GMail и SSL Encryption - сколько зашифровано

13068
Tony Stark

Странно сложно выяснить, как именно SSL работает с электронной почтой, по крайней мере, если я отвечу на мой конкретный вопрос - когда я подключаюсь к gmail с использованием SSL, я понимаю, что мое соединение защищено, и поэтому все данные зашифрованы между МОИМ КОМПЬЮТЕРОМ и СЕРВЕРОМ GMAIL., Однако это все, что делает SSL? Например, когда я открываю электронную почту на моем компьютере, данные между Mountain View (или чем-то еще) и моим домом зашифрованы? Значит ли это, что если я отправлю электронное письмо своему другу, который также использует gmail с включенным SSL / защищенным gmail, то если я отправлю электронное письмо также с вложением в его учетную запись gmail, то электронное письмо, а также вложение будут зашифрованы на моем компьютере и отправлены в GMail. сервер, и затем, если мой друг использует SSL, тогда он может также получить электронную почту? Таким образом, нет необходимости в этих аддонах шифрования Firefox? Это только для более надежных алгоритмов шифрования?

Итак, в заключение, вот то, что я думаю, что я узнал (и предоставляет резюме для других читающих). Пожалуйста, исправьте меня, если я ошибаюсь:

  1. Gmail отправляет электронные письма на серверы Google с HTTP. Gmail также получает электронную почту с серверов Google с HTTP. когда вы подключаетесь к серверам Google по протоколу https (в отличие от http), соединение между вашим клиентом Gmail и серверами Gmail является безопасным, а данные шифруются между ними.

  2. при использовании клиента (например, Thunderbird) SMTP используется для отправки электронных писем, а IMAP / POP - для получения электронных писем. На уровне надстройки / параметров вы можете указать этим клиентам использовать TLC для шагов SMTP и IMAP / POP.

  3. Серверы Google, вероятно, не используют TLS с SMTP при пересылке писем между своими серверами.

  4. Вывод - если вы используете gmail, всегда используйте HTTPS, но знайте, что между серверами Google нет шифрования, но во «внешнем мире» соединение между клиентами Google (при условии использования https) является безопасным. если вы используете Thunderbird (или что-то еще), включите TLS.

Это правильно?

15

3 ответа на вопрос

14
jtimberman

Когда вы доверяете сертификату с сайта, зашифрованного с помощью SSL, вы можете:

  • Поверьте, что соединение с этим веб-сервером зашифровано.
  • Поверьте, что идентификационные данные этого веб-сервера верны (т.е. это не фишинг-мошенничество).
  • Поверьте, что кто-то не перехватывает ваш трафик на веб-сервере (человек посередине).

(здесь важно, конечно, то, что вы доверяете сертификату, представленному почтовым сервером Google, что вам обычно и нужно :-))

Данные, которые вы отправляете в форме при составлении электронного письма, будут зашифрованы по протоколу HTTPS, поскольку они передаются из браузера клиента на сервер Gmail, который передает их на сервер SMTP. Когда вы отображаете почту в браузере с сервера, это также зашифровано.

Однако SMTP не шифрует почту. Существуют способы использовать TLS (безопасность транспортного уровня) поверх IMAP и POP для шифрования данных аутентификации от пользователя / клиента к серверу. Когда вы соединяетесь через IMAP / POP с TLS, данные, которые вы получаете при получении почты, шифруются с сервера для вас. IMAP и POP являются только протоколами поиска. Когда вы используете внешний клиент, такой как Thunderbird, для отправки почты, он будет проходить через SMTP-сервер. Это также может быть зашифровано с использованием SASL / TLS с SMTP, но опять-таки это только от вашего клиента к серверу, а не от сервера до конечного пункта назначения.

Если вы хотите отправлять и получать зашифрованные сообщения электронной почты от начала до конца, независимо от того, где они находятся в сети, вам нужно найти решение, подобное PGP / GPG. Для получения дополнительной информации об этом см. Вопрос, который я задал . Веб-интерфейс Gmail не поддерживает использование PGP / GPG, поэтому вам необходимо настроить его с помощью внешнего почтового клиента, такого как Thunderbird, Mail.app или Outlook (или других).

Что касается электронной почты, которую вы отправляете из своей учетной записи Gmail в учетную запись друга Gmail, она отправляется внутри внутренней почтовой инфраструктуры Google. Это может иметь один или несколько переходов между серверами, но обычно остается в их частной (10.xxx) сети. Вы можете убедиться в этом, посмотрев заголовки письма, отправленного вашим другом. Находясь в сообщении электронной почты на веб-сайте Gmail, нажмите кнопку раскрывающегося списка рядом с надписью «Ответить» и нажмите «Показать оригинал». Вы ищете строки, которые начинаются с "Received:", например:

Received: by 10.215.12.12 with SMTP id p12cs100615qai; Sun, 18 Jan 2009 15:04:17 -0800 (PST) Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088; Sun, 18 Jan 2009 15:04:17 -0800 (PST) Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Это сообщение Gmail для Gmail, которое я имею. Первое (последнее) сообщение здесь указывает, что почтовый сервер 10.90.68.11 получил рассматриваемое сообщение от HTTP-соединения (webui). Затем почта отправлялась по SMTP на 10.90.100.20, затем по SMTP на 10.215.12.12, где она мне доставлялась.

Опять же, хотя это все внутреннее для сети Google, SMTP не следует рассматривать как безопасный протокол для отправки конфиденциальной информации. Любой, кто имеет доступ к системам в цепочке выше, потенциально может прочитать сообщение. Также обратите внимание, что Google Apps могут проходить через систему шлюзов в своей сети, которая имеет внешний адрес (однако, все еще принадлежит Google).

