การเข้ารหัส GMail และ SSL - มีการเข้ารหัสเท่าใด

เป็นการยากที่จะทราบว่า SSL ทำงานอย่างไรกับอีเมลอย่างน้อยที่สุดเท่าที่ตอบคำถามของฉัน - เมื่อฉันเชื่อมต่อ gmail โดยใช้ SSL ฉันเข้าใจว่าการเชื่อมต่อของฉันปลอดภัยและข้อมูลทั้งหมดถูกเข้ารหัสระหว่างคอมพิวเตอร์ของฉันและเซิร์ฟเวอร์ GMAIL . อย่างไรก็ตาม SSL ทั้งหมดนั้นมีอะไรบ้าง? ตัวอย่างเช่นเมื่อฉันเปิดอีเมลบนคอมพิวเตอร์ข้อมูลระหว่าง Mountain View (หรืออะไรก็ตาม) และบ้านของฉันถูกเข้ารหัส ถ้าฉันส่งอีเมลเพื่อนของฉันที่ใช้ gmail ด้วย SSL / เปิดใช้งาน gmail ที่ปลอดภัยแล้วถ้าฉันส่งอีเมลพร้อมไฟล์แนบไปยังบัญชี gmail ของเขาอีเมลนั้นและไฟล์แนบนั้นถูกเข้ารหัสที่คอมพิวเตอร์ของฉันส่งไปยัง GMail เซิร์ฟเวอร์ จากนั้นให้เพื่อนของฉันใช้ SSL จากนั้นเขาจะสามารถรับอีเมลได้อย่างปลอดภัยหรือไม่ ดังนั้นจึงไม่จำเป็นต้องใช้โปรแกรมเสริมสำหรับการเข้ารหัสของ Firefox นี่เป็นเพียงขั้นตอนวิธีการเข้ารหัสที่มีประสิทธิภาพยิ่งขึ้นหรือไม่

ดังนั้นโดยสรุปนี่คือสิ่งที่ฉันคิดว่าฉันได้เรียนรู้ (และให้บทสรุปสำหรับผู้อื่นอ่าน) โปรดแก้ไขให้ฉันถ้าฉันผิด:

gmail ส่งอีเมลไปยังเซิร์ฟเวอร์ google ด้วย HTTP gmail ยังดึงอีเมลจากเซิร์ฟเวอร์ google ด้วย HTTP เมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์ google โดยใช้ https (ตรงข้ามกับ http) การเชื่อมต่อระหว่างไคลเอ็นต์ gmail และเซิร์ฟเวอร์ gmail ของคุณนั้นปลอดภัยและข้อมูลจะถูกเข้ารหัสไปมาระหว่างสองคน
เมื่อใช้ไคลเอนต์ (เช่นธันเดอร์เบิร์ด) SMTP ใช้เพื่อส่งอีเมลและใช้ IMAP / POP สำหรับดึงอีเมล ที่ระดับ Add-on / options คุณสามารถบอกให้ไคลเอนต์เหล่านี้ใช้ TLC สำหรับขั้นตอน SMTP และ IMAP / POP
เซิร์ฟเวอร์ google อาจไม่ใช้ TLS กับ SMTP เมื่อตีกลับอีเมลระหว่างเซิร์ฟเวอร์
สรุป - หากใช้ gmail ให้ใช้ HTTPS เสมอ แต่รู้ว่าไม่มีการเข้ารหัสระหว่างเซิร์ฟเวอร์ของ Google แต่ใน 'โลกภายนอก' การเชื่อมต่อระหว่างไคลเอนต์ google (ตราบเท่าที่ใช้ https) นั้นปลอดภัย หากใช้ Thunderbird (หรืออย่างอื่น) ให้เปิด TLS

ถูกต้องหรือไม่

gmail encryption ssl

— โทนี่สตาร์ค
แหล่งที่มา

คำตอบ:

เมื่อคุณเชื่อถือใบรับรองจากไซต์ที่เข้ารหัสด้วย SSL คุณสามารถ:

