GMail и SSL Encryption - сколько зашифровано

14

Странно сложно выяснить, как именно SSL работает с электронной почтой, по крайней мере, если я отвечу на мой конкретный вопрос - когда я подключаюсь к gmail с использованием SSL, я понимаю, что мое соединение защищено, и поэтому все данные зашифрованы между МОИМ КОМПЬЮТЕРОМ и СЕРВЕРОМ GMAIL. , Однако это все, что делает SSL? Например, когда я открываю электронную почту на моем компьютере, данные между Mountain View (или чем-то еще) и моим домом зашифрованы? Значит ли это, что если я отправлю электронное письмо своему другу, который также использует gmail с включенным SSL / защищенным gmail, то, если я отправлю электронное письмо также с вложением в его учетную запись gmail, электронная почта и вложение будут зашифрованы на моем компьютере и отправлены в GMail сервер, и затем, если мой друг использует SSL, тогда он может также защитить электронную почту? Таким образом, нет необходимости в этих аддонах шифрования Firefox? Это только для более надежных алгоритмов шифрования?

Итак, в заключение, вот то, что я думаю, я узнал (и предоставляет резюме для других читающих). ПОЖАЛУЙСТА, ПРАВИЛИ МЕНЯ, ЕСЛИ Я НЕПРАВИЛЬНО:

  1. Gmail отправляет электронные письма на серверы Google с HTTP. Gmail также получает электронную почту с серверов Google с HTTP. когда вы подключаетесь к серверам Google по протоколу https (в отличие от http), соединение между вашим клиентом Gmail и серверами Gmail является безопасным, а данные шифруются между ними.

  2. при использовании клиента (например, Thunderbird) SMTP используется для отправки электронной почты, а IMAP / POP - для получения электронной почты. На уровне надстройки / параметров вы можете указать этим клиентам использовать TLC для шагов SMTP и IMAP / POP.

  3. Серверы Google, вероятно, не используют TLS с SMTP при пересылке писем между своими серверами.

  4. Вывод - если вы используете gmail, всегда используйте HTTPS, но знайте, что между серверами Google нет шифрования, но во «внешнем мире» соединение между клиентами Google (при условии использования https) является безопасным. если вы используете Thunderbird (или что-то еще), включите TLS.

Это верно?

gmail encryption ssl Тони Старк
источник

Ответы:

13

Когда вы доверяете сертификату с сайта, зашифрованного с помощью SSL, вы можете:

  • Поверьте, что соединение с этим веб-сервером зашифровано.
  • Поверьте, что идентификационные данные этого веб-сервера верны (то есть это не фишинговая афера).
  • Поверьте, что кто-то не перехватывает ваш трафик на веб-сервере (человек посередине).

(здесь важно, конечно, то, что вы доверяете сертификату, предоставленному почтовым сервером Google, что вам обычно следует :-))

Данные, которые вы отправляете в форме при составлении электронного письма, будут зашифрованы по протоколу HTTPS, так как они передаются из браузера клиента на сервер Gmail, который передает их на сервер SMTP. Когда вы отображаете почту в своем браузере с сервера, это также зашифровано.

Однако SMTP не шифрует почту. Существуют способы использовать TLS (безопасность транспортного уровня) поверх IMAP и POP для шифрования данных аутентификации от пользователя / клиента к серверу. Когда вы соединяетесь через IMAP / POP с TLS, данные, которые вы получаете при получении почты, шифруются с сервера для вас. IMAP и POP являются только протоколами поиска. Когда вы используете внешний клиент, такой как Thunderbird, для отправки почты, он будет проходить через SMTP-сервер. Это также может быть зашифровано с использованием SASL / TLS с SMTP, но опять-таки это только от вашего клиента к серверу, а не от сервера до конечного пункта назначения.

Если вы хотите отправлять и получать зашифрованные сообщения электронной почты от начала до конца, независимо от того, где они находятся в сети, вам нужно найти решение, подобное PGP / GPG. Для получения дополнительной информации об этом см. Вопрос, который я задал . Веб-интерфейс Gmail не поддерживает использование PGP / GPG, поэтому вам необходимо настроить его с помощью внешнего почтового клиента, такого как Thunderbird , Mail.app или Outlook (или других).

Что касается электронной почты, которую вы отправляете из своей учетной записи Gmail в учетную запись друга Gmail, она отправляется внутри внутренней почтовой инфраструктуры Google. Это может иметь один или несколько переходов между серверами, но обычно остается в их частной (10.xxx) сети. Вы можете убедиться в этом, посмотрев заголовки письма, отправленного вашим другом. В сообщении электронной почты в веб-сайте Gmail нажмите кнопку с раскрывающимся списком рядом с надписью «Ответить» и нажмите «Показать оригинал». Вы ищете строки, начинающиеся с «Received:», например:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Это сообщение Gmail для Gmail, которое я имею. Первое (последнее) сообщение здесь указывает, что почтовый сервер 10.90.68.11 получил рассматриваемое сообщение от HTTP-соединения (webui). Затем почта отправлялась через SMTP до 10.90.100.20, затем через SMTP до 10.215.12.12, где она мне доставлялась.

