Google добавила в мобильное приложение Gmail поддержку шифрования на стороне клиента (Client-Side Encryption, CSE) для Android и iOS. Функция позволяет составлять и читать зашифрованные письма прямо в приложении, без сторонних программ и порталов. Воспользоваться ею смогут только организации с подпиской Google Workspace Enterprise Plus и дополнением «Настройки доступа и размещения» (Assured Controls или Assured Controls Plus) — владельцам личных аккаунтов Gmail и младших тарифов Workspace шифрование на стороне клиента по-прежнему недоступно.
Кому доступна функция и как её включить
CSE в Gmail на мобильных устройствах работает исключительно в корпоративной среде. Организация должна использовать тарифный план Google Workspace Enterprise Plus с активированным дополнением «Настройки доступа и размещения» (Assured Controls) или «Настройки доступа и размещения Плюс» (Assured Controls Plus). По умолчанию функция выключена — администратор должен разрешить использование CSE на клиентах Android и iOS через интерфейс администрирования.
После активации пользователь нажимает значок замка в поле темы письма и выбирает «дополнительное шифрование». Далее письмо составляется как обычно — с вложениями и несколькими получателями.
Шифрование на стороне клиента (CSE) — технология, при которой данные шифруются на устройстве отправителя до передачи на серверы провайдера. Ключи шифрования остаются у организации, а Google не получает доступа к закрытым ключам и расшифрованному содержимому писем.
Как получатели видят зашифрованные письма
Если адресат пользуется приложением Gmail, зашифрованное сообщение появляется в почтовом ящике как обычная цепочка — никаких дополнительных действий не требуется. Получатели без Gmail переходят по ссылке на защищённую веб-страницу в браузере, где могут прочитать сообщение и ответить на него.
Зачем это нужно: S/MIME и требования законодательства
До появления CSE единственным способом шифрования корпоративной почты в Gmail был протокол S/MIME (Secure/Multipurpose Internet Mail Extensions). Его внедрение требовало выпуска сертификата безопасности для каждого сотрудника, обмена сертификатами между собеседниками и зачастую — установки отдельных приложений или перехода на специализированные веб-порталы.
CSE избавляет от этой процедуры: пользователям не нужно получать и настраивать сертификаты, достаточно одного переключателя в интерфейсе Gmail. Для получателей без Gmail сохраняется промежуточный шаг — переход в браузер, но внутри организации переписка выглядит как обычная.
Шифрование на стороне клиента может быть не просто мерой безопасности, а юридическим требованием. Законодательные акты вроде Общего регламента по защите данных (GDPR) в Европейском союзе устанавливают строгие правила обращения с персональной информацией, и за недостаточную защиту конфиденциальных данных организация рискует понести юридическую ответственность.
GDPR (General Data Protection Regulation) — Общий регламент по защите данных Европейского союза, действующий с мая 2018 года. Регламент обязывает организации, обрабатывающие персональные данные граждан ЕС, обеспечивать их надлежащую защиту независимо от того, где расположена сама организация.
Заключение
Расширение CSE на мобильные платформы закрывает последний серьёзный пробел в корпоративном шифровании Gmail — но только для крупных организаций с тарифом Enterprise Plus и дополнением «Настройки доступа и размещения». Обычные пользователи Gmail и компании на младших тарифах по-прежнему ограничены стандартным шифрованием TLS при передаче писем.