O Gmail interromperá oficialmente o suporte para o padrão de criptografia de dados triplos (3DES) para todas as conexões SMTP que recebem em 30 de maio de 2025, um movimento que o Google descreve como vital para reforçar a segurança do usuário contra os pontos de emenda da cifra, para que os sistemas de e-mails ainda sejam bem documentados. Para entregá-los aos usuários do Gmail após o Deadline. Isso pode causar interrupções significativas de comunicação se os administradores não atualizarem seus sistemas para cifras modernas e protegidas, conforme recomendado em . href=”https://news.ycombinator.com/item?id=43922975″Target=”_ Blank”> Hacker News , onde a lacuna de nove anos desde que as vulnerabilidades severas da 3DES (CVE-2016-2183) foram detalhadas publicamente, foi uma fonte de uma ponta. O usuário do Hacker News’Londons_explore’comentou:”Não se preocupe-apenas 9 anos foram conhecidos por 3DEs, sendo conhecidos publicamente por terem vulnerabilidades graves e o Google decidindo que não é apropriado para proteger talvez o conjunto de dados mais sensível do mundo (e-mails privados)”.
Enquanto alguns usuários debatem a severidade prática de 3des por smtp, dado limits típicos Como o Gmail. Essa alteração afetará todos os clientes do Google Workspace, pressionando uma adoção mais ampla de padrões de criptografia mais fortes no ecossistema de email. O tamanho do bloco de 64 bits da 3DES torna vulnerável ao longo do tempo.
A mecânica da mudança e contexto da indústria
A implicação prática dessa mudança de política é simples: quando um servidor de e-mail externo é que o Método de Prail, que é o Método de SMTP da GMAIL, é que o Método de Smtp. O usuário’Tialaramex’disse:”A mudança do Google aqui é quando um cliente chama o Gmail e professa que a cifra menos terrível que sabe é 3DES, isso é muito ruim, a conexão falhou”.
Este bloqueio proativo visa impedir a interceptação de dados por meio de criptografia desatualizada. O administrador do espaço de trabalho do Google ajuda ainda mais que os administradores podem identificar o uso do 3DES em seu tráfego de email de saída; O valor específico que indica essa cifra nos logs do BigQuery é “o valor exibido neste campo que indica o uso de uma cifra 3DES é DES-CBC3-SHA.”
Esse movimento do Google, embora significativo, faz parte de uma tendência maior da indústria de 3des. Por exemplo, Zoho also announced the deprecation of 3DES Para seus serviços em 2016, citando a vulnerabilidade Sweet32. Ainda mais cedo, a ENISA, a agência de segurança cibernética da UE, classificou o 3DES como legado. O usuário do Hacker News’ZZQ1015’destacou isso, afirmando:”Você nunca pode imaginar quantas pessoas ainda estão usando o WinXP, ou outros clientes/servidores esquecidos que suportam apenas o TLS 1.0 e o RC4/DES/3DEs sem perceber”.
Ao manter a compatibilidade com versões anteriores, muitas vezes tem sido um fator para os principais provedores de serviços, os riscos de segurança pronunciados dos 3DEs evidentemente derrubaram as escalas. De fato, alguns na comunidade tecnológica expressaram surpresa que o Gmail a apoiasse por tanto tempo. Mais informações sobre o ataque Sweet32 podem ser encontradas em sweet32.info . Por exemplo, o WinBuzzer relatou anteriormente um recurso beta para o Gmail em abril que introduziu uma alternância para criptografia do lado do cliente (CSE) para usuários corporativos.
O sistema CSE subjacente alcançado Disponibilidade geral em 2023 de fevereiro, de acordo com o Google Workspace Atualiza o Blog Post. Enquanto a depreciação do 3DES aborda uma falha fundamental de criptografia de trânsito, a CSE oferece uma camada diferente, criptografando o conteúdo antes de sair do navegador do usuário. O Google Cloud também declarou que não usa 3DEs internamente, mas o manteve disponível nos pontos de extremidade para compatibilidade, com os clientes da Fedramp capazes de solicitar sua remoção. O anúncio do 3DES pode querer que você revise as implicações do Comunicações eletrônicas Lei de privacidade (ECPA) . do que um mandado completo, Política oficial do Google afirma um requisito para um mandado de busca da ECPA para o conteúdo do Gmail, com base nas proteções da Quarta Emenda. Esta posição é ecoada por outros gigantes da tecnologia; Diretrizes de aplicação da lei da Apple Diretrizes da Meta Refletem posições semelhantes, destacando uma navegação contínua em todo o setor de demandas legais e privacidade do usuário em comunicações digitais.