Blogi | Tietosi.fi

Asiantuntija-artikkeleita ajankohtaisista tietosuoja-asioista

Google Gmail turvaposti

21. lokakuuta 2019

Gmail Turn confidential mode on/off

Gmail confidential mode on Googlen ilmainen turvapostiratkaisu. Se poikkeaa tekniikaltaan useimmista muista turvapostiratkaisuista. Viestitason salauksen sijasta palvelu turvautuu Googlen pääsynhallintaan. Tämä on herättänyt kritiikkiä, jonka mukaan kyse ei ole todellisesta suojatusta sähköpostista vaan lähinnä käyttöliittymätason oikeuksienhallinnasta.

Taustaa

Google Gmail on järjestelmänä sikäli edullisessa asemassa, että sillä ei ole Outlook/Exchangen kaltaista client-server -arkkitehtuuria taakkanaan. Web-sovelluksena ja mobiiliapplikaationa toimiessaan Gmail voi hallita käyttäjien pääsyä viesteihin ilman, että sähköpostin sisältöä olisi pakko salata viestikohtaisesti. Kevään 2018 uudistusten yhteydessä lanseeerattu Gmail confidential mode toteuttaa tämänkaltaisen pääsynvalvonnan kätevästi.

Confidential mode

Käyttöliittymältään confidential mode on hyvin yksinkertainen. Viestiä lähetettäessä kytketään confidental mode on/off -kuvakkeesta toiminto päälle ja valitaan suojausasetukset.

Confidential mode

Vastaanottajalle viesti näkyy Gmailissa muuten tavallisesti, mutta umpeutumisaika ja rajoitukset on kerrottu viestin pohjalla.

Confidential mode -viesti

Muualle kuin Gmailiin viesti näkyy tuttuna turvaposti-ilmoituksena, josta linkkiä klikkaamalla pääsee varsinaiseen viestiin:

Confidential mode -ilmoitus

Viestin lukeminen edellyttää kirjautumista vastaanottajan sähköpostiin liitetyllä Google-tilillä tai jos tiliä ei ole, kertakäyttöisen suojakoodin syöttämistä. Linkistä avattavat viestit ohjaavat Gmailista erilliseen confidential-mail.google.com -domainiin, josta viesti löytyy linkkiin koodatulla yksilöivällä viestitunnisteella. Gmailin ulkopuolella confidential mode -viestiin ei voi vastata.

Gmail turvaposti

Erikoisia tilanteita voi tulla, jos vastaanottajan osoite on liitetty google-tiliin, mutta ei gmail-sähköpostiin. Näin esimerkiksi voi olla, jos google-tili on avattu organisaation sähköpostiosoitteella. Tällöin confidential mode odottaa google-kirjautumista, mutta oikeaa tiliä voi olla vaikea löytää:

Wrong account

Ominaisuudet tiivistettynä:

  • Hinta: Ilmainen
  • Pääsynvalvonta: Viestin avaaminen kertakäyttökoodilla tai sähköpostiosoitteeseen liitetyllä Google-tilillä
  • Pääsynvalvonta: Kertakäyttökoodi voidaan valinnaisesti lähettää SMS-viestinä sähköpostin sijasta
  • Suojaukset: käyttöliittymätasolla forward-esto, kopioinnin ja tulostuksen hankaloittaminen
  • Suojaukset: liitteiden katselu onnistuu, mutta tallennus estetty
  • Viestin avaamisen umpeutumisaika (expiration date)
  • Lähetetyn viestin sulkeminen (revoke access)
  • G Suite -yritystilien ylläpitäjille on mahdollista luoda sääntöjä confidential mode -viestien lähettämiseen ja vastaanottamiseen
  • G Suite -yritystiliin kytkettyyn Google Vault -palveluun jää luettava kopio organisaation sisäisitä confidential mode -viesteistä myös umpeutumisajan jälkeen. Näin toteutetaan organisaation viestien säilytysaikavaatimus.

Puutteet

  • Ei viestikohtaista salausta
  • Ei asiakaskohtaista ilmoitusviestipohjaa

Verrattuna maksulliseen Microsoft Office 365 message encryption (OME) -turvapostiin, ilmainen Googlen turvaposti sisältää jopa enemmän ominaisuuksia. Erityisesti SMS-viestinä lähetettävät avauskoodit ovat hyvä lisä, ja viestin umpeutumisajan asettaminen on Gmailissa perustoiminto. Puutteena on ettei asiakaskohtaista esim. yrityksen logolla varustettua ilmoitusviestipohjaa pysty tekemään, mikä O365-turvapostissa on mahdollista E5-tasolla.

