Google introduce la crittografia lato client per Gmail, ma non per voi.

Il progetto di crittografia Ende-zu-Ende di Gmail sembrava morto nel 2017. Ora è tornato, ma solo per i clienti con account chiave.

How to encrypt emails in Gmail? Use an encrypted email provider instead!

Gmail aveva promesso che sarebbe diventato crittografato Ende-zu-Ende per impostazione predefinita. Ora Google ha annunciato che sta mantenendo la promessa, ma solo per gli account con chiave Workspace. Per gli utenti privati di Gmail la crittografia Ende-zu-Ende è ancora fuori portata. Questo nuovo sforzo per una vera sicurezza sarà disponibile per tutti gli utenti in futuro o solo per "pochi eletti"?


TL;DR: Google afferma che la crittografia Ende-zu-Ende è importante per la sicurezza. Ma gli utenti normali non vedranno questa funzione nel loro account Gmail. Per proteggere le vostre e-mail ora, vi consigliamo di iscrivervi a una casella di posta Tutanota completamente crittografata. Meglio utilizzare un’alternativa a Gmail che cripta automaticamente l’intera casella di posta e i contatti e rispetta la vostra privacy.

Crittografia in Gmail

Nel 2014 sembrava che Gmail volesse portare la crittografia Ende-zu-Ende a tutti gli utenti, ma l’azienda non ha mai mantenuto questa promessa, fatta poco dopo la fuga di notizie di Snowden sulla sorveglianza della NSA.

Il progetto di crittografia Ende-zu-Ende di Gmail sembrava morto nel 2017. Ora è tornato, ma questa volta solo per i clienti con account chiave.

Google ha appena annunciato di voler offrire la crittografia lato client per il suo servizio di posta elettronica Gmail in fase di beta testing. Tuttavia, solo per i clienti con account chiave dopo una richiesta, e per ora solo in versione beta.

”Con la crittografia lato client di Google Workspace (CSE), la crittografia dei contenuti viene gestita nel browser del cliente prima che i dati vengano trasmessi o archiviati nel cloud di Drive”.

”In questo modo, i server di Google non possono accedere alle chiavi di crittografia e decifrare i dati. Dopo aver impostato CSE, è possibile scegliere quali utenti possono creare contenuti crittografati lato client e condividerli internamente o esternamente”, spiega Google.

Qui Google spiega come richiedere l’abilitazione della crittografia sul proprio account se si è clienti di Google Workspace Enterprise Plus, Education Plus e Education Standard.

Al momento la funzione funziona solo all’interno del browser, ma è previsto il supporto per le app, ha dichiarato l’azienda.

In particolare, Google non definisce la funzione “crittografia Ende-zu-Ende”, ma “crittografia lato client”. Le e-mail non sono crittografate in un formato a conoscenza zero, ma le aziende possono recuperare le e-mail inviate attraverso il loro sistema, anche se sono state crittografate.

La crittografia sta prendendo piede

Questa nuova mossa di Google segue una tendenza che vede la crittografia e la privacy importanti, originariamente innescata da servizi completamente crittografati come Signal e Tutanota più di dieci anni fa.

Recentemente anche Apple ha annunciato che inizierà a offrire la crittografia Ende-zu-Ende per i backup di iCloud.

Dopo dieci anni di crescita di successo degli utenti di applicazioni come Tutanota, Signal e altre, Big Tech sta sentendo la pressione. Gli utenti non vogliono più cedere i propri dati in cambio di servizi “gratuiti”.

Al contrario, capiscono che i loro dati sono il nuovo oro e che devono essere protetti come qualsiasi altro bene prezioso: con un’adeguata crittografia Ende-zu-Ende.

Noi di Tutanota accogliamo con favore la mossa di Google e Apple, che renderà più sicuro il web come lo conosciamo. Tuttavia, funzioni importanti come la crittografia non devono essere limitate a pochi eletti!

Al contrario: Tutti meritano la crittografia!

A prescindere dalla decisione di queste aziende, siamo entusiasti di vedere un numero crescente di persone che comprendono la necessità e l’importanza della privacy. Già nel 2017 avevamo detto che era iniziata l’era della privacy, e da allora abbiamo avuto ragione.

Le persone di tutto il mondo non sono più disposte ad alimentare il capitalismo di sorveglianza delle Big Tech.

Le Big Tech proteggeranno tutti?

La domanda che rimane dopo l’ultima mossa di Google di offrire una crittografia adeguata ai clienti commerciali è:

Google offrirà la crittografia Ende-zu-Ende a tutti?

Dato il modello di business di Google, che consiste nel raccogliere dati personali e vendere annunci mirati alle aziende, è altamente improbabile che lo faccia.

Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich. Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich.

Anche gli utenti di Reddit sono sicuri che Google non offrirà una vera crittografia a tutti.

Ma fortunatamente le persone sono abbastanza intelligenti da scegliere delle alternative.

Nuovi strumenti hanno reso molto semplice la protezione dei dati privati delle persone. I servizi di posta elettronica come Tutanota e le app di chat come Signal sono solo alcuni di quelli che integrano la crittografia senza problemi nei loro servizi, in modo che gli utenti non debbano pensare a come funziona la crittografia.

