Gmail, gli utenti aziendali possono inviare e-mail crittografate a chiunque

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/gm...ue_144376.html

Google ha attivato la crittografia end-to-end in Gmail per utenti aziendali di Workspace Enterprise Plus con Assured Controls. I messaggi protetti possono essere inviati anche a destinatari esterni, che li leggono via link sicuro e account guest.

Click sul link per visualizzare la notizia.

[giovanni69]

Ah finalmente... probabilmente perchè adesso la profilazione e l'addestramento AI non si fa più mediante le sbirciatine delle email.

[destroyer85]

Siamo sicuri sia veramente E2E?
Probabilmente lo è in transito, ma secondo me Google conosce comunque il contenuto della email o comunque ha tutti gli elementi per accedervi.

Attualmente le alternative sono comunque scomodissime.
Si dovrebbe creare uno standard per poter avere email crittografate E2E che sia alla portata di tutti.

[Rommie]

Quote:

Originariamente inviato da destroyer85

Siamo sicuri sia veramente E2E?
Probabilmente lo è in transito, ma secondo me Google conosce comunque il contenuto della email o comunque ha tutti gli elementi per accedervi.

Sono d'accordo, non ci si può fidare.

Quote:

Originariamente inviato da destroyer85

Attualmente le alternative sono comunque scomodissime.
Si dovrebbe creare uno standard per poter avere email crittografate E2E che sia alla portata di tutti.

Ma non c'era PGP e relativo plughin per i maggiori client di posta ?

[danylo]

Quote:

Originariamente inviato da giovanni69

Ah finalmente... probabilmente perchè adesso la profilazione e l'addestramento AI non si fa più mediante le sbirciatine delle email.

L'email viene criptata dal software di Google, e nulla impedisce a Google di dare una sbirciatina, subito prima di criptarla.


.

[marcram]

In pratica, Google mantiene l'accesso.
Quello che questa "protezione" impedirebbe, è l'attacco MITM.
Per il resto, le email non sono private tanto quanto non lo erano prima.

Sono anni che esiste il PGP, perché la gente non usa quello se ha bisogno di riservatezza? Soprattutto le aziende...

[destroyer85]

Perché è scomodo! La criptazione della e-mail dipende dal fatto che il ricevente abbia pubblicato la sua chiave e il mittente sappia dove l'ha pubblicata; pensa solo al medico che vorrebbe mandare un referto medico al proprio paziente, non può perché altrimenti tutti i server su cui passano le email possono leggerne il contenuto.

Purtroppo non essendo stata pensata per essere sicura (by design come dicono quelli bravi), adesso è difficile applicare protezioni e nessuno ha interesse a farlo.

[marcram]

Quote:

Originariamente inviato da destroyer85

Perché è scomodo! La criptazione della e-mail dipende dal fatto che il ricevente abbia pubblicato la sua chiave e il mittente sappia dove l'ha pubblicata; pensa solo al medico che vorrebbe mandare un referto medico al proprio paziente, non può perché altrimenti tutti i server su cui passano le email possono leggerne il contenuto.

Purtroppo non essendo stata pensata per essere sicura (by design come dicono quelli bravi), adesso è difficile applicare protezioni e nessuno ha interesse a farlo.

Ovvio che ci debba essere lo scambio delle chiavi, la crittografia e2e funziona così...
Tutti gli altri metodi non hanno riservatezza, compreso questo di Google.

Un'azienda (o anche una entità, come il medico, che vuole inviare dati riservati), o usa email con PGP, oppure lascia stare le email e usa altri sistemi più moderni (come la sanità tedesca che ha imposto l'uso di Matrix...)

[pachainti]

Quote:

Originariamente inviato da destroyer85

Perché è scomodo! La criptazione della e-mail dipende dal fatto che il ricevente abbia pubblicato la sua chiave e il mittente sappia dove l'ha pubblicata; pensa solo al medico che vorrebbe mandare un referto medico al proprio paziente, non può perché altrimenti tutti i server su cui passano le email possono leggerne il contenuto.

Purtroppo non essendo stata pensata per essere sicura (by design come dicono quelli bravi), adesso è difficile applicare protezioni e nessuno ha interesse a farlo.

Vero, non è semplice, ma nemmeno difficile. Comunque ci sono ottime alternative per l'utente comune come proton e tuta (la prima supporta anche lo standard openPGP).

