Crittografia GMail e SSL: quanto è crittografato

14

È stranamente difficile scoprire esattamente come funziona SSL con la posta elettronica, almeno nella misura in cui risponde alla mia domanda specifica: quando mi connetto a Gmail tramite SSL, capisco che il mio connesso è sicuro e quindi i dati sono tutti crittografati tra MY COMPUTER e GMAIL SERVER . Tuttavia, tutto ciò è SSL? Ad esempio, quando apro un'email sul mio computer, i dati tra Mountain View (o qualsiasi altra cosa) e la mia casa vengono crittografati? Ciò significherebbe quindi se invio un'e-mail al mio amico che utilizza anche gmail con SSL / gmail sicuro abilitato, quindi se invio un'e-mail anche con un allegato al suo account Gmail, l'e-mail e l'allegato vengono crittografati sul mio computer, inviati a GMail server, e poi a condizione che il mio amico usi SSL, allora può anche acquisire la sicurezza della posta elettronica? Quindi non è necessario per quegli addon di crittografia di Firefox? Quelli sono solo per algoritmi di crittografia più robusti?

Quindi, in sintesi, ecco cosa penso di aver imparato (e fornisce un riepilogo per la lettura di altri). PERFAVORE, CORREGGIMI SE SBAGLIO:

  1. gmail invia e-mail ai server di Google con HTTP. gmail recupera anche e-mail dai server di Google con HTTP. quando ti connetti ai server di Google utilizzando https (al contrario di http), la connessione tra il tuo client Gmail e i server Gmail è sicura e i dati vengono crittografati andando avanti e indietro tra i due.

  2. quando si utilizza un client (ad esempio thunderbird) viene utilizzato SMTP per inviare e-mail e IMAP / POP vengono utilizzati per recuperare e-mail. A livello di componente aggiuntivo / opzioni, è possibile indicare a questi client di utilizzare TLC per entrambi i passaggi SMTP e IMAP / POP.

  3. I server di Google probabilmente non usano TLS con SMTP quando rimbalzano e-mail avanti e indietro tra i loro server.

  4. Conclusione: se si utilizza Gmail, utilizzare sempre HTTPS, ma sapere che non esiste alcuna crittografia tra i server di Google, ma nel "mondo esterno" la connessione tra i client di Google (purché si usi https) è sicura. se si utilizza thunderbird (o qualcos'altro), attivare TLS.

È corretto?

gmail  encryption  ssl 
Tony Stark
fonte

Risposte:

13

Quando ti fidi del certificato dal sito crittografato con SSL, puoi:

  • Fidati del fatto che la connessione a quel server Web è crittografata.
  • Fidati del fatto che l'identità di quel server web sia corretta (ovvero non è una truffa di phishing).
  • Fidati del fatto che qualcuno non sta intercettando il tuo traffico verso il web server (man in the middle).

(la cosa importante qui, ovviamente, è che ti fidi del certificato presentato dal server di posta di Google, che generalmente dovresti :-))

I dati inviati in un modulo durante la composizione di un'e-mail verranno crittografati tramite HTTPS mentre viaggiano dal browser del client al server Gmail che li passerà al server SMTP. Quando visualizzi la posta nel tuo browser dal server, anche questa viene crittografata.

SMTP, tuttavia, non crittografa la posta. Esistono modi per utilizzare TLS (sicurezza del livello di trasporto) su IMAP e POP per crittografare i dati di autenticazione dall'utente / client sul server. Quando ti connetti tramite IMAP / POP con TLS, i dati che ricevi durante il recupero della posta vengono crittografati dal server. IMAP e POP sono solo protocolli di recupero. Quando si utilizza un client esterno come Thunderbird per inviare posta, passerà attraverso un server SMTP. Questo può essere crittografato anche usando SASL / TLS con SMTP, ma ancora una volta è solo dal tuo client al server e non dal server alla sua destinazione finale.

Se si desidera inviare e ricevere e-mail crittografate end-to-end, indipendentemente da dove si trovi sulla rete, è necessario cercare una soluzione come PGP / GPG. Per ulteriori informazioni su questo, vedere la domanda che ho posto . Il webui di Gmail non supporta l'utilizzo di PGP / GPG, quindi dovrai configurarlo con un client di posta esterno come Thunderbird , Mail.app o Outlook (o altri).

Per quanto riguarda la posta elettronica che invii dal tuo account Gmail all'account Gmail di un amico, viene inviata all'interno dell'infrastruttura di posta interna di Google. Questo può avere uno o più hop tra i server, ma di solito rimane all'interno della loro rete privata (10.xxx). Puoi verificarlo guardando le intestazioni dell'email che il tuo amico invia. Dall'e-mail nel webui di Gmail, premi il pulsante a discesa accanto a "Rispondi" e fai clic su "Mostra originale". Stai cercando le righe che iniziano con "Ricevuto:", come queste:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Questo è un messaggio da Gmail a Gmail che ho. Il primo (ultimo) messaggio qui indica che il server di posta 10.90.68.11 ha ricevuto il messaggio in questione da una connessione HTTP (webui). Quindi la posta è andata via SMTP a 10.90.100.20, quindi SMTP a 10.215.12.12, dove mi è stata consegnata.