E la cosa migliore è che: Con queste app, la crittografia è disponibile per tutti, non solo per pochi eletti.


Storia del progetto di crittografia Ende-zu-Ende di Gmail

Nel 2017, Google ha silenziosamente consegnato alla “comunità open source” il progetto E2EMail, avviato per consentire una facile crittografia Ende-zu-Ende in Gmail tramite un’estensione del browser. Da allora il progetto su GitHub è letteralmente morto.

Tre anni prima, Google aveva annunciato la creazione di un plugin Chrome con crittografia Ende-zu-Ende per crittografare automaticamente le e-mail tra utenti Gmail.

La promessa di aggiungere uno strumento di crittografia delle e-mail a Gmail è stata una mossa di marketing

Nel 2017 è diventato evidente che la promessa di una facile crittografia delle e-mail in Gmail per milioni di utenti era solo una mossa di marketing dopo le rivelazioni di Snowden nel 2013. Mentre il progetto E2EMail sarebbe stato un ottimo strumento per milioni di persone per adattare automaticamente la crittografia Ende-zu-Ende, è stato insabbiato da Google quando non ne ha più visto i vantaggi di marketing.

”Il vero messaggio è che non lo stanno più sviluppando attivamente come progetto di Google”, ha dichiarato l’esperto di crittografia Matthew Green a Wired. “È sicuramente un po’ una delusione, visto quanto clamore Google ha generato intorno a questo progetto a un certo punto, vedere che non lo stanno portando avanti come funzione principale di Gmail”, ha detto Green.

Rendere facile la crittografia delle e-mail è difficile

Google ha dichiarato ufficialmente di non aver abbandonato il progetto di crittografia. Tuttavia, ha spiegato che sviluppare una facile crittografia delle e-mail è molto più difficile di quanto si possa pensare.

È difficile rendere le e-mail crittografate interoperabili con diversi client e progettare lo scambio di chiavi in modo facile da usare. Problemi che sono già noti a qualsiasi utente di PGP e che non sono scomparsi quando Google ha voluto aggiungere a Chrome un plugin basato su PGP.

Tuttavia, la fine di un progetto che avrebbe portato agli utenti di Gmail di tutto il mondo e-mail crittografate Ende-zu-Ende mostra dove sono i veri interessi di Google: Non proteggere i dati privati dei propri utenti, ma sfruttarli a proprio vantaggio.

Nessuna crittografia automatica delle e-mail in Gmail

Google lascia all’utente la scelta di come crittografare un’e-mail. Tuttavia, l’aggiunta di un’opzione per la crittografia delle e-mail a Gmail rimane complicata come per qualsiasi altro servizio di posta elettronica: Gli utenti devono abilitare il supporto PGP nei loro client di posta elettronica, devono generare e gestire le proprie chiavi e assicurarsi che queste siano conservate al sicuro sui loro dispositivi. Anche in questo caso, la crittografia della posta elettronica mobile è praticamente impossibile.

Google vuole lasciare all’utente la decisione finale di utilizzare o meno la crittografia, ma l’esperto di crittografia Matthew Green critica aspramente questa scelta via Twitter, definendola una “decisione egoistica”:

Google nel 2007: HTTPS? Dovrebbe essere una scelta dell’utente.

Google nel 2017: Crittografia Ende-zu-Ende? Dovrebbe essere una scelta dell’utente.

Più persone utilizzano la crittografia delle e-mail, meglio è

Noi di Tutanota crediamo nel nostro diritto alla privacy e lottiamo per questo con la crittografia automatica delle e-mail. Se Gmail avesse adottato la crittografia Ende-zu-Ende automatica per tutti, avrebbe fatto un’enorme differenza rispetto all’attuale livello di sicurezza online. Avrebbe reso Internet molto più sicuro per milioni di utenti e avrebbe reso impossibile la sorveglianza illegale di massa online.

Purtroppo, la mossa di Google di abbandonare E2EMail nel 2017 ha dimostrato che non dovremmo fidarci delle grandi organizzazioni con le nostre informazioni private.

Poiché Google ha già infranto la sua promessa agli utenti una volta, la probabilità che la nuova mossa di portare la crittografia Ende-zu-Ende in Gmail rimanga limitata ai clienti aziendali paganti è piuttosto alta.

Forse era illusorio fin dall’inizio credere che un’azienda così concentrata sull’estrazione dei dati degli utenti e sulla pubblicazione di annunci pubblicitari mirati avrebbe improvvisamente iniziato a proteggere il diritto alla privacy dei suoi utenti con una crittografia Ende-zu-Ende integrata in Gmail.

Se vogliamo proteggere davvero la nostra privacy, dobbiamo prendere in mano la situazione. E questo è esattamente ciò che abbiamo fatto noi di Tutanota negli ultimi due anni: Costruire e-mail crittografate Ende-zu-Ende facili da usare e gratuite per chiunque. In Tutanota l’intera casella di posta elettronica è crittografata in modo che nessuno, nemmeno i nostri sviluppatori, possa leggere le vostre e-mail personali.


Se volete riprendervi completamente la vostra privacy, leggete i nostri consigli su come abbandonare Google e scoprite cosa rende Tutanota una vera alternativa a Gmail.