Mã hóa GMail và SSL - được mã hóa bao nhiêu

Thật khó để tìm ra chính xác cách SSL hoạt động với email, ít nhất là trong khi trả lời câu hỏi cụ thể của tôi - khi tôi kết nối với gmail bằng SSL, tôi hiểu rằng kết nối của tôi là an toàn và do đó dữ liệu được mã hóa giữa MY COMPUTER và GMAIL SERVER . Tuy nhiên, đó có phải là tất cả SSL không? Ví dụ: khi tôi mở email trên máy tính của mình, dữ liệu giữa Mountain View (hoặc bất cứ thứ gì) và nhà tôi được mã hóa? Điều đó có nghĩa là nếu tôi gửi email cho bạn của tôi, người cũng sử dụng gmail với SSL / gmail an toàn được bật, thì nếu tôi gửi email cũng có tệp đính kèm vào tài khoản gmail của anh ta thì email cũng như tệp đính kèm được mã hóa tại máy tính của tôi, được gửi đến GMail người phục vụ, và sau đó với điều kiện bạn tôi sử dụng SSL thì anh ta có thể bảo mật nhận email không? Vì vậy, không cần cho các addons mã hóa firefox? Là những người chỉ cho các thuật toán mã hóa mạnh mẽ hơn?

Vì vậy, tóm lại, đây là những gì tôi nghĩ rằng tôi đã học được (và cung cấp một bản tóm tắt cho người khác đọc). VUI LÒNG ĐÚNG TÔI NẾU TÔI SAI:

1. gmail gửi email đến máy chủ google bằng HTTP. gmail cũng lấy email từ máy chủ google bằng HTTP. khi bạn kết nối với máy chủ google bằng https (trái ngược với http) thì kết nối giữa máy khách gmail của bạn và máy chủ gmail được bảo mật và dữ liệu được mã hóa qua lại giữa hai máy.

2. khi sử dụng máy khách (ví dụ như thunderbird), SMTP được sử dụng để gửi email và IMAP / POP được sử dụng để truy xuất email. Ở cấp độ bổ trợ / tùy chọn, bạn có thể yêu cầu các khách hàng này sử dụng TLC cho cả các bước SMTP và IMAP / POP.

3. Các máy chủ google có thể không sử dụng TLS với SMTP khi gửi email qua lại giữa các máy chủ của họ.

4. Kết luận - nếu sử dụng gmail, luôn sử dụng HTTPS nhưng biết rằng không có mã hóa giữa các máy chủ của google, nhưng trong 'thế giới bên ngoài', kết nối giữa các máy khách google (miễn là sử dụng https) là an toàn. nếu sử dụng thunderbird (hoặc một cái gì đó khác) bật TLS.

Điều này có đúng không?

Khi bạn tin tưởng chứng chỉ từ trang web được mã hóa bằng SSL, bạn có thể:

• Tin tưởng rằng kết nối đến máy chủ web đó được mã hóa.
• Tin tưởng rằng danh tính của máy chủ web đó là chính xác (tức là lừa đảo không lừa đảo).
• Tin tưởng rằng ai đó sẽ không chặn lưu lượng truy cập của bạn đến máy chủ web (người đứng giữa).

(tất nhiên, điều quan trọng ở đây là bạn tin tưởng chứng chỉ được trình bày bởi máy chủ thư của Google, mà bạn thường nên :-))

Dữ liệu bạn gửi trong một biểu mẫu khi soạn email sẽ được mã hóa thông qua HTTPS khi nó đi từ trình duyệt máy khách của bạn đến máy chủ Gmail sẽ chuyển nó đến máy chủ SMTP. Khi bạn hiển thị thư trong trình duyệt của mình từ máy chủ, điều này cũng được mã hóa.

Tuy nhiên, SMTP không mã hóa thư. Có nhiều cách để sử dụng TLS (bảo mật lớp vận chuyển) qua IMAP và POP để mã hóa dữ liệu xác thực từ người dùng / máy khách đến máy chủ. Khi bạn kết nối qua IMAP / POP với TLS, dữ liệu bạn nhận được khi truy xuất thư sẽ được mã hóa từ máy chủ cho bạn. IMAP và POP chỉ là các giao thức truy xuất. Khi bạn sử dụng máy khách bên ngoài như Thunderbird để gửi thư, nó sẽ đi qua máy chủ SMTP. Điều này cũng có thể được mã hóa bằng cách sử dụng SASL / TLS với SMTP, nhưng một lần nữa, đó chỉ là từ máy khách của bạn đến máy chủ chứ không phải từ máy chủ đến đích cuối cùng.

Nếu bạn muốn gửi và nhận email được mã hóa từ đầu đến cuối, bất kể nó đi đâu trên mạng, thì bạn cần xem xét một giải pháp như PGP / GPG. Để biết thêm thông tin về điều này, xem câu hỏi tôi đã hỏi . Webui của Gmail không hỗ trợ sử dụng PGP / GPG, vì vậy bạn sẽ cần thiết lập ứng dụng đó với ứng dụng thư khách bên ngoài như Thunderbird , Mail.app hoặc Outlook (hoặc những người khác).

