TG:谷歌新增功能：可向任意邮箱发送端到端加密邮件

　　目前，该功能已以测试版形式上线，支持来自同一组织的 Gmail 用户之间实现 E2EE，谷歌计划未来逐步扩展支持范围，使 Gmail 的 E2EE 能跨越不同邮箱服务商使用。

　　这种新的加密机制旨在解决传统 E2EE 模型（如 S/MIME）在实施过程中的复杂性问题。S/MIME 要求发件人和收件人双方都启用该功能，配置较为繁琐。

　　谷歌表示，S/MIME 的替代方案（如某些邮箱服务提供的加密功能或专有的点对点加密解决方案）也存在问题：前者需要共享加密密钥，增加了数据隐私和主权风险；后者则通常需要用户使用自定义应用、门户网站或浏览器扩展，降低了用户体验。

　　谷歌在 Gmail 上线 周年之际推出这项功能，目标是让企业用户无需复杂流程即可向任意收件人发送 E2EE 加密邮件。该功能基于客户端加密，即邮件在传输或存储前就已加密，谷歌无法访问邮件内容，只有发送方和接收方有权限解密。

　　Abnormal Security 威胁情报负责人 Piotr Wojtyla 表示：“谷歌此举是让企业 Gmail 用户更容易获得客户端加密功能的重要一步。虽然底层加密能力早已存在，但正式推出将加速合规行业和注重隐私组织的采用。”

　　谷歌解释说，从企业 Gmail 账户发送至任何 Gmail 账户（包括个人账号）的邮件将自动加密，并在收件人邮箱中解密；若收件人启用了 S/MIME，则邮件通过 S/MIME 加密和解密。

　　对于未启用 S/MIME 的非 Gmail 用户，谷歌提供受限版本的 Gmail 查看通道，通过访客 Google Workspace 账户查看和安全回复加密邮件。

　　谷歌计划在接下来的几周内将该测试功能扩展至所有 Gmail 收件箱，并计划在今年底全面上线。

　　Kowski 表示：“就像我们看到与 Signal 相关的数据泄露一样，那是 100% E2EE 的情况，但加密无法防止用户犯错或受到社交工程攻击。”

　　谷歌强调其新功能让用户自行控制加密密钥，并将密钥存储在谷歌基础设施之外。而微软的 Purview 信息保护默认由微软管理根密钥，但也支持用户自行设定“自带密钥”（BYOK）选项。

　　Wojtyla 指出：“无论是 Gmail 还是 Outlook，更大的挑战是如何兼顾易用性与广泛部署，尤其是在加密机制对协作和合规流程带来摩擦时。”

　　Sectigo 高级研究员 Jason Soroko 补充说，客户端加密的安全性“取决于其运行环境”，组织必须确保能够妥善保护加密密钥。

　　Soroko 警告称：“如果用户设备被恶意软件或其他漏洞入侵，那么加密密钥（乃至加密数据）都可能处于危险之中。”