Опять же, хотя это все внутреннее для сети Google, SMTP не следует рассматривать как безопасный протокол для отправки конфиденциальной информации. Любой, кто имеет доступ к системам в цепочке выше, потенциально может прочитать сообщение. Также обратите внимание, что Google Apps могут проходить через систему шлюзов в своей сети, которая имеет внешний адрес (однако, все еще принадлежит Google).

jtimberman
источник
Я добавлю одно предостережение, что SSL предотвратит фишинг-мошенника в середине, но не гарантирует, что фишинг-атака с одинаковыми именами будет предотвращена.
EBGreen
поэтому, если я это понимаю, SSL обеспечивает безопасное соединение HTTP (следовательно, https), но электронная почта не отправляется через HTTP, она отправляется через SMTP, а ТО не шифруется SSL?
Тони Старк
1
поэтому SMTP может не быть безопасным протоколом, но когда SSL настроен, он также охватывает SMTP? А IMAP и POP не будут покрываться / шифроваться SSL?
Тони Старк
@hatorade Я уточнил в предложении после пуль и подробно остановился на них.
jtimberman
@hatorade Я также разъяснил про imap / pop. Надеюсь, этот ответ поможет, хороший вопрос!
jtimberman
7

Ваши данные не защищены.

Люди всегда беспокоятся о данных в пути, но основной факт заключается в том, что хранение данных является основной точкой, где происходят атаки. Например, кредитные карты обычно крадут из файлов и баз данных номеров, а не из транспорта номеров.

Google хранит ваши данные. Хранилище не зашифровано. Люди в Google или те, кто идет на компромисс с Google, могут однажды прочитать его, если им это действительно нужно. Получатель почты может также прочитать его, и владелец почтового сервера получателя (интернет-провайдер или компания) также может. Если получатель использует обычный почтовый клиент, он хранится на его / ее компьютере. Это место, куда могут попасть любые шпионские программы или руткиты, которые установил получатель.

В пути Джимберман прав. Ваш браузер общается с Google, если вы верите, что устройством, которое отправило вам сертификат, является Google, и что Verisign или кто-либо еще является надежной компанией, которая сообщает вам, что Google действительно отправил вам сертификат Google. Пока браузер общается с Google с помощью сертификата через https, передача зашифрована. Это хорошо, потому что это означает, что все другие компьютеры в вашей сети с возможными шпионскими программами или любопытными пользователями, а также сетевой администратор не могут прочитать, сколько вы жалуетесь на них каждый день.

Вы также должны доверять своему браузеру и всем его плагинам. Они могут просто прочитать, что находится в формах, прежде чем вы даже отправили это. Как правило, вы можете доверять этому, но не тем любопытным панелям инструментов, которые все просят вас установить вместе со всеми этими бесплатными программами, которые вы загружаете.

Но в целом, скажем, вы отправили кому-то электронное письмо, в котором содержались ваш налоговый идентификатор, дата рождения, текущий адрес и юридическое имя, что, возможно, нужно знать работодателю, вы можете подумать, что это конфиденциальная информация. Хорошо, что электронная почта хранится навсегда Google в области отправленной почты. Даже после того, как вы удалите его. И получатель собирается сохранить копию в своем почтовом ящике. Почтовый сервер получателя может хранить копию. Почтовый сервер домена почтового сервера получателя может хранить копию, но ненадолго. И еще несколько серверов между ними. ТАКЖЕ smtp отправляет почту между этими довольно незашифрованными, но что более страшно, что вредоносная программа какого-то преступника может прослушивать нужную сеть в нужное время, чтобы перехватить данные в пути, или что какой-то другой преступник '

dlamblin
источник
3

SSL-шифрование GMAIL защищает только ваши данные в пути. Таким образом, в вашем примере сообщения электронной почты, отправляемого от вас в Gmail, а затем из Gmail в адрес вашего друга, все передачи будут зашифрованы, однако данные покоятся на серверах Gmail (копия отправленных элементов и скопируйте в папку «Входящие» ваших друзей) все это будет читаемыми данными. Если вы доверяете Google, чтобы сохранить ваши данные в безопасности, то все в порядке.

О каких дополнениях Firefox вы думаете?

jtimberman прав, что вам потребуется сторонняя программа, такая как pgp / gpg, для шифрования ваших почтовых сообщений, чтобы Google не мог их прочитать.

SacRyan
источник
поэтому SSL будет шифровать как HTTP-данные, передаваемые по моему соединению, так и SMTP-данные?
Тони Старк
@hatorade, SSL только шифрует трафик между вашим браузером и веб-сервером GMail. С этого момента вы не можете знать, зашифровано ли что-нибудь или нет.
gustafc
@sacryan Я собирался использовать FireGPG
Тони Старк