail segura en la que puede descifrar el mensaje y escribir su propia respuesta. La mejor parte es que estamos haciendo esto de una manera que no requiere S/MIME. Todo ese intercambio de certificados que habría sucedido antes de que ya no se haga.
También es importante tener en cuenta que cuando el destinatario tiene S/MIME configurado, Gmail aún enviará el correo electrónico a través de S/MIME como ya lo hace.
Google cree que este enfoque ofrece una solución de cifrado más completa para sus clientes, que tiene el efecto secundario beneficioso de reducir la fricción y reducir la barrera para hacer seguridad cibernética de manera efectiva.
Soberanía de datos un beneficio clave
Otro efecto secundario de este enfoque para el cifrado del lado del cliente, dijo Google, es que al hacer de sus clientes los árbitros finales de quién puede acceder a sus datos de correo electrónico, puede ayudarlos a salvaguardar, por ejemplo, intrusiones injustificadas por parte de los gobiernos que exigen que el proveedor de servicios entregue los datos.
Google dijo que esto aumentará el cumplimiento del cliente con las regulaciones de soberanía de datos, los controles de exportación y otros requisitos como HIPAA en los Estados Unidos.
La nueva tecnología está disponible hoy en beta para organizaciones que usan Gmail internamente, pero en las próximas semanas los usuarios podrán enviar correos electrónicos de E2EE a cualquier bandeja de entrada de Gmail y a cualquier bandeja de entrada de correo electrónico más adelante en el año. Hay más información disponible en Google y las organizaciones pueden registrarse aquí para el programa beta.