Theo như email bạn gửi từ tài khoản Gmail của bạn đến tài khoản Gmail của một người bạn, nó được gửi xung quanh bên trong cơ sở hạ tầng thư nội bộ của Google. Điều này có thể có một hoặc nhiều bước nhảy giữa các máy chủ, nhưng thường nằm trong mạng riêng (10.xxx) của chúng. Bạn có thể xác minh điều này bằng cách xem các tiêu đề của email mà bạn bè của bạn gửi. Từ email trong webui của Gmail, nhấn nút thả xuống bên cạnh "Trả lời" và nhấp vào "Hiển thị bản gốc". Bạn đang tìm kiếm các dòng bắt đầu bằng "Đã nhận:", như thế này:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Đây là một tin nhắn Gmail đến Gmail tôi có. Thông báo đầu tiên (cuối cùng) ở đây chỉ ra rằng máy chủ thư 10.90.68.11 đã nhận được tin nhắn được đề cập từ kết nối HTTP (webui). Sau đó, thư đã chuyển qua SMTP đến 10.90.100.20, sau đó gửi SMTP đến 10.215.12.12, nơi nó được gửi cho tôi.

Một lần nữa, trong khi đây là tất cả nội bộ đối với mạng của Google, thì không nên coi SMTP là giao thức bảo mật để gửi thông tin nhạy cảm. Bất cứ ai có quyền truy cập vào các hệ thống trong chuỗi ở trên đều có khả năng đọc tin nhắn. Cũng lưu ý rằng Google Apps có thể đi qua một hệ thống cổng trên mạng của họ có địa chỉ bên ngoài (mặc dù vẫn thuộc sở hữu của Google).

Dữ liệu của bạn không an toàn.

Mọi người luôn lo lắng về dữ liệu trong quá cảnh, nhưng thực tế cơ bản là việc lưu trữ dữ liệu là điểm chính của nơi các cuộc tấn công xảy ra. Thẻ tín dụng EG thường bị đánh cắp từ các tệp và cơ sở dữ liệu về số, chứ không phải từ việc vận chuyển các số.

Google lưu trữ dữ liệu của bạn. Bộ lưu trữ không được mã hóa. Những người ở Google hoặc những người thỏa hiệp với Google một ngày nào đó có thể đọc nó, nếu họ thực sự quan tâm. Người nhận thư cũng có thể đọc nó và chủ sở hữu máy chủ thư của người nhận (ISP hoặc công ty) cũng có thể. Nếu người nhận đang sử dụng ứng dụng thư khách thông thường, nó sẽ được lưu trên máy của họ. Đây là nơi mà bất kỳ phần mềm gián điệp hoặc rootkit nào mà người nhận đã cài đặt có thể nhận được tại đó.

Trong quá cảnh, jtimberman là đúng. Trình duyệt của bạn đang nói chuyện với Google, nếu bạn tin rằng máy gửi chứng chỉ cho bạn là Google và Verisign hoặc bất kỳ ai là một công ty đáng tin cậy cho bạn biết rằng Google đã thực sự gửi cho bạn chứng chỉ của Google. Trong khi trình duyệt nói chuyện với Google với chứng chỉ qua https, việc truyền được mã hóa. Điều này thật tuyệt, bởi vì điều đó có nghĩa là tất cả các PC khác trong mạng của bạn có khả năng là phần mềm gián điệp hoặc người dùng tò mò và quản trị viên mạng, không thể đọc được số tiền bạn phàn nàn về chúng mỗi ngày.

Bạn cũng phải tin tưởng vào trình duyệt của mình, VÀ tất cả các trình cắm đó. Họ có thể đọc những gì trong biểu mẫu trước khi bạn gửi nó. Nói chung, bạn có thể tin tưởng nó, nhưng không phải những thanh công cụ tò mò mà mọi người đều yêu cầu bạn cài đặt cùng với tất cả những chương trình miễn phí mà bạn tải xuống.

Nhưng nhìn chung, giả sử bạn đã gửi email cho ai đó và nó chứa id thuế, ngày sinh, địa chỉ hiện tại và tên hợp pháp của bạn, một điều mà chủ nhân có thể cần biết, bạn sẽ nghĩ đó là thông tin nhạy cảm. Vâng, email đó được Google lưu trữ mãi mãi trong khu vực gửi thư. Ngay cả sau khi bạn xóa nó. Và người nhận sẽ lưu trữ một bản sao trong hộp thư đến của họ. Máy chủ thư của người nhận có thể đang lưu trữ một bản sao. Máy chủ thư của miền của máy chủ thư của người nhận có thể lưu trữ một bản sao, nhưng không lâu. Và một số máy chủ ở giữa. CSONG smtp gửi thư giữa những thứ này không được mã hóa, nhưng điều đáng sợ hơn là chương trình độc hại của một số tội phạm có thể đang lắng nghe đúng mạng vào đúng thời điểm để bắt dữ liệu quá cảnh hoặc một số tội phạm khác '

Mã hóa SSL của GMAIL chỉ bảo vệ dữ liệu của bạn trong quá trình vận chuyển. Vì vậy, trong ví dụ về thông điệp email của bạn chuyển từ bạn sang gmail và sau đó từ gmail đến bạn bè của bạn, tất cả các lần truyền sẽ được mã hóa, tuy nhiên, dữ liệu còn lại trên các máy chủ gmail (một bản sao trong các mục đã gửi của bạn và một sao chép trong hộp thư đến bạn bè của bạn) tất cả sẽ là dữ liệu có thể đọc được. Nếu bạn tin tưởng google để giữ dữ liệu của bạn an toàn, thì bạn ổn.

Bạn đang nghĩ đến tiện ích nào của firefox?

jtimberman nói đúng rằng bạn sẽ cần một chương trình của bên thứ 3 như pgp / gpg để mã hóa tin nhắn thư của bạn để Google không thể đọc chúng.