Google agrega cifrado del lado del cliente a Gmail y Calendar. ¿Debería importarte?


Google El martes, Google implementó el cifrado del lado del cliente para un grupo limitado de usuarios de Gmail y Calendar para darles más control sobre quién ve mensajes y horarios confidenciales. El cifrado del lado del cliente es un término general para cualquier tipo de cifrado aplicado a los datos antes de enviarlos desde un dispositivo de usuario a un servidor. Con el cifrado del lado del servidor, por otro lado, el dispositivo del cliente envía los datos a un servidor central, que luego los cifra con las claves que posee mientras se almacenan. Eso es lo que hace Google hoy. (Para ser claros, los datos se envían cifrados a través de HTTPS, pero se descifran una vez que Google los recibe). El cifrado del lado del cliente de Google se encuentra en un término medio entre los dos. Los datos se cifran en el dispositivo del cliente antes de enviarse a Google (a través de HTTPS). Los datos solo se pueden descifrar en una computadora de punto final con la misma clave que usa el remitente. Esto proporciona una ventaja incremental, ya que los datos siguen siendo ilegibles para los empleados malintencionados de Google o los piratas informáticos que logran comprometer los servidores de Google. Abreviado como CSE, el cifrado del lado del cliente ya estaba disponible para los usuarios de Google Drive, Docs, Slides, Sheets y Meet para Google Workspace, que la empresa vende a las empresas. A partir del martes, Google lo implementará para los clientes de Gmail y Calendar Workspace. «Workspace ya encripta los datos en reposo y en tránsito utilizando bibliotecas de encriptación de diseño seguro», escriben Ganesh Chilakapati, gerente de productos del grupo de Google para Google Workspace, y Andy Wen, director de administración de productos para Google Workspace Security. «El cifrado del lado del cliente lleva esta capacidad de cifrado al siguiente nivel al garantizar que los clientes tengan el control exclusivo de sus claves de cifrado y, por lo tanto, el control total de todos los accesos a sus datos». ” de sus claves de cifrado. Esto se debe a que las claves CSE pueden administrarse mediante un puñado de servicios de claves de cifrado de terceros que funcionan con Google. Técnicamente, eso significa que estos proveedores tendrán al menos cierto control sobre las claves. Google brinda a los usuarios de CSE la oportunidad de configurar su propio cerrajero a través de una interfaz de programación de Google. CSE difiere significativamente del cifrado de correo electrónico PGP (Pretty Good Privacy), que fue popular entre las personas preocupadas por la seguridad hace una década. Este sistema ofrecía un verdadero cifrado de extremo a extremo, ya que el contenido solo podía descifrarse con una clave en poder del destinatario. La dificultad de mantener una clave diferente para cada parte finalmente resultó demasiado engorrosa, especialmente a escala, por lo que el uso de PGP desapareció en gran medida y fue reemplazado por aplicaciones de cifrado de extremo a extremo como Signal. Aquí hay una descripción general de los datos del espacio de trabajo que CSE protege y no protege:

Datos de servicio que están cifrados del lado del cliente Datos que no están cifrados del lado del cliente

Google Drive
  • Archivos creados con los editores de Google Docs (documentos, hojas de cálculo, presentaciones)
  • Archivos cargados como PDF y archivos de Microsoft Office
  • título del archivo
  • Metadatos del archivo, como el propietario, el creador y la hora de la última modificación
  • Etiquetas de unidad (también denominadas metadatos de unidad)
  • Contenido vinculado que reside fuera de Documentos o Drive (por ejemplo, un video de YouTube vinculado desde un Documento de Google)
  • Configuración de usuario, p. B. Estilos de encabezado de documento
gmail
  • Cuerpo del correo electrónico, incluidas las imágenes en línea
  • Documentos adjuntosNota: Aún no se pueden adjuntar archivos de Drive cifrados del lado del cliente
  • Encabezado de correo electrónico que incluye asunto, marca de tiempo y listas de destinatarios
Calendario de Google
  • descripción del evento
  • Archivos de Drive adjuntos (si CSE para Drive está habilitado)
  • Transmisión de audio y video de Meet (si CSE está habilitado para Meet)
Todo el contenido, excepto la descripción del evento, los archivos adjuntos y las fechas de reunión, como p.ej.:
  • titulo del evento
  • Horas de inicio y finalización del evento.
  • lista de entradas
  • Cuartos reservados
  • Regístrese por número de teléfono
  • enlace para la reunión
Reunión de Google
  • flujos de audio
  • Secuencias de video (incluido el uso compartido de pantalla)
  • Todos los datos que no sean transmisiones de audio y video

El término medio que CSE está diseñado para tomar está dirigido a organizaciones con estrictos requisitos de cumplimiento exigidos por ley o contrato. CSE brinda a estos clientes más control sobre los datos que almacena Google, al tiempo que facilita que los usuarios autorizados los descifren para compartirlos y colaborar. «Los usuarios pueden continuar colaborando en otras aplicaciones clave en Google Workspace, mientras que los equipos de TI y seguridad pueden garantizar que los datos confidenciales cumplan con los requisitos», dijo Google en una publicación del martes. «Debido a que los clientes conservan el control de las claves de cifrado y el servicio de administración de identidad para acceder a esas claves, los datos confidenciales son indescifrables para Google y otras entidades externas». El año pasado, Google lanzó este video para mostrar cómo es la experiencia del usuario. Solución para la soberanía digital con Google Workspace. El círculo azul con el escudo en las siguientes imágenes indica que el contenido de los documentos, calendarios o chats de video está protegido por CSE: Por supuesto, CSE solo funciona si el software no ha sido modificado. En el caso de que se modifique maliciosamente para almacenar claves o copias de datos no cifrados, todo es posible. En general, CSE ofrece una mejora gradual con respecto a las protecciones actuales de Google. Las personas y organizaciones con usos o necesidades específicos pueden encontrarlos útiles, pero es probable que las masas no los clamen pronto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.