Шифрування GMail та SSL - скільки зашифровано

Дивно важко дізнатись, як саме SSL працює з електронною поштою, принаймні настільки, наскільки я відповідаю на моє конкретне запитання - коли я підключаюся до gmail за допомогою SSL, я розумію, що моє підключення захищено, і тому всі дані зашифровані між МОЇМИ КОМП'ЮТЕРОМ та СЕРВЕРОМ GMAIL . Однак це все SSL? Наприклад, коли я відкриваю електронний лист на своєму комп’ютері, дані між Mountain View (чи будь-яким іншим) та моїм будинком шифруються? Це означатиме це тоді, якщо я надішлю електронного листа своєму другові, який також використовує gmail із включеною SSL / захищеною Gmail, тоді, якщо я надішлю електронний лист також із вкладенням до його облікового запису gmail, цей електронний лист, а також додаток шифруються на моєму комп’ютері, надсилаються на GMail сервер, а потім за умови, що мій друг використовує SSL, тоді він може також отримати електронну пошту? Тож немає необхідності в цих додатках для шифрування Firefox? Це лише для більш надійних алгоритмів шифрування?

Отже, підводячи підсумок, ось що я думаю, що я дізнався (і надає резюме для інших, хто читає). ЗАБУДУЙТЕ ПРАВИЛЬНО МЕНЕ, ЯКЩО Я БУДУ НЕПРАВИЛЬНО:

1. gmail надсилає електронні листи на сервери google за допомогою HTTP. gmail також отримує електронні листи з google-серверів із HTTP. коли ви підключаєтесь до google-серверів за допомогою https (на відміну від http), то зв’язок між вашим клієнтом gmail та серверами gmail є безпечним, а дані шифруються вперед та назад між ними.

2. при використанні клієнта (наприклад, громовідвід) SMTP використовується для надсилання електронних листів, а IMAP / POP використовується для отримання електронних листів. На рівні додатків / параметрів ви можете сказати цим клієнтам використовувати TLC як для кроків SMTP, так і для IMAP / POP.

3. Сервери google, ймовірно, не використовують TLS з SMTP під час переходу електронних листів на свої сервери.

4. Висновок - якщо ви використовуєте gmail, завжди використовуйте HTTPS, але знайте, що між серверами google немає шифрування, але у "зовнішньому світі" зв'язок між клієнтами google (якщо використовується https) є безпечним. якщо ви використовуєте thunderbird (або щось інше), увімкніть TLS.

Це правильно?

Якщо ви довіряєте сертифікату з сайту, зашифрованого SSL, ви можете:

• Довіряйте, що з'єднання з цим веб-сервером зашифровано.
• Довіряйте, що особистість цього веб-сервера правильна (тобто його не фішинг афера).
• Довіряйте, що хтось не перехоплює ваш трафік на веб-сервері (людина посередині).

(Звичайно, тут важливо, що ви довіряєте сертифікату, наданому поштовим сервером Google, який, як правило, слід :-))

Дані, які ви подаєте у формі під час створення електронної пошти, будуть зашифровані через HTTPS, коли вони проходять від вашого клієнтського браузера до сервера Gmail, який передасть їх на SMTP-сервер. Коли ви показуєте пошту у своєму браузері з сервера, це також шифрується.

Однак SMTP не шифрує пошту. Існують способи використання TLS (захист транспортного рівня) через IMAP та POP для шифрування даних аутентифікації від користувача / клієнта до сервера. Коли ви підключаєтесь через IMAP / POP з TLS, дані, які ви отримуєте при завантаженні пошти, шифруються з сервера до вас. IMAP та POP - це лише протоколи пошуку. Якщо ви використовуєте зовнішній клієнт, наприклад Thunderbird, для надсилання пошти, він пройде через SMTP-сервер. Це також можна зашифрувати, використовуючи SASL / TLS з SMTP, але знову ж таки це лише від вашого клієнта до сервера, а не від сервера до його кінцевого пункту призначення.

Якщо ви хочете надсилати та отримувати зашифровані повідомлення електронною поштою до кінця, незалежно від того, куди він надходить у мережу, вам потрібно вивчити таке рішення, як PGP / GPG. Для отримання додаткової інформації про це, дивіться питання, яке я задав . Веб-сайти Gmail не підтримують використання PGP / GPG, тому вам потрібно встановити це із зовнішнім поштовим клієнтом, таким як Thunderbird , Mail.app або Outlook (або іншими).

