GMail e SSL Encryption - quanto é criptografado

Navegue suas respostas
15

É estranhamente difícil descobrir exatamente como o SSL funciona com e-mail, pelo menos na resposta à minha pergunta específica - quando me conecto ao Gmail usando SSL, entendo que meu conectado é seguro e, portanto, todos os dados são criptografados entre Meu computador e o GMAIL SERVER. No entanto, isso é tudo que o SSL faz? Por exemplo, quando eu abro um e-mail no meu computador, os dados entre Mountain View (ou qualquer outro) e minha casa são criptografados? Isso significa que, se eu enviar um e-mail ao meu amigo que também usa o gmail com SSL / secure gmail ativado, se eu enviar um e-mail com um anexo à conta do gmail, esse e-mail e o anexo serão criptografados no meu computador, enviados ao Gmail servidor, e, em seguida, desde que meu amigo usa SSL, então ele também pode adquirir o email? Portanto, não há necessidade desses addons de criptografia do firefox? São apenas para algoritmos de criptografia mais robustos?

Então, em resumo, aqui está o que eu acho que aprendi (e fornece um resumo para outras pessoas lendo). POR FAVOR, CORRECTE-ME SE ESTOU ERRADO:

  1. O Gmail envia e-mails para os servidores do Google com HTTP. O Gmail também recupera e-mails de servidores do Google com HTTP. Quando você se conecta aos servidores do Google usando https (em vez de http), a conexão entre o seu cliente do Gmail e os servidores do Gmail é segura e os dados são criptografados entre os dois.

  2. ao usar um cliente (o thunderbird, por exemplo), o SMTP é usado para enviar e-mails e o IMAP / POP é usado para recuperar e-mails. No nível add-on / options, você pode dizer a esses clientes para usar o TLC para as etapas SMTP e IMAP / POP.

  3. Os servidores do Google provavelmente não usam TLS com SMTP ao enviar e-mails entre seus servidores.

  4. Conclusão - se estiver usando o gmail, sempre use HTTPS, mas saiba que não há criptografia entre os servidores do google, mas no 'mundo externo' a conexão entre os clientes google (desde que usando https) é segura. Se estiver usando o Thunderbird (ou qualquer outra coisa), ative o TLS.

Isso está correto?

    
por Tony Stark 19.08.2009 / 16:06

3 respostas

14

Quando você confia no certificado do site criptografado com SSL, é possível:

  • Confie que a conexão com esse servidor da web está criptografada.
  • Confie que a identidade desse servidor da Web está correta (ou seja, não é uma tentativa de phishing).
  • Confie que alguém não está interceptando seu tráfego para o servidor da Web (o homem no meio).

(o importante aqui, é claro, é que você confie no certificado apresentado pelo servidor de e-mail do Google, que geralmente você deve: -))

Os dados que você enviar em um formulário ao compor um e-mail serão criptografados por meio de HTTPS, à medida que eles forem enviados do navegador do cliente para o servidor do Gmail, que será transmitido para o servidor SMTP. Quando você exibe mensagens no seu navegador do servidor, elas também são criptografadas.

O SMTP não criptografa mensagens, no entanto. Existem maneiras de usar o TLS (segurança da camada de transporte) em IMAP e POP para criptografar os dados de autenticação do usuário / cliente para o servidor. Quando você se conecta via IMAP / POP com TLS, os dados recebidos ao recuperar mensagens são criptografados do servidor para você. IMAP e POP são apenas protocolos de recuperação. Quando você usa um cliente externo, como o Thunderbird, para enviar mensagens, ele passa por um servidor SMTP. Isso também pode ser criptografado usando SASL / TLS com SMTP, mas, novamente, isso é apenas do cliente para o servidor e não do servidor para o destino final.

Se você deseja enviar e receber e-mails criptografados de ponta a ponta, não importa onde ele vá para a rede, é necessário analisar uma solução como PGP / GPG. Para obter mais informações sobre isso, consulte a pergunta I perguntou . O webui do Gmail não suporta o uso de PGP / GPG, então você precisa configurá-lo com um cliente de e-mail externo, como Thunderbird , Mail.app ou Outlook (ou outros).