Ancora una volta, sebbene tutto ciò sia interno alla rete di Google, SMTP non dovrebbe essere considerato un protocollo sicuro per l'invio di informazioni riservate. Chiunque abbia accesso ai sistemi della catena sopra può potenzialmente leggere il messaggio. Inoltre, Google Apps può passare attraverso un sistema gateway sulla propria rete che ha un indirizzo esterno (comunque di proprietà di Google).

jtimberman
fonte
Aggiungerò un avvertimento che SSL impedirebbe a un uomo di truffa di phishing centrale, ma non è garantito per prevenire un attacco di phishing con un nome simile.
EBGreen
quindi se capisco questo, SSL fornisce una connessione HTTP sicura (quindi https), ma la posta elettronica non viene inviata su HTTP, viene inviata su SMTP e QUELLO non è crittografato da SSL?
Tony Stark,
1
quindi SMTP potrebbe non essere un protocollo sicuro, ma quando viene impostato SSL, copre anche SMTP? E IMAP e POP non sarebbero coperti / crittografati da SSL?
Tony Stark,
@hatorade ho chiarito nella frase dopo i proiettili, e ampliato su quelli.
jtimberman,
@hatorade Ho anche chiarito su imap / pop. Spero che questa risposta aiuti, bella domanda!
jtimberman,
7

I tuoi dati non sono al sicuro.

Le persone sono sempre preoccupate per i dati in transito, ma il fatto fondamentale è che l'archiviazione dei dati è il punto principale in cui si verificano gli attacchi. Le carte di credito EG vengono generalmente rubate da file e database di numeri e non dal trasporto dei numeri.

Google memorizza i tuoi dati. La memoria non è crittografata. Le persone di Google o coloro che compromettono Google un giorno possono leggerlo, se lo fanno davvero. Anche il destinatario della posta può leggerlo, e anche il proprietario del server di posta del destinatario (ISP o società). Se il destinatario utilizza un normale client di posta, viene archiviato sul suo computer. Qui è dove qualsiasi spyware o rootkit installato dal destinatario potrebbe accedervi.

In transito, Jtimberman ha ragione. Il tuo browser sta parlando a Google, se ritieni che la macchina che ti ha inviato il certificato sia Google e che Verisign o chiunque sia un'azienda affidabile che ti dica che Google ti ha effettivamente inviato il certificato di Google. Mentre il browser comunica a Google con il certificato su https, la trasmissione è crittografata. Questo è carino, perché significa che tutti gli altri PC della tua rete con possibili spyware o utenti ficcanaso e l'amministratore di rete, non possono leggere quanto ti lamenti ogni giorno.

Devi anche fidarti del tuo browser e di tutti i suoi plug-in. Praticamente possono semplicemente leggere cosa c'è nei moduli prima ancora di inviarlo. In genere puoi fidarti, ma non quelle barre degli strumenti ficcanaso che tutti ti chiedono di installare insieme a tutti quei programmi gratuiti che scarichi.

Ma nel complesso, supponiamo che tu abbia inviato a qualcuno un'email e contenga il tuo ID fiscale, la data di nascita, l'indirizzo attuale e il nome legale, qualcosa che un datore di lavoro potrebbe aver bisogno di conoscere, che considereresti informazioni sensibili. Bene quell'e-mail è memorizzata per sempre da Google nell'area della posta inviata. Anche dopo averlo eliminato. E il destinatario memorizzerà una copia nella sua posta in arrivo. Il server di posta del destinatario potrebbe archiviare una copia. Il server di posta del dominio del server di posta del destinatario potrebbe archiviarne una copia, ma non per molto. E un numero di più server in mezzo. Inoltre, smtp invia posta tra questi abbastanza non crittografati, ma ciò che è più spaventoso è che il programma dannoso di alcuni criminali potrebbe ascoltare la rete giusta al momento giusto per catturare i dati in transito o che altri criminali "

dlamblin
fonte
3

La crittografia SSL di GMAIL protegge solo i tuoi dati in transito. Quindi nel tuo esempio del tuo messaggio di posta elettronica che va da te a Gmail e quindi da Gmail al tuo amico, tutte le trasmissioni sarebbero crittografate, tuttavia, i dati a riposo sui server di Gmail (una copia degli articoli inviati e un copia nella casella dei tuoi amici) sarebbero tutti dati leggibili. Se ti fidi di Google per proteggere i tuoi dati, allora stai bene.

A quale componente aggiuntivo di Firefox stai pensando?

jtimberman ha ragione sul fatto che avresti bisogno di un programma di terze parti come pgp / gpg per crittografare i tuoi messaggi di posta in modo che Google non potesse leggerli.

SacRyan
fonte
quindi SSL crittograferebbe sia i dati HTTP inviati tramite la mia connessione sia i dati SMTP?
Tony Stark,
@hatorade, SSL crittografa solo il traffico tra il tuo browser e il web server GMail. Da lì in poi, non puoi sapere se qualcosa è crittografato o meno.
gustafc,
@sacryan Stavo per usare FireGPG
Tony Stark il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.