Що стосується електронної пошти, яку ви надсилаєте зі свого облікового запису Gmail на обліковий запис Gmail свого друга, він надсилається навколо внутрішньої поштової інфраструктури Google. Це може мати один або більше стрибків між серверами, але зазвичай залишається в їх приватній (10.xxx) мережі. Ви можете перевірити це, переглянувши заголовки електронної пошти, яку надсилає ваш друг. З електронної пошти в Веб-службі Gmail натисніть кнопку, що випадає, поруч із пунктом "Відповісти" та натисніть "Показати оригінал". Ви шукаєте рядки, які починаються з "Отримано:", як-от такі:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Це повідомлення в Gmail до Gmail. Перше (останнє) повідомлення тут вказує на те, що поштовий сервер 10.90.68.11 отримав відповідне повідомлення від HTTP-з'єднання (webui). Потім пошта перейшла через SMTP до 10.90.100.20, потім SMTP до 10.215.12.12, де вона була доставлена ​​мені.

Знову ж таки, хоча це все є внутрішньою мережею Google, SMTP не слід вважати захищеним протоколом для надсилання конфіденційної інформації. Кожен, хто має доступ до систем у ланцюжку вище, може потенційно прочитати повідомлення. Також зауважте, що Google Apps може пройти через систему шлюзів у їхній мережі, яка має зовнішню адресу (хоча все ще належить Google).

Ваші дані не захищені.

Люди завжди переживають за дані в дорозі, але основний факт полягає в тому, що зберігання даних є головним пунктом, де відбуваються напади. Кредитні картки EG, як правило, викрадаються з файлів і баз даних чисел, а не з транспортування номерів.

Google зберігає ваші дані. Зберігання не шифрується. Люди в Google або ті, хто компромісує з Google, можуть одного разу прочитати його, якщо вони насправді дбають про це. Одержувач пошти також може її прочитати, і власник поштового сервера одержувача (ISP або компанія) також може. Якщо одержувач використовує звичайний поштовий клієнт, він зберігається на його машині. Тут можуть потрапити будь-які шпигунські програми або руткіти, встановлені одержувачем.

У транзиті джитмберман має рацію. Ваш веб-переглядач розмовляє з Google, якщо ви довіряєте, що машина, яка надіслала вам сертифікат, - це Google, а Verisign або хто - хто є надійною компанією, яка повідомляє вам, що Google насправді надіслав вам сертифікат Google. Поки браузер розмовляє з Google із сертифікатом через https, передача шифрується. Це приємно, адже це означає, що всі інші ПК у вашій мережі з можливими шпигунськими програмами чи носіями користувачів, а також адміністратор мережі, не можуть прочитати, скільки ви скаржитеся на них щодня.

Ви також повинні довіряти своєму браузеру, І все це плагіни. Вони в основному можуть просто прочитати те, що є у формах, перш ніж ви навіть надіслали його. Як правило, ви можете йому довіряти, але не в тих, що носять панелі інструментів, кожен просить вас встановити поряд з усіма тими безкоштовними програмами, які ви завантажуєте.

Але загалом, скажімо, ви надіслали комусь електронний лист, і він містив ваш ідентифікаційний номер податкової картки, дату народження, поточну адресу та юридичне ім’я, те, що, можливо, повинен знати роботодавець, ви вважаєте це чутливою інформацією. Добре, що електронну пошту назавжди зберігає Google у зоні надісланої пошти. Навіть після видалення. І одержувач збирається зберігати копію у своїй папці "Вхідні". Поштовий сервер одержувача може зберігати копію. Поштовий сервер домену поштового сервера одержувача може зберігати копію, але ненадовго. І ще ряд серверів між ними. ТАКОЖ smtp надсилає пошту між цими цілком незашифрованими, але що страшніше, щоб зловмисна програма якогось злочинця могла слухати потрібну мережу в потрібний час, щоб перехопити дані в дорозі, або що інший злочинець "

SSL-шифрування GMAIL захищає ваші дані лише в дорозі. Отже, у вашому прикладі повідомлення електронної пошти від вас до gmail, а потім від gmail до вашого друга, всі передачі будуть зашифровані, однак, дані в спокої на серверах gmail (копія у відправлених вами елементах та скопіюйте у папку "Вхідні" ваших друзів) - це всі дані, які можна прочитати Якщо ви довіряєте google захищати свої дані, тоді ви все в порядку.

Про які додатки для Firefox ви думаєте?

jtimberman має рацію, що для шифрування ваших поштових повідомлень вам потрібна програма сторонньої програми, наприклад pgp / gpg, щоб Google не міг їх прочитати.