[destroyer85]

Confermate che è scomodo.
Avere la cifratura della e-mail in transito non è banale ma dovrebbe diventare uno standard.
Per quanto riguarda, invece, la cifratura at rest il problema mi sembra minore.
Restando sull'esempio del medico che deve inviare un referto se il medico ha la casella di posta "@asl.it" e il paziente la casella "@libero.it" sia paziente che medico accettano implicitamente che i due ISP abbiano accesso alla casella di posta. Possono raccontarci quello che vogliono, ma per come sono fatte le e-mail così è e così sempre sarà.

Che poi non capisco tutto questa attenzione sulla privacy quando si sono sempre inviati i referti cartacei via raccomandata... e lì hai voglia delle mani in cui passava la busta.

[marcram]

Quote:

Originariamente inviato da destroyer85

Confermate che è scomodo.
Avere la cifratura della e-mail in transito non è banale ma dovrebbe diventare uno standard.
Per quanto riguarda, invece, la cifratura at rest il problema mi sembra minore.
Restando sull'esempio del medico che deve inviare un referto se il medico ha la casella di posta "@asl.it" e il paziente la casella "@libero.it" sia paziente che medico accettano implicitamente che i due ISP abbiano accesso alla casella di posta. Possono raccontarci quello che vogliono, ma per come sono fatte le e-mail così è e così sempre sarà.

Non mi pare più scomodo dei mille passaggi che devi fare oggigiorno per accedere al conto bancario online...
Una volta che hai creato una chiave e l'hai consegnata al destinatario, viene immessa nel portafoglio, e d'ora in poi comunichi automaticamente in modo crittografato con quella persona.

Semplicemente, non c'è un'imposizione, non c'è vero interesse, e tanta ignoranza...
E quest'uscita di Google è semplicemente un altro esempio di "privacy washing".

Quote:

Che poi non capisco tutto questa attenzione sulla privacy quando si sono sempre inviati i referti cartacei via raccomandata... e lì hai voglia delle mani in cui passava la busta.

Beh, se la busta era sigillata te n'accorgevi se qualcuno nel mezzo l'aveva visionata.
E anche se fosse, si tratta di un singolo che non credo si sarebbe messo a fare fotocopie/scansioni del referto e archiviarle.
Nel mondo digitale, invece, con poco sforzo raccogli email a rastrello e crei immensi archivi di dati...

[destroyer85]

Quote:

Non mi pare più scomodo dei mille passaggi che devi fare oggigiorno per accedere al conto bancario online...

Ma è più scomodo che ricevere la busta a casa. Se fosse stato comodo non avrebbero inventato il fascicolo sanitario elettronico.

Quote:

Una volta che hai creato una chiave e l'hai consegnata al destinatario, viene immessa nel portafoglio, e d'ora in poi comunichi automaticamente in modo crittografato con quella persona.

PGP funzioni esattamente al contrario (giustamente).
Usi la chiave pubblica del destinatario per cifrare il messaggio poi il destinatario lo decifra con la sua chiave privata.

Quote:

E anche se fosse, si tratta di un singolo che non credo si sarebbe messo a fare fotocopie/scansioni del referto e archiviarle.

Sicuramente prima era più mirata e meno massiva la cosa, ma i soggetti in cui passava in mano la busta non erano pochi.

[pachainti]

Quote:

Originariamente inviato da destroyer85

Confermate che è scomodo.
Avere la cifratura della e-mail in transito non è banale ma dovrebbe diventare uno standard.
Per quanto riguarda, invece, la cifratura at rest il problema mi sembra minore.
Restando sull'esempio del medico che deve inviare un referto se il medico ha la casella di posta "@asl.it" e il paziente la casella "@libero.it" sia paziente che medico accettano implicitamente che i due ISP abbiano accesso alla casella di posta. Possono raccontarci quello che vogliono, ma per come sono fatte le e-mail così è e così sempre sarà.

Che poi non capisco tutto questa attenzione sulla privacy quando si sono sempre inviati i referti cartacei via raccomandata... e lì hai voglia delle mani in cui passava la busta.

Si è più scomodo che scrivere un email tradizionale, ma a quale prezzo?
Volendo per qualunque fornitore di posta tradizionale c'è anche mailvelope che è veramente facile da usare.

[destroyer85]

Mi state dando tutte soluzioni estemporanee per nascondere al provider di posta il contenuto delle e-mail. Finisce il supporto all'estensione cosa fai? Oppure non supportano più il programma cosa fai? Thunderbird ha integrato PGP da anni.


