Google intende difendere con decisione la forza che Gmail ha maturato nel mondo della posta elettronica. L’arma migliore in questo momento è la sicurezza: con lo sfumare progressivo delle polemiche sul Datagate, e con lo strascico di sospetti che la vicenda ha lasciato nella mente degli utenti, scommettere sulla sicurezza significa tentare di ridare credibilità alle email veicolate tramite il proprio servizio. Google mette in campo due elementi: da una parte un servizio di crittografia basato su una estensione di Chrome e dall’altra un servizio di monitoraggio per aumentare la consapevolezza circa l’attuale stato dei fatti tra i principali provider di posta elettronica al mondo.
Crittografia end-to-end
Google ha lanciato una nuova estensione per Google Chrome, denominata “End-to-End”, con la quale promette di aggiungere un layer di sicurezza ai messaggi inviati tramite il browser di Mountain View. La licenza del codice è open source e il progetto è attualmente in una sorta di alpha release: «Non troverete ancora End-to-End nel Chrome Web Store; stiamo soltanto condividendo il codice così che la community possa provarlo e valutarlo, aiutandoci ad assicurarci che sia sicuro prima di essere rilasciato». Google ricorda inoltre come il proprio progetto di “Reward” sia applicabile fin da subito anche a End-to-End: chiunque scovi vulnerabilità nel codice può segnalarlo a Google ed ottenere così specifico rimborso in denaro.
End-to-End è basata sullo standard aperto OpenPGP e consente a chiunque di ricevere e inviare messaggi criptati tramite posta web-based. L’estensione consente di proteggere l’email a livello di browser, consentendone la reale apertura soltanto una volta giunta a destinazione (sebbene sia la stessa Google a precisare come non si possa garantire la sicurezza assoluta, ma comunque aggiungendo una forte corazza ai contenuti dei propri messaggi); viceversa, End-to-End è in grado di aprire messaggi ricevuti sotto medesima crittografia, potendovi così accedere liberamente al termine di un viaggio sulla rete garantito dal lucchetto istituito a monte.
Ogni dettaglio ulteriore circa l’implementazione dello standard nell’estensione è disponibile nell’apposita sezione su Google Code. L’estensione per Chrome, va specificato, non protegge l’oggetto della mail, ma soltanto il corpo del messaggio. Occorre pertanto evitare di inserire dati sensibili già nell’oggetto, poiché l’estensione non avrebbe in ogni caso la possibilità di proteggerne il contenuto a fronte di un eventuale malintenzionato che tentasse di forzare l’apertura del messaggio.
Transparency Report
«Molti fornitori di email non applicano la crittografia ai messaggi in transito. Quando invii o ricevi email con uno di questi fornitori, i messaggi sono alla portata di occhi indiscreti tanto quanto una cartolina inviata per posta tradizionale». Così Google spiega lo stato dei fatti, cercando di creare maggior consapevolezza circa l’importanza di gestire la crittografia della posta durante invio e ricezione: «Un numero sempre crescente di fornitori di email è al lavoro per cambiare questa situazione utilizzando Transport Layer Security (TLS) per crittografare i messaggi scambiati con i nostri servizi. Se applichi la crittografia con TLS a un’email in transito, sarà più difficile che altre persone possano leggere i contenuti che stai inviando».
Per aumentare la comunicazione sull’uso della crittografia nella posta elettronica, Google ha creato un apposito capitolo nel proprio Transparency Report, comprensivo di un tool per la ricerca manuale del provider in uso al fine di verificare l’effettiva sussistenza o meno di un sistema di crittografia in grado di proteggere la posta elettronica.
Un’email criptata in transito è protetta dalla lettura da parte di qualcuno che ha accesso alle reti da cui passa l’email per essere trasferita dal mittente al destinatario. Potresti considerare questa crittografia come una momentanea busta di sicurezza avvolta intorno all’email per tenerla privata mentre viene trasmessa al destinatario previsto. TLS (Transport Layer Security) è il metodo standard adottato per la crittografia in transito delle email.
TLS non crittografa, però, i dati a riposo, vale a dire che non crittografa le email mentre sono memorizzate su un server. Esistono alcuni metodi per la crittografia dei dati a riposo, ad esempio l’utilizzo di PGP.
I dati usati nel report sono relativi alla posta elettronica inviata da Google verso provider esterni o viceversa; per quanto riguarda la posta Google-to-Google, invece, il gruppo garantisce: tutte le comunicazioni sono protette da crittografia, invi inclusi i dati di Gmail, Google Apps e G+.