GMail i szyfrowanie SSL - ile jest szyfrowanych

14

Dziwnie trudno jest dowiedzieć się dokładnie, jak SSL działa z pocztą e-mail, przynajmniej w zakresie odpowiedzi na moje konkretne pytanie - kiedy łączę się z Gmailem za pomocą SSL, rozumiem, że moje połączenie jest bezpieczne, a zatem dane są szyfrowane między MOIM KOMPUTEREM a SERWEREM GMAIL. . Czy to wszystko, co robi SSL? Na przykład, kiedy otwieram wiadomość e-mail na komputerze, dane między Mountain View (lub czymkolwiek innym) a moim domem są szyfrowane? Czy to znaczy, że jeśli wyślę wiadomość e-mail do mojego znajomego, który również używa Gmaila z włączoną funkcją SSL / Secure Gmail, to jeśli wyślę wiadomość e-mail z załącznikiem na jego konto Gmail, wiadomość ta oraz załącznik zostaną zaszyfrowane na moim komputerze i wysłane do Gmaila serwer, a następnie pod warunkiem, że mój przyjaciel korzysta z protokołu SSL, może on również uzyskać e-maila z zakresu bezpieczeństwa? Więc nie ma potrzeby tych dodatków do szyfrowania firefox? Czy są to tylko bardziej niezawodne algorytmy szyfrowania?

Podsumowując, oto, jak myślę, nauczyłem się (i zawiera streszczenie dla innych czytających). PROSZĘ, POPRAW MNIE JEŚLI SIĘ MYLĘ:

  1. gmail wysyła wiadomości e-mail do serwerów Google za pomocą protokołu HTTP. gmail pobiera również wiadomości e-mail z serwerów Google za pomocą protokołu HTTP. Gdy łączysz się z serwerami Google za pomocą protokołu https (w przeciwieństwie do protokołu HTTP), połączenie między Twoim klientem Gmail a serwerami Gmail jest bezpieczne, a dane są szyfrowane w obie strony.

  2. podczas korzystania z klienta (na przykład Thunderbird) SMTP jest używany do wysyłania wiadomości e-mail, a IMAP / POP do pobierania wiadomości e-mail. Na poziomie dodatku / opcji możesz powiedzieć tym klientom, aby używali TLC zarówno dla kroków SMTP, jak i IMAP / POP.

  3. Serwery Google prawdopodobnie nie używają TLS z SMTP, gdy odbijają e-maile tam iz powrotem między swoimi serwerami.

  4. Wniosek - jeśli korzystasz z Gmaila, zawsze używaj HTTPS, ale pamiętaj, że nie ma szyfrowania między serwerami Google, ale w „świecie zewnętrznym” połączenie między klientami Google (o ile używa https) jest bezpieczne. jeśli używasz thunderbirda (lub czegoś innego) włącz TLS.

Czy to jest poprawne?

gmail encryption ssl Tony Stark
źródło

Odpowiedzi:

13

Jeśli ufasz certyfikatowi z witryny zaszyfrowanej za pomocą protokołu SSL, możesz:

  • Ufaj, że połączenie z tym serwerem WWW jest szyfrowane.
  • Ufaj, że tożsamość tego serwera WWW jest poprawna (tj. Nie jest to oszustwo typu phishing).
  • Ufaj, że ktoś nie przechwytuje twojego ruchu do serwera WWW (mężczyzna w środku).

(ważną rzeczą jest tutaj to, że ufasz certyfikatowi przedstawionemu przez serwer pocztowy Google, co ogólnie powinieneś :-))

Dane, które przesyłasz w formularzu podczas tworzenia wiadomości e-mail, będą szyfrowane przez HTTPS, gdy będzie ona przesyłana z przeglądarki klienta do serwera Gmaila, który przekaże ją do serwera SMTP. Gdy wyświetlasz pocztę w przeglądarce z serwera, jest ona również szyfrowana.