O questa cosa di non poter accedere al contenuto delle e-mail viene imposta dall'UE (e comunque ti devi fidare perché non esiste che google o chicchssia ti faccia vedere che non può accedere alle tue e-mail) oppure te lo tieni così, la tecnologia è nata così, si è diffusa così e non è possibile cambiarla.
Se vuoi un provider che non ti guardi le e-mail ti devi fidare di quelli che dicono di non farlo.

[pachainti]

Quote:

Originariamente inviato da destroyer85

Mi state dando tutte soluzioni estemporanee per nascondere al provider di posta il contenuto delle e-mail. Finisce il supporto all'estensione cosa fai? Oppure non supportano più il programma cosa fai? Thunderbird ha integrato PGP da anni.


O questa cosa di non poter accedere al contenuto delle e-mail viene imposta dall'UE (e comunque ti devi fidare perché non esiste che google o chicchssia ti faccia vedere che non può accedere alle tue e-mail) oppure te lo tieni così, la tecnologia è nata così, si è diffusa così e non è possibile cambiarla.
Se vuoi un provider che non ti guardi le e-mail ti devi fidare di quelli che dicono di non farlo.

Certo thunderbird è migliore, ma quanti lo utilizzano? Il browser tutti e non ci vuole molto a installare un estensione, se si vuole.
openPGP esiste da circa 30 anni e se vuoi puoi utilizzare provider con crittografia e2e di default come proton o tuta.
Le soluzioni esistono, si tratta di volerle utilizzare.

[destroyer85]

Come ho già detto, proton e tuta non possono essere "la soluzione".
Sono due prodotti commerciali che non usano i protocolli standard.
Hai voglia a dire che il client open-source, se spegni il server di tuta o proton sai cosa te ne puoi fare del client?

[pachainti]

Quote:

Originariamente inviato da destroyer85

Come ho già detto, proton e tuta non possono essere "la soluzione".
Sono due prodotti commerciali che non usano i protocolli standard.

Sono una possibile soluzione per chi non ha voglia o non è in grado di configurare thunderbird o mailvelope con openPGP. Vero entrambi sono prodotti commerciali con la versione gratuita (freemium), alla pari di gmail-outlook o altro (con la differenza di essere open source e con crittografia e2e). Proton supporta lo standard openPGP ed è maintainer della libreria openPGP.js e GopenPGP.

Quote:

Originariamente inviato da destroyer85

Hai voglia a dire che il client open-source, se spegni il server di tuta o proton sai cosa te ne puoi fare del client?

Sai come funziona il protocollo della posta elettronica SMTP-IMAP? E' basato su un modello client-server, non è peer-to-peer

[destroyer85]

Quote:

Originariamente inviato da pachainti

Sono una possibile soluzione per chi non ha voglia o non è in grado di configurare thunderbird o mailvelope con openPGP. Vero entrambi sono prodotti commerciali con la versione gratuita (freemium), alla pari di gmail-outlook o altro (con la differenza di essere open source e con crittografia e2e).

Del fatto che il client sia open-source non te ne fai una mazza, anzi è una buona scusa per poter rispondere a chi gli dice "eh ma per la distro CappelloDiPaglia 84 non esiste" di scaricarsi il sorgente e ricompilarselo.
Perché non rendono open-source il server così come ci sono progetti open-source di server imap pop e smtp? Per esempio bitwarden è open source sia client che server, come mai questi paladini dell'open-source non rilasciano anche il server open source per self-hosting? Non ho detto che debba essere gratis, neanche bitwarden lo è. Opensource-washign.

Quote:

Originariamente inviato da pachainti

Proton supporta lo standard openPGP

No, proton sfrutta lo standard opengpg

Quote:

Originariamente inviato da pachainti

ed è maintainer della libreria openPGP.js e GopenPGP.

E sti grandissimi c***zi. Opensource-washign.

Quote:

Originariamente inviato da pachainti

Sai come funziona il protocollo della posta elettronica SMTP-IMAP? E' basato su un modello client-server, non è peer-to-peer

Ma bravo! Adesso spiegami cosa c'entrano questi due protocolli con proton e tuta.

[marcram]

Quote:

Originariamente inviato da destroyer85

Del fatto che il client sia open-source non te ne fai una mazza...

No, è sufficiente che il client sia opensource, se hai una crittografia E2E.
Il server può anche essere chiuso e proprietario, non cambia niente.

[destroyer85]

Ma sapete che proton e tutta NON funzionano con smtp e imap vero?