No que diz respeito aos e-mails que você envia da sua conta do Gmail para a conta do Gmail de um amigo, ele é enviado dentro da infraestrutura de e-mail interna do Google. Isso pode ter um ou mais saltos entre servidores, mas geralmente fica dentro de sua rede privada (10.x.x.x). Você pode verificar isso observando os cabeçalhos do e-mail que seu amigo envia. A partir do e-mail no webui do Gmail, clique no botão suspenso ao lado de "Responder" e clique em "Mostrar original". Você está procurando por linhas que começam com "Received:", como estas: 

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Esta é uma mensagem do Gmail para o Gmail que tenho. A primeira (última) mensagem aqui indica que o servidor de correio 10.90.68.11 recebeu a mensagem em questão de uma conexão HTTP (webui). Então o e-mail foi enviado via SMTP para 10.90.100.20, depois o SMTP para 10.215.12.12, onde foi entregue para mim.

Novamente, embora isso seja tudo interno à rede do Google, o SMTP não deve ser considerado um protocolo seguro para o envio de informações confidenciais. Qualquer pessoa que tenha acesso aos sistemas na cadeia acima pode potencialmente ler a mensagem. Observe também que o Google Apps pode passar por um sistema de gateway em sua rede que tem um endereço externo (ainda pertencente ao Google, no entanto).

    
por 19.08.2009 / 16:12
8

Seus dados não são seguros.

As pessoas estão sempre preocupadas com os dados em trânsito, mas o fato básico é que o armazenamento de dados é o ponto principal de onde os ataques acontecem. POR EXEMPLO. Cartões de crédito geralmente são roubados de arquivos e bancos de dados de números, e não do transporte dos números.

O Google armazena seus dados. O armazenamento não está criptografado. As pessoas no Google, ou aqueles que comprometem o Google, podem um dia ler, se realmente quiserem. O destinatário do email também pode lê-lo e o proprietário do servidor de email do destinatário (ISP ou empresa) também pode. Se o destinatário estiver usando um cliente de email comum, ele será armazenado em sua máquina. Este é o local onde qualquer spyware ou rootkits que o destinatário tenha instalado poderia chegar a ele.

Em trânsito, jtimberman está certo. Seu navegador está conversando com o Google, se você acredita que a máquina que enviou o certificado é o Google, e que a Verisign ou qualquer outra pessoa que seja uma empresa confiável informa que o Google realmente enviou o certificado do Google. Enquanto o navegador conversa com o certificado do Google por meio de https, a transmissão é criptografada. Isso é bom, porque significa que todos os outros PCs em sua rede com possíveis spywares ou usuários intrometidos, e o administrador da rede, não podem ler o quanto você reclama deles todos os dias.

Você também precisa confiar no seu navegador e em todos os plug-ins. Eles podem praticamente ler o que há nos formulários antes mesmo de enviá-lo. Geralmente você pode confiar nele, mas não nas barras de ferramentas intrometidas que todos estão pedindo para você instalar junto com todos os programas gratuitos que você baixar.

Mas no geral, digamos que você enviou um e-mail para alguém e ele continha seu ID fiscal, data de nascimento, endereço atual e nome legal, algo que um empregador talvez precise saber, você consideraria isso como informações confidenciais. Bem, esse e-mail é armazenado para sempre pelo Google na área de envio de e-mails. Mesmo depois de deletar. E o destinatário vai armazenar uma cópia em sua caixa de entrada. O servidor de email do destinatário pode estar armazenando uma cópia. O servidor de correio do domínio do servidor de correio do destinatário pode estar armazenando uma cópia, mas não por muito tempo. E um número de servidores mais no meio. TAMBÉM o smtp envia e-mails entre estes bastante descriptografados, mas o mais assustador é que o programa malicioso de algum criminoso possa estar ouvindo a rede certa no momento certo para capturar os dados em trânsito, ou que algum programa malicioso de outro criminoso possa ser instalado em qualquer das máquinas que agora contêm uma cópia, localizam essa cópia e enviam os dados para a organização do criminoso?

    
por 19.08.2009 / 21:35
3

A criptografia SSL do GMAIL protege apenas seus dados em trânsito. Assim, no seu exemplo de sua mensagem de e-mail indo do gmail para o gmail e para o seu amigo, todas as transmissões seriam criptografadas, no entanto, os dados em repouso nos servidores do gmail (uma cópia em seus itens enviados e um copiar na caixa de entrada dos seus amigos) seriam todos dados legíveis. Se você confia no google para manter seus dados seguros, então está tudo bem.

Qual dos complementos do firefox você está pensando?

jtimberman tem razão em precisar de um programa de terceiros como o pgp / gpg para criptografar suas mensagens de e-mail para que o Google não possa lê-las.

    
por 19.08.2009 / 16:17

Tags

Combine o poder de cálculo da GPU Altere as permissões de arquivo do Windows 7 no prompt de comando