SMTP nie szyfruje jednak poczty. Istnieją sposoby użycia TLS (zabezpieczenia warstwy transportowej) przez IMAP i POP do szyfrowania danych uwierzytelnienia od użytkownika / klienta na serwerze. Gdy łączysz się przez IMAP / POP z TLS, dane otrzymywane podczas pobierania poczty są szyfrowane z serwera do ciebie. IMAP i POP to tylko protokoły pobierania. Kiedy używasz zewnętrznego klienta, takiego jak Thunderbird, do wysyłania poczty, przechodzi ona przez serwer SMTP. Można to również zaszyfrować przy użyciu SASL / TLS z SMTP, ale znowu jest to tylko od klienta do serwera, a nie od serwera do ostatecznego miejsca docelowego.

Jeśli chcesz wysyłać i odbierać zaszyfrowane wiadomości e-mail od końca do końca, bez względu na to, dokąd trafiają do sieci, musisz poszukać rozwiązania takiego jak PGP / GPG. Aby uzyskać więcej informacji na ten temat, zobacz pytanie, które zadałem . Webui Gmaila nie obsługuje korzystania z PGP / GPG, więc musisz skonfigurować to z zewnętrznym klientem poczty, takim jak Thunderbird , Mail.app lub Outlook (lub inne).

O ile wiadomość e-mail wysyłana z konta Gmail na konto Gmail znajomego jest wysyłana w ramach wewnętrznej infrastruktury poczty Google. Może to mieć jeden lub więcej przeskoków między serwerami, ale zwykle pozostaje w ich prywatnej sieci (10.xxx). Możesz to sprawdzić, przeglądając nagłówki wiadomości e-mail wysłanej przez znajomego. W wiadomości e-mail na stronie Gmaila kliknij przycisk rozwijany obok „Odpowiedz” i kliknij „Pokaż oryginał”. Szukasz linii zaczynających się od „Otrzymano:”, takich jak:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

To jest wiadomość Gmail na Gmaila, którą mam. Pierwsza (ostatnia) wiadomość tutaj wskazuje, że serwer poczty 10.90.68.11 odebrał tę wiadomość z połączenia HTTP (webui). Następnie poczta została wysłana za pośrednictwem SMTP do 10.90.100.20, a następnie SMTP do 10.215.12.12, gdzie została mi dostarczona.

Ponownie, chociaż jest to wszystko wewnętrzne w sieci Google, SMTP nie powinien być uważany za bezpieczny protokół do przesyłania poufnych informacji. Każdy, kto ma dostęp do systemów w powyższym łańcuchu, może potencjalnie odczytać wiadomość. Pamiętaj też, że Google Apps może przechodzić przez system bram w swojej sieci, który ma adres zewnętrzny (choć nadal jest własnością Google).

jtimberman
źródło
Dodam jedno zastrzeżenie, że protokół SSL zapobiegnie atakowi typu phishing, ale nie ma gwarancji, że zapobiegnie atakowi typu phishing.
EBGreen,
więc jeśli rozumiem to, SSL zapewnia bezpieczne połączenie HTTP (stąd https), ale e-mail nie jest wysyłany przez HTTP, jest wysyłany przez SMTP, a TO NIE jest szyfrowane przez SSL?
Tony Stark,
1
więc SMTP może nie być bezpiecznym protokołem, ale czy po skonfigurowaniu SSL to również obejmuje SMTP? A IMAP i POP nie byłyby objęte / szyfrowane przez SSL?
Tony Stark,
@hatorade Wyjaśniłem w zdaniu po punktach i rozwinąłem je.
jtimberman,
@hatorade Wyjaśniłem także o imap / pop. Mam nadzieję, że ta odpowiedź pomoże, dobre pytanie!
jtimberman,
7

Twoje dane nie są bezpieczne.

Ludzie zawsze martwią się o przesyłane dane, ale podstawowy fakt jest taki, że przechowywanie danych jest głównym punktem, w którym dochodzi do ataków. Karty kredytowe EG zazwyczaj są kradzione z plików i baz danych liczb, a nie z transportu numerów.

