Cuando Google anunció el martes la llegada de mensajes cifrados de extremo
a extremo a Gmail para usuarios empresariales. Algunos se mostraron reticentes, señalando que no se trata de un
verdadero E2EE, como se conoce en el ámbito de la privacidad y la seguridad.
Otros se preguntaban cómo funcionaba exactamente. A continuación, se describe
lo que hace y no hace el nuevo servicio, así como algunos aspectos básicos de
seguridad que lo sustentan.
Cuando Google utiliza el término E2EE en este contexto, significa que un
correo electrónico se cifra en Chrome, Firefox o prácticamente cualquier otro
navegador que elija el remitente. A medida que el mensaje llega a su destino,
permanece cifrado y no se puede descifrar hasta que llega a su destino final,
cuando se descifra en el navegador del destinatario.
Nota: Ediciones compatibles con esta función: Enterprise Plus y Education
Standard y Education Plus.
Comparar ediciones
Despidiéndose de S/MIME
La principal ventaja de este nuevo servicio es que permite a las agencias
gubernamentales y a las empresas que colaboran con ellas cumplir con diversas
normativas de seguridad y privacidad, eliminando al mismo tiempo los enormes
problemas que tradicionalmente han afectado a quienes implementan sistemas de
correo electrónico que cumplen con las normativas. Hasta ahora, el método más
común ha sido
S/MIME, un estándar tan complejo y engorroso que solo las organizaciones más
valientes y con más recursos suelen implementarlo.
S/MIME requiere que cada remitente y receptor cuenten con un certificado X.509
emitido por una autoridad certificadora. Obtener, distribuir y gestionar estos
certificados de forma segura requiere tiempo, dinero y coordinación. Esto
significa que si Bob y Alice nunca han trabajado juntos y surge una necesidad
urgente o inesperada de que él envíe a Alice un mensaje cifrado con prontitud,
no podrán hacerlo hasta que un administrador solicite un certificado y vea que
está instalado en el equipo de Alice.
Google afirma que Gmail E2EE simplifica esta complejidad. En su lugar, Bob
redacta un correo electrónico para Alice, hace clic en un botón que activa la
función y pulsa enviar. El navegador de Bob cifra el mensaje y se lo envía a
Alice. El mensaje se descifra solo después de que llega al navegador de Alice
y ella se autentica.
Para lograrlo, la organización de Bob implementa lo que Google describe como
un servidor de claves ligero, conocido como KACL (lista de control de acceso a
claves). Este servidor, que puede estar alojado localmente o en la mayoría de
los servicios en la nube, es donde se generan y almacenan las claves. Cuando
Bob envía un mensaje cifrado, su navegador se conecta al servidor de claves y
obtiene una clave de cifrado simétrica efímera. El navegador de Bob cifra el
mensaje y se lo envía a Alice, junto con una clave de referencia. El navegador
de Alice utiliza la clave de referencia para descargar la clave simétrica de
la KACL y descifra el mensaje. Posteriormente, la clave se elimina.
Para evitar que Mallory u otro intermediario obtenga la clave, Alice debe
autenticarse primero a través de Okta, Ping o cualquier otro proveedor de
identidad (IDP) que utilice la organización de Bob. Si es la primera vez que
Alice recibe un mensaje de la organización de Bob, primero deberá demostrar al
IDP que tiene el control de su dirección de correo electrónico. Si Alice
planea recibir correos electrónicos cifrados de la organización de Bob en el
futuro, debe configurar una cuenta que pueda usar de ahí en adelante.
La organización de Bob puede añadir una capa adicional de protección al
exigirle a Alice que ya tenga una cuenta en el IDP y se autentique a través de
ella.
«La idea es que, pase lo que pase, Gmail nunca tendrá la clave real.
Nunca», explicó Julien Duplant, gerente de producto de Google Workspace,
a Ars.
«Y nunca tendremos el contenido descifrado. Solo ocurre en el dispositivo
de ese usuario».
Ahora bien, en cuanto a si esto constituye un verdadero E2EE, probablemente
no, al menos bajo las definiciones más estrictas que se utilizan
habitualmente.
Para los puristas, E2EE significa que solo el remitente y el destinatario
tienen los medios necesarios para cifrar y descifrar el mensaje.
Este no es el caso, ya que las personas dentro de la organización de Bob que
implementaron y administraron la KACL tienen la custodia real de la clave.
En otras palabras, el proceso real de cifrado y descifrado ocurre en los
dispositivos del usuario final, no en el servidor de la organización ni en
ningún otro punto intermedio. Esa es la parte que Google denomina E2EE. Sin
embargo, las claves son administradas por la organización de Bob.
Los administradores con acceso completo pueden espiar las comunicaciones en
cualquier momento.
El mecanismo que hace posible todo esto es lo que
Google llama CSE, abreviatura de cifrado del lado del cliente. Proporciona una interfaz de
programación sencilla que agiliza el proceso. Hasta ahora, CSE solo funcionaba
con S/MIME. La novedad es un mecanismo para compartir de forma segura una
clave simétrica entre la organización de Bob y Alice o cualquier otra persona
a la que Bob desee enviar correos electrónicos.
Esta nueva función tiene un gran valor para las organizaciones que deben
cumplir con las estrictas regulaciones que exigen el cifrado de extremo a
extremo.
Sin duda, no es adecuada para consumidores ni para quienes deseen tener
control exclusivo sobre los mensajes que envían. Defensores de la privacidad,
tomen nota.
Fuente:
Ars