Cuando Google anunció el martes la llegada de mensajes cifrados de extremo a extremo a Gmail para usuarios empresariales. Algunos se mostraron reticentes, señalando que no se trata de un verdadero E2EE, como se conoce en el ámbito de la privacidad y la seguridad. Otros se preguntaban cómo funcionaba exactamente. A continuación, se describe lo que hace y no hace el nuevo servicio, así como algunos aspectos básicos de seguridad que lo sustentan.
Cuando Google utiliza el término E2EE en este contexto, significa que un correo electrónico se cifra en Chrome, Firefox o prácticamente cualquier otro navegador que elija el remitente. A medida que el mensaje llega a su destino, permanece cifrado y no se puede descifrar hasta que llega a su destino final, cuando se descifra en el navegador del destinatario.
Nota: Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus. Comparar ediciones
Despidiéndose de S/MIME
La principal ventaja de este nuevo servicio es que permite a las agencias gubernamentales y a las empresas que colaboran con ellas cumplir con diversas normativas de seguridad y privacidad, eliminando al mismo tiempo los enormes problemas que tradicionalmente han afectado a quienes implementan sistemas de correo electrónico que cumplen con las normativas. Hasta ahora, el método más común ha sido S/MIME, un estándar tan complejo y engorroso que solo las organizaciones más valientes y con más recursos suelen implementarlo.
S/MIME requiere que cada remitente y receptor cuenten con un certificado X.509 emitido por una autoridad certificadora. Obtener, distribuir y gestionar estos certificados de forma segura requiere tiempo, dinero y coordinación. Esto significa que si Bob y Alice nunca han trabajado juntos y surge una necesidad urgente o inesperada de que él envíe a Alice un mensaje cifrado con prontitud, no podrán hacerlo hasta que un administrador solicite un certificado y vea que está instalado en el equipo de Alice.
Google afirma que Gmail E2EE simplifica esta complejidad. En su lugar, Bob redacta un correo electrónico para Alice, hace clic en un botón que activa la función y pulsa enviar. El navegador de Bob cifra el mensaje y se lo envía a Alice. El mensaje se descifra solo después de que llega al navegador de Alice y ella se autentica.
Para lograrlo, la organización de Bob implementa lo que Google describe como un servidor de claves ligero, conocido como KACL (lista de control de acceso a claves). Este servidor, que puede estar alojado localmente o en la mayoría de los servicios en la nube, es donde se generan y almacenan las claves. Cuando Bob envía un mensaje cifrado, su navegador se conecta al servidor de claves y obtiene una clave de cifrado simétrica efímera. El navegador de Bob cifra el mensaje y se lo envía a Alice, junto con una clave de referencia. El navegador de Alice utiliza la clave de referencia para descargar la clave simétrica de la KACL y descifra el mensaje. Posteriormente, la clave se elimina.
Para evitar que Mallory u otro intermediario obtenga la clave, Alice debe autenticarse primero a través de Okta, Ping o cualquier otro proveedor de identidad (IDP) que utilice la organización de Bob. Si es la primera vez que Alice recibe un mensaje de la organización de Bob, primero deberá demostrar al IDP que tiene el control de su dirección de correo electrónico. Si Alice planea recibir correos electrónicos cifrados de la organización de Bob en el futuro, debe configurar una cuenta que pueda usar de ahí en adelante.
La organización de Bob puede añadir una capa adicional de protección al exigirle a Alice que ya tenga una cuenta en el IDP y se autentique a través de ella.
"La idea es que, pase lo que pase, Gmail nunca tendrá la clave real. Nunca", explicó Julien Duplant, gerente de producto de Google Workspace, a Ars. "Y nunca tendremos el contenido descifrado. Solo ocurre en el dispositivo de ese usuario".
Ahora bien, en cuanto a si esto constituye un verdadero E2EE, probablemente no, al menos bajo las definiciones más estrictas que se utilizan habitualmente. Para los puristas, E2EE significa que solo el remitente y el destinatario tienen los medios necesarios para cifrar y descifrar el mensaje. Este no es el caso, ya que las personas dentro de la organización de Bob que implementaron y administraron la KACL tienen la custodia real de la clave.
En otras palabras, el proceso real de cifrado y descifrado ocurre en los dispositivos del usuario final, no en el servidor de la organización ni en ningún otro punto intermedio. Esa es la parte que Google denomina E2EE. Sin embargo, las claves son administradas por la organización de Bob. Los administradores con acceso completo pueden espiar las comunicaciones en cualquier momento.
El mecanismo que hace posible todo esto es lo que Google llama CSE, abreviatura de cifrado del lado del cliente. Proporciona una interfaz de programación sencilla que agiliza el proceso. Hasta ahora, CSE solo funcionaba con S/MIME. La novedad es un mecanismo para compartir de forma segura una clave simétrica entre la organización de Bob y Alice o cualquier otra persona a la que Bob desee enviar correos electrónicos.
Esta nueva función tiene un gran valor para las organizaciones que deben cumplir con las estrictas regulaciones que exigen el cifrado de extremo a extremo. Sin duda, no es adecuada para consumidores ni para quienes deseen tener control exclusivo sobre los mensajes que envían. Defensores de la privacidad, tomen nota.
Fuente: Ars