Google przechowuje twoje dane. Pamięć nie jest szyfrowana. Ludzie w Google lub ci, którzy kompromitują Google, mogą pewnego dnia go przeczytać, jeśli naprawdę im zależy. Odbiorca wiadomości może również ją przeczytać, a właściciel serwera poczty odbiorcy (dostawca usług internetowych lub firma) również może to zrobić. Jeśli odbiorca korzysta ze zwykłego klienta pocztowego, jest on przechowywany na jego komputerze. W tym miejscu może się do niego dostać jakiekolwiek oprogramowanie szpiegujące lub rootkity zainstalowane przez odbiorcę.

W transporcie jtimberman ma rację. Twoja przeglądarka rozmawia z Google, jeśli ufasz, że maszyną, która wysłała ci certyfikat, jest Google oraz że Verisign lub ktokolwiek jest firmą godną zaufania, która mówi ci, że Google faktycznie wysłał ci certyfikat Google. Podczas gdy przeglądarka komunikuje się z Google za pomocą certyfikatu przez https, transmisja jest szyfrowana. Jest to miłe, ponieważ oznacza to, że wszystkie inne komputery w sieci z możliwym oprogramowaniem szpiegującym lub wścibskimi użytkownikami oraz administrator sieci nie mogą odczytać, ile na nich narzekasz każdego dnia.

Musisz także zaufać przeglądarce i wszystkim jej wtyczkom. Prawie mogą po prostu przeczytać zawartość formularzy, zanim jeszcze je wyślesz. Zasadniczo możesz mu zaufać, ale nie wścibskie paski narzędzi, które każdy prosi o zainstalowanie wraz z tymi wszystkimi bezpłatnymi programami, które pobierasz.

Ale ogólnie powiedzmy, że wysłałeś komuś wiadomość e-mail, która zawierała twój identyfikator podatkowy, datę urodzenia, aktualny adres i imię i nazwisko, coś, co pracodawca może wiedzieć, pomyślałbyś o tym jako wrażliwych informacjach. Cóż, ten e-mail jest przechowywany na zawsze przez Google w obszarze wysyłanych wiadomości. Nawet po jego usunięciu. A odbiorca będzie przechowywać kopię w swojej skrzynce odbiorczej. Serwer pocztowy odbiorcy może przechowywać kopię. Serwer pocztowy domeny serwera pocztowego odbiorcy może przechowywać kopię, ale nie na długo. I między nimi jest więcej serwerów. TAKŻE smtp wysyła pocztę między tymi niezaszyfrowanymi, ale co jest bardziej przerażające, że złośliwy program niektórych przestępców może nasłuchiwać odpowiedniej sieci we właściwym czasie, aby złapać przesyłane dane lub że inny przestępca „

dlamblin
źródło
3

Szyfrowanie SSL w GMAIL chroni tylko przesyłane dane. Tak więc w twoim przykładzie wiadomości e-mail przesyłanej od Ciebie do Gmaila, a następnie z Gmaila do Twojego znajomego, wszystkie transmisje byłyby szyfrowane, jednak dane w spoczynku na serwerach Gmaila (kopia w wysłanych elementach i skopiuj do skrzynki odbiorczej znajomych) wszystkie dane będą czytelne. Jeśli ufasz Googleowi, że Twoje dane są bezpieczne, to nic ci nie jest.

O których dodatkach do firefoxa myślisz?

jtimberman ma rację, że potrzebujesz programu zewnętrznego, takiego jak pgp / gpg, do szyfrowania wiadomości e-mail, aby Google nie mógł ich odczytać.

SacRyan
źródło
więc SSL szyfrowałby zarówno dane HTTP wysłane przez moje połączenie, jak i dane SMTP?
Tony Stark,
@hatorade, SSL szyfruje tylko ruch między Twoją przeglądarką a serwerem WWW Gmaila. Odtąd nie możesz wiedzieć, czy coś jest zaszyfrowane, czy nie.
gustafc
@sacryan Miałem zamiar użyć FireGPG
Tony Stark,