Crittografia end-to-end su Gmail: cosa cambia e per chi

La crittografia end-to-end fa sì che nessuna terza parte non autorizzata possa accedere ai contenuti dell’utente. La generazione di chiavi crittografiche e la loro conservazione sul dispositivo di quest’ultimo evita anche che il gestore del servizio possa accedere ai dati dei suoi utenti o clienti.

Google ha appena annunciato che gli utenti di Google Workspace potranno a breve inviare e ricevere email utilizzando la crittografia end-to-end all’interno e all’esterno del proprio dominio. La crittografia lato client (CSE, client-side encryption; così Google chiama la cifratura end-to-end) evita che il contenuto delle email e tutte le sue parti (intestazioni e allegati compresi) possa essere letto dai server dell’azienda di Mountain View: soltanto i destinatari possono decodificare i messaggi di posta elettronica.

Per adesso, però, la novità riguarda solamente gli utenti di Google Workspace: i possessori di un account personale Gmail non sono interessati dalla modifica.

Gli analisti più critici sostengono che Google voglia continuare a fare cassa analizzando i contenuti degli utenti, email comprese. In effetti le precedenti versioni dei termini di servizio Google indicavano esplicitamente il diritto che l’azienda si riservava al fine di esaminare, con sistemi automatizzati, i contenuti degli utenti e dei messaggi di posta al fine di personalizzare i risultati di ricerca, visualizzare pubblicità su misura e migliorare il rilevamento di spam e malware.
Nei termini di servizio più aggiornati si fa comunque presente che i contenuti, pur restando di proprietà di ogni singolo utente, possono essere ospitati, distribuiti, riprodotti, comunicati e utilizzati da parte di Google. A giugno 2017 Google diceva che non li avrebbe più usati per fini pubblicitari.

Al momento, tuttavia, solo gli utenti aziendali possono abilitare la cifratura end-to-end cliccando sull’icona del lucchetto (nella schermata di composizione del messaggio Gmail), quindi su Crittografia aggiuntiva.

Chi riceve il messaggio di posta deve confermare le proprie credenziali per visualizzarne il contenuto. Nessun altro utente, tranne mittente e destinatario, può leggere il contenuto delle email cifrate.
Vedremo più avanti se Google porterà le email crittografate anche sugli account personali Gmail.

L’approccio ricorda quello di Proton Mail e Tutanota: questi ultimi due sono tuttavia servizi nati proprio per tutelare la privacy degli utenti e il contenuto di tutte le loro comunicazioni via email.