En una reciente actualización anunciada por Google, Gmail introdujo la posibilidad de enviar mensajes cifrados de extremo a extremo (E2EE) para usuarios de negocios. Sin embargo, la implementación no es considerada verdadera E2EE por muchos expertos en privacidad y seguridad.
El nuevo servicio promete cifrar los correos electrónicos dentro de navegadores como Chrome y Firefox, manteniendo los mensajes protegidos durante su tránsito hasta su destino final. Una vez que el mensaje llega al destinatario, se descifra en el navegador del receptor.
Eliminando S/MIME
La principal ventaja de esta nueva funcionalidad es permitir que agencias gubernamentales y empresas que colaboran con ellas cumplan con diversas regulaciones de seguridad y privacidad, al tiempo que simplifican la complejidad que generalmente implica el uso de sistemas de correo electrónico regulados. Hasta ahora, el método más común ha sido el uso de S/MIME, un estándar complicado que solo las organizaciones más capacitadas y bien financiadas suelen implementar.
Para usar S/MIME, tanto el emisor como el receptor deben tener un certificado X.509 emitido por una autoridad de certificación, un proceso que requiere tiempo, dinero y coordinación. Esto puede resultar problemático en situaciones donde la comunicación encriptada se necesita de manera urgente.
Google alega que su servicio E2EE para Gmail simplifica este proceso. Cuando un usuario, por ejemplo Bob, desea enviar un correo a Alice, solo tiene que pulsar un botón que activa el cifrado, y el mensaje se envía encapsulado. La clave de cifrado se genera y se almacena en un servidor de control de accesos de claves (KACL) que la organización de Bob debería desplegar.
Al enviar un mensaje cifrado, el navegador de Bob contacta con el KACL y obtiene una clave de cifrado simétrica efímera. Luego, el correo se envía a Alice junto con una clave de referencia que su navegador utilizará para descargar la clave de cifrado simétrica y desencriptar el mensaje.
Autenticación y seguridad
Antes de poder recibir el mensaje encriptado, Alice debe autenticar su identidad mediante un proveedor de identidad (IDP) como Okta o Ping. Si es la primera vez que Alice recibe un correo de la organización de Bob, tendrá que demostrar que controla su dirección de correo electrónico. Si desea recibir en el futuro mensajes encriptados, necesita establecer una cuenta con el IDP de la organización de Bob.
Google asegura que en ningún momento Gmail tiene acceso a la clave real ni al contenido desencriptado, ya que todo ocurre en el dispositivo del usuario. Sin embargo, los críticos señalan que esto no cumple con la estricta definición de E2EE, ya que los administradores de la organización de Bob tienen custodia sobre las claves.
El mecanismo diseñado por Google es lo que llaman cifrado del lado del cliente (CSE), que permitirá asegurar el intercambio de claves simétricas de forma segura, superando las limitaciones de S/MIME.
Esta nueva funcionalidad tiene potencial para las organizaciones que necesitan cumplir con regulaciones exigentes que requieren cifrado de extremo a extremo, pero claramente no está diseñada para consumidores que deseen tener el control total sobre los mensajes que envían. Es un desarrollo interesante, pero la comunidad de privacidad debe seguir vigilando de cerca su implementación.
 para usuarios de negocios. Sin embargo, la implementación no es considerada verdadera E2EE por muchos expertos en privacidad y seguridad.){kind=link}