Ehkä merkittävin käytettävyysongelma on, että Google ei ymmärrettävästi tue Outlook-clientia yhtä saumattomasti kuten Microsoft O365. Jos Gmailista lähetetään suojattu viesti Outlook/O365-järjestelmään, vastaanottaja joutuu avaamaan viestin sähköpostilinkistä ja kirjautumaan kertakäyttökoodilla tai Google-tilillä. O365-tilien välillä suojattuja viestejä voi lähettää ja avata suoraan ilman koodin syöttämistä. Tilanne on täysin vastaava lähetettäessä O365-turvapostia Gmailiin, mutta O365:n huomattavasti suurempi markkinaosuus johtaa siihen, että huonompi käytettävyys realisoituu Gmail → O365 -suunnassa ennemmin kuin toisinpäin.

Kritiikki

Confidential mode -toimintoon on kohdistunut huomattavaa kritiikkiä. Kilpailevista palveluista ProtonMail ja Virtru ovat huomauttaneet, että palvelu ei ole turvallinen eikä suojaa yksityisyyttä. Viestitason end-to-end -salauksen puute on Googlen suurin tekninen heikkous verrattuna muihin suojattuihin sähköposteihin. Järjestelmätasolla Gmail säilyttää viestit salattuna (data at rest), mutta kyse on levynsalaukseen verrattavissa olevasta salauksesta, joka on Googlen hallinnassa. Tietoliikenne Gmailin ja web-sovelluksen tai mobiiliapplikaation loppukäyttäjän välillä on TLS-salattua, kuten kaikissa muissakin turvaposteissa.

Confidential mode -viestien suojauksissa kyse on pääsääntöisesti käyttöliittymätason estoista, joita voi kiertää käyttämällä selaimen kehittäjätyökaluja tai ottamalla kuvakaappauksia. Estot ovat kuitenkin käytännöllisiä, esimerkiksi liitteiden lataamisen estoa on hankala kiertää ja tällä estetään liitteiden kopioiden leviäminen.

Myös alttius kalasteluhyökkäyksiin on Googlen turvapostin heikkous, mutta tämä koskee enemmän tai vähemmän kaikkia ilmoitusviesteihin ja linkkeihin perustuvia web-pohjaisia turvapostiratkaisuja.

Viestitason salausta hyödyntävät palvelut kuten Protonmail ja Tietosi.fi korostavat, että viestien salaamisella ja salausavainten oikeaoppisella hallinnalla taataan, ettei edes palveluntarjoaja pysty lukemaan viestejä. Google ei väitä, etteikö se pystyisi lukemaan viestejä palvelimillaan. On kuitenkin itselleni epäselvää, kuinka erilaisessa asemassa Google ja Microsoft tässä suhteessa lopulta ovat. Microsoftin on salattava lähetetyt viestit, jotta ne eivät jäisi roikkumaan Outlook-clienteihin selväkielisinä, mutta onko viestisalaisuus paremmassa turvassa Microsoftin palvelimilla kuin Googlen palvelimilla, sitä emme tiedä.

Yhteenveto

Gmail confidential mode on erittäin kätevä tapa lähettää suojattuja viestejä ja se on käyttäjäystävällisyydeltään pääsääntöisesti Microsoftin O365-turvapostia parempi. Viestitason salauksen puute kuitenkin rajaa palvelun käyttöalueesta pois kaikkein salaisimmat ja arkaluonteisimmat viestit, ja yleisimmässä yrityssähköpostin käyttötapauksessa, sähköposteissa Outlook/O365-käyttäjien välillä, O365-turvaposti on vastaanottajalle helpompi.

Katso myös aiemmat blogikirjoitukset samasta aiheesta: 

 

Mika Kukkonen

Mika Kukkonen on osakas ja operatiivinen johtaja Tietosi.fi -palvelua kehittävässä eTaika Oy:ssä. Mikalla on pitkä kokemus ohjelmistoalalla HR-sovellusten kehittämisestä ja henkilötietojen käsittelystä B2B-asiakasrajapinnassa.
LinkedInTwitter