Я добавлю одно предостережение, что SSL предотвратит фишинг-мошенника в середине, но не гарантирует, что фишинг-атака с одинаковыми именами будет предотвращена. EBGreen 14 лет назад 0
поэтому, если я это понимаю, SSL обеспечивает безопасное соединение HTTP (следовательно, https), но электронная почта не отправляется по HTTP, она отправляется по SMTP, и ТО не шифруется SSL? Tony Stark 14 лет назад 0
поэтому SMTP может не быть безопасным протоколом, но когда SSL настроен, он также охватывает SMTP? А IMAP и POP не будут покрываться / шифроваться SSL? Tony Stark 14 лет назад 1
@hatorade Я уточнил в предложении после пуль и подробно остановился на них. jtimberman 14 лет назад 0
@hatorade Я также разъяснил про imap / pop. Надеюсь, этот ответ поможет, хороший вопрос! jtimberman 14 лет назад 0
@jtimberman извините за настойчивость, но это действительно помогает мне понять, разбивая это на части. Когда я отправлял электронное письмо с помощью gmail с использованием https (и я только что узнал, что TLS - это также SSL), по какому протоколу отправляется электронная почта от моего компа в Google? HTTP всегда? Я читал в википедии клиенты могут использовать SMTP. Аналогично, при подключении к gmail через https, использование IMAP / POP для получения электронной почты также шифрует их. Таким образом, единственными пробелами в шифровании являются: - если я или мой друг в gmail не используют https - отправка электронной почты между внутренними почтовыми серверами Google через обычный SMTP Tony Stark 14 лет назад 0
@hatorade Да, когда вы используете интерфейс веб-почты, вы используете HTTP для отправки из вашего браузера на сервер Gmail. IMAP / POP - это протоколы, используемые почтовыми клиентами (например, Thunderbird / Outlook) для получения почты. Почта между внутренними почтовыми серверами Google осуществляется через SMTP (см. «С SMTP» в полученных строках). jtimberman 14 лет назад 0
8
dlamblin

Ваши данные не защищены.

Люди всегда беспокоятся о данных в пути, но основной факт заключается в том, что хранение данных является основной точкой, где происходят атаки. EG Кредитные карты обычно крадут из файлов и баз данных номеров, а не из транспорта номеров.

Google хранит ваши данные. Хранилище не зашифровано. Люди в Google или те, кто скомпрометировал Google, могут однажды прочитать его, если они на самом деле хотят. Получатель почты может также прочитать его, и владелец почтового сервера получателя (интернет-провайдер или компания) также может. Если получатель использует обычный почтовый клиент, он хранится на его / ее компьютере. Это место, куда могут попасть любые шпионские программы или руткиты, которые установил получатель.

В пути Джимберман прав. Ваш браузер общается с Google, если вы доверяете тому, что устройством, отправившим вам сертификат, является Google, и что Verisign или кто-либо еще является надежной компанией, которая сообщает вам, что Google действительно отправил вам сертификат Google. Пока браузер общается с Google с помощью сертификата через https, передача зашифрована. Это хорошо, потому что это означает, что все другие компьютеры в вашей сети с возможными шпионскими программами или любопытными пользователями, а также сетевой администратор не могут прочитать, сколько вы жалуетесь на них каждый день.

Вы также должны доверять своему браузеру и всем его плагинам. Они могут просто прочитать, что находится в формах, прежде чем вы даже отправили это. Как правило, вы можете доверять этому, но не тем любопытным панелям инструментов, которые все просят вас установить вместе со всеми этими бесплатными программами, которые вы загружаете.

Но в целом, скажем, вы отправили кому-то электронное письмо, в котором содержались ваш налоговый идентификатор, дата рождения, текущий адрес и юридическое имя, что, возможно, нужно знать работодателю, вы можете подумать об этом как о конфиденциальной информации. Хорошо, что электронная почта хранится навсегда Google в области отправленной почты. Даже после того, как вы удалите его. И получатель собирается сохранить копию в своем почтовом ящике. Почтовый сервер получателя может хранить копию. Почтовый сервер домена почтового сервера получателя может хранить копию, но ненадолго. И еще ряд серверов между ними. ТАКЖЕ smtp отправляет почту между этими довольно незашифрованными, но что более страшно, что вредоносная программа какого-то преступника может прослушивать нужную сеть в нужное время, чтобы перехватить данные в пути, или что какой-то другой преступник '

3
SacRyan

SSL-шифрование GMAIL защищает только ваши данные в пути. Таким образом, в вашем примере вашего сообщения электронной почты, отправляемого от вас в Gmail, а затем из Gmail в адрес вашего друга, все передачи будут зашифрованы, однако данные покоятся на серверах Gmail (копия отправленных элементов и скопируйте в папку «Входящие» ваших друзей) все это будет читабельная информация. Если вы доверяете Google, чтобы сохранить ваши данные в безопасности, то все в порядке.

О каких надстройках Firefox вы думаете?

jtimberman прав, что вам потребуется сторонняя программа, такая как pgp / gpg, для шифрования ваших почтовых сообщений, чтобы Google не мог их прочитать.

поэтому SSL будет шифровать как HTTP-данные, передаваемые по моему соединению, так и SMTP-данные? Tony Stark 14 лет назад 0
@hatorade, SSL только шифрует трафик между вашим браузером и веб-сервером GMail. С этого момента вы не можете знать, зашифровано ли что-нибудь или нет. gustafc 14 лет назад 0
@sacryan Я собирался использовать FireGPG Tony Stark 14 лет назад 0

Похожие вопросы