谷歌近日为其 Workspace 用户更新 Gmail，新增端到端加密（E2EE）消息功能。根据周二的公告，这项功能允许 Google Workspace 用户向任意邮箱（包括 Outlook.com、Yahoo Mail 甚至 AOL Mail）发送 E2EE 加密邮件。

　　目前，该功能已以测试版形式上线，支持来自同一组织的 Gmail 用户之间实现 E2EE，谷歌计划未来逐步扩展支持范围，使 Gmail 的 E2EE 能跨越不同邮箱服务商使用。

　　谷歌 Workspace 高级产品经理 Johney Burke 和产品经理 Julien Duplant 在发给 SC Media 的邮件中表示：“我们发明了一种全新的加密方式。”

　　这种新的加密机制旨在解决传统 E2EE 模型（如 S/MIME）在实施过程中的复杂性问题。S/MIME 要求发件人和收件人双方都启用该功能，配置较为繁琐。

　　谷歌表示，S/MIME 的替代方案（如某些邮箱服务提供的加密功能或专有的点对点加密解决方案）也存在问题：前者需要共享加密密钥，增加了数据隐私和主权风险；后者则通常需要用户使用自定义应用、门户网站或浏览器扩展，降低了用户体验。

　　谷歌在 Gmail 上线 21 周年之际推出这项功能，目标是让企业用户无需复杂流程即可向任意收件人发送 E2EE 加密邮件。该功能基于客户端加密，即邮件在传输或存储前就已加密，谷歌无法访问邮件内容，只有发送方和接收方有权限解密。

　　Abnormal Security 威胁情报负责人 Piotr Wojtyla 表示：“谷歌此举是让企业 Gmail 用户更容易获得客户端加密功能的重要一步。虽然底层加密能力早已存在，但正式推出将加速合规行业和注重隐私组织的采用。”

　　谷歌解释说，从企业 Gmail 账户发送至任何 Gmail 账户（包括个人账号）的邮件将自动加密，并在收件人邮箱中解密；若收件人启用了 S/MIME，则邮件通过 S/MIME 加密和解密。

　　对于未启用 S/MIME 的非 Gmail 用户，谷歌提供受限版本的 Gmail 查看通道，通过访客 Google Workspace 账户查看和安全回复加密邮件。

　　谷歌计划在接下来的几周内将该测试功能扩展至所有 Gmail 收件箱，并计划在今年底全面上线。

　　此外，谷歌还新增了一些附加功能，包括：

　　允许组织将所有 Gmail 邮件默认启用 E2EE 的设置；

　　使用分类标签标记邮件敏感性；

　　引入数据防泄露功能，自动识别并处理敏感邮件；

　　利用 AI 模型提升垃圾邮件和钓鱼邮件的检测与防护能力。

　　不过，SlashNext Email Security+ CTO J Stephen Kowski 指出，像 Gmail 这样的 E2EE 功能可能带来“虚假的安全感”，因为人在邮件安全中仍是“最薄弱的一环”。

　　Kowski 表示：“就像我们看到与 Signal 相关的数据泄露一样，那是 100% E2EE 的情况，但加密无法防止用户犯错或受到社交工程攻击。”

　　Gmail 的 E2EE 与 Microsoft Outlook 的对比

　　根据 ElectroIQ 数据，Google Workspace（包括企业版 Gmail）目前在办公软件市场中占有 50.34% 的份额，而 Microsoft Office 365（含 Outlook）占 45.46%。

　　Outlook 通过 S/MIME 和 Microsoft Purview Message Encryption 提供 E2EE。与 Gmail 类似，Purview 加密也允许非 Outlook 用户通过专用门户访问加密邮件，用户可使用 Microsoft、Google、Yahoo 账号或一次性密码登录该门户。

　　谷歌强调其新功能让用户自行控制加密密钥，并将密钥存储在谷歌基础设施之外。而微软的 Purview 信息保护默认由微软管理根密钥，但也支持用户自行设定“自带密钥”（BYOK）选项。

　　Wojtyla 指出：“无论是 Gmail 还是 Outlook，更大的挑战是如何兼顾易用性与广泛部署，尤其是在加密机制对协作和合规流程带来摩擦时。”

　　Sectigo 高级研究员 Jason Soroko 补充说，客户端加密的安全性“取决于其运行环境”，组织必须确保能够妥善保护加密密钥。

　　Soroko 警告称：“如果用户设备被恶意软件或其他漏洞入侵，那么加密密钥（乃至加密数据）都可能处于危险之中。”