Google agrega cifrado del lado del cliente a Gmail y Calendar. ¿Debería importarte? – Arte técnico

El martes, Google puso el cifrado del lado del cliente a disposición de un número limitado de usuarios de Gmail y Calendar, dándoles más control sobre quién ve comunicaciones y horarios confidenciales.

El cifrado del lado del cliente es un término general para cualquier tipo de cifrado aplicado a los datos antes de enviarlos desde el dispositivo de un usuario a un servidor. Con el cifrado del lado del servidor, por otro lado, el dispositivo cliente envía los datos a un servidor central, que luego usa las claves en su poder para cifrarlos mientras están almacenados. Esto es lo que Google está haciendo hoy. (Para ser claros, los datos se envían cifrados a través de HTTPS, pero se descifran tan pronto como los recibe Google).

El cifrado del lado del cliente de Google se encuentra en algún punto intermedio entre los dos. Los datos se cifran en el dispositivo del cliente antes de enviarse a Google (a través de HTTPS). Los datos solo se pueden descifrar en la máquina terminal con la misma clave utilizada por el remitente. Esto tiene el beneficio adicional de hacer que los datos sean ilegibles para cualquier miembro malicioso de Google o piratas informáticos que logren comprometer los servidores de Google.

Abreviado como CSE, el cifrado del lado del cliente ya estaba disponible para los usuarios de Google Workspace para Google Drive, Docs, Slides, Sheets y Meet, que la empresa vende a las empresas. Google lo implementará para los clientes de Gmail y Calendar Workspace a partir del martes.

«Workspace ya cifra los datos en reposo y en tránsito utilizando bibliotecas criptográficas seguras basadas en proyectos», Ganesh Chilakapati, administrador del grupo de productos de Google Workspace, y Andy Wen, director de administración de productos de seguridad de Google Workspace. escribió. «La encriptación del lado del cliente lleva esta capacidad de encriptación al siguiente nivel, asegurando que los clientes tengan control exclusivo sobre sus claves de encriptación y, por lo tanto, control completo sobre todo acceso a sus datos».

Probablemente sea una exageración decir que el CSE de Google otorga a los clientes «control exclusivo» sobre sus claves de cifrado. Esto se debe a que las claves CSE pueden ser administradas por varios servicios de claves criptográficas externas que se asocian con Google. Técnicamente, esto significa que estos proveedores tendrán al menos cierto control sobre las claves. Google permite a los usuarios de CSE crear su propio servicio principal mediante un Interfaz de programación de Google.

CSE es fundamentalmente diferente del cifrado de correo PGP (Pretty Good Privacy) popular entre la gente de seguridad hace una década. Ese sistema ofrecía un verdadero cifrado de extremo a extremo, ya que el contenido solo podía descifrarse con una clave en poder del destinatario. La dificultad de administrar una clave diferente para cada parte finalmente resultó ser demasiado, especialmente a escala, por lo que el uso de PGP ha disminuido en gran medida y ha sido reemplazado por aplicaciones de cifrado de extremo a extremo como Signal.

Aquí hay una descripción general de los datos de Workspace que CSE protege y no protege:

El CSE de nivel medio que se pretende ocupar está dirigido a organizaciones con estrictos requisitos de cumplimiento impuestos por ley u obligaciones contractuales. CSE brinda a estos clientes más control sobre los datos que almacena Google, al tiempo que facilita que los usuarios autorizados los descifren para compartirlos y colaborar.

«Los usuarios pueden continuar colaborando con otras aplicaciones críticas de Google Workspace, mientras que los equipos de TI y seguridad pueden garantizar que los datos confidenciales sigan cumpliendo», dijo Google en un comunicado del martes. «Debido a que los clientes conservan el control sobre las claves de cifrado y el servicio de administración de identidad para acceder a esas claves, los datos confidenciales son indescifrables para Google y otras organizaciones externas».

El año pasado, Google lanzó este video pretende mostrar cómo es la experiencia del usuario.

En las siguientes imágenes, un círculo azul con un escudo indica que el contenido de los documentos, calendarios o chats de video está protegido por CSE;

Por supuesto, CSE solo funciona si el software no ha sido modificado. En el caso de que se haya alterado maliciosamente para almacenar claves o copias de datos no cifrados, todas las apuestas están canceladas.

En general, CSE mejora gradualmente las protecciones actuales disponibles de Google. Las personas y organizaciones con usos o requisitos específicos pueden encontrarlos útiles, pero es poco probable que las masas clamen por ellos en el corto plazo.