Intercettare il contenuto dei messaggi di posta elettronica di Gmail sarà più difficile grazie al lavoro degli ingegneri di Google, che hanno migliorato la crittografia del client di posta, di Google Docs e di altri servizi. Lo scopo è quello di proteggere gli utenti dagli attacchi retroattivi, che consentivano agli hacker di decifrare i contenuti delle comunicazioni e dei documenti anche mesi o anni dopo che erano stati inviati.
La funzione, che si basa sul protocollo di sicurezza conosciuto come forward secrecy, assicura che ogni sessione online sia criptata con una chiave pubblica diversa e che le corrispondenti chiavi private non siano mai conservate a lungo termine.
Gmail è più sicura grazie al nuovo algoritmo di cifratura
In sostanza non esiste più la chiave master, cioè quella sorta di passepartout che apre più sessioni e che può essere valevole per mesi o anni. In questo modo, anche se gli hacker riusciranno a entrare in possesso di una chiave di decodifica, potranno accedere solo alle informazioni scambiate durante una singola sessione.
Il rischio che si correva con l'uso della posta elettronica era che gli hacker mettevano in campo attacchi brute-force per trovare le chiavi di cifratura. Le comunicazioni criptate venivano rubate e conservate, per poi essere decifrate con calma in un secondo momento.
L'esperto di sicurezza di Google Adam Langley ha spiegato che il suo gruppo di lavoro ha implementato la funzione di cifratura dentro la protezione SSL predefinita di Google, utilizzando una suite di cifratura che si basa sulla crittografia a curva ellittica e sul metodo di scambio di chiavi Diffie-Hellman. Il codice così realizzato è stato pubblicato come un'aggiunta alla libreria OpenSSL, così da non caricare gli altri siti web del lavoro necessario per implementare la protezione.
IE non è compatibile con alcuni degli elementi contenuti nella suite di cifratura
La nuova protezione implementata da Google funziona di default con tutte le versioni dei browser Mozilla Firefox e Google Chrome. Microsoft Internet Explorer supporta l'algoritmo quando è in esecuzione sotto le versioni di Windows da Vista in poi, ma il supporto non si attiva per default perché IE non è compatibile con alcuni degli elementi contenuti nella suite di cifratura ECDHE-RSA-RC4-SHA usata dal team di Langley.
Oltre a riconfermare l'impegno di Google per la fornitura di protezioni di sicurezza di default a tutti gli utenti, questa mossa è un importante passo avanti per soddisfare le richieste delle aziende, che finora non si sono fidate a usare gli strumenti di Moutain View perché reputati meno sicuri delle applicazioni locali. Anche per gli utenti consumer questa novità è una buona notizia, perché sia chi usa un Chromebook chi fa uso di uno qualsiasi degli altri servizi di Google potrà essere più tranquillo riguardo alla protezione e alla riservatezza delle informazioni.