เชื่อถือได้ว่าการเชื่อมต่อกับเว็บเซิร์ฟเวอร์นั้นได้รับการเข้ารหัส
เชื่อถือได้ว่าตัวตนของเว็บเซิร์ฟเวอร์นั้นถูกต้อง (เช่นไม่ใช่การหลอกลวงแบบฟิชชิ่ง)
วางใจว่ามีใครบางคนไม่ขัดขวางการรับส่งข้อมูลของคุณไปยังเว็บเซิร์ฟเวอร์ (ผู้ชายตรงกลาง)

(แน่นอนสิ่งสำคัญที่นี่คือคุณเชื่อถือใบรับรองที่นำเสนอโดยเซิร์ฟเวอร์อีเมลของ Google ซึ่งโดยทั่วไปคุณควร :-))

ข้อมูลที่คุณส่งในรูปแบบเมื่อเขียนอีเมลจะถูกเข้ารหัสผ่าน HTTPS ในขณะที่เดินทางจากเบราว์เซอร์ไคลเอ็นต์ของคุณไปยังเซิร์ฟเวอร์ Gmail ที่จะส่งผ่านไปยังเซิร์ฟเวอร์ SMTP เมื่อคุณแสดงเมลในเบราว์เซอร์จากเซิร์ฟเวอร์สิ่งนี้จะถูกเข้ารหัสด้วย

อย่างไรก็ตาม SMTP ไม่ได้เข้ารหัสจดหมาย มีวิธีการใช้ TLS (ความปลอดภัยเลเยอร์การขนส่ง) ผ่าน IMAP และ POP เพื่อเข้ารหัสข้อมูลการทำให้สมบูรณ์จากผู้ใช้ / ไคลเอนต์ไปยังเซิร์ฟเวอร์ เมื่อคุณเชื่อมต่อผ่าน IMAP / POP ด้วย TLS ข้อมูลที่คุณได้รับเมื่อรับจดหมายนั้นจะถูกเข้ารหัสจากเซิร์ฟเวอร์ให้คุณ IMAP และ POP เป็นโปรโตคอลการดึงข้อมูลเท่านั้น เมื่อคุณใช้ไคลเอนต์ภายนอกเช่นธันเดอร์เบิร์ดในการส่งจดหมายไคลเอ็นต์จะผ่านเซิร์ฟเวอร์ SMTP สิ่งนี้สามารถเข้ารหัสได้เช่นกันโดยใช้ SASL / TLS ด้วย SMTP แต่อีกครั้งที่มาจากไคลเอ็นต์ของคุณไปยังเซิร์ฟเวอร์เท่านั้นและไม่ใช่จากเซิร์ฟเวอร์ไปยังปลายทางสุดท้าย

หากคุณต้องการส่งและรับอีเมลที่เข้ารหัสตั้งแต่ต้นจนจบไม่ว่าจะไปที่ใดในเครือข่ายคุณจะต้องค้นหาโซลูชันเช่น PGP / GPG สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ดูคำถามที่ผมถาม webui ของ Gmail ไม่รองรับการใช้งาน PGP / GPG ดังนั้นคุณจะต้องตั้งค่าด้วยไคลเอ็นต์อีเมลภายนอกเช่นThunderbird , Mail.appหรือOutlook (หรืออื่น ๆ )

สำหรับอีเมลที่คุณส่งจากบัญชี Gmail ของคุณไปยังบัญชี Gmail ของเพื่อนมันจะถูกส่งไปยังโครงสร้างพื้นฐานจดหมายภายในของ Google นี่อาจมีการกระโดดอย่างน้อยหนึ่งครั้งระหว่างเซิร์ฟเวอร์ แต่โดยปกติจะอยู่ในเครือข่ายส่วนตัว (10.xxx) คุณสามารถตรวจสอบสิ่งนี้ได้โดยดูที่ส่วนหัวของอีเมลที่เพื่อนคุณส่ง จากอีเมลใน webui ของ Gmail ให้กดปุ่มดรอปดาวน์ถัดจาก "ตอบกลับ" และคลิก "แสดงต้นฉบับ" คุณกำลังมองหาบรรทัดที่ขึ้นต้นด้วย "ได้รับ:" เช่นนี้:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

นี่คือข้อความ Gmail ถึง Gmail ที่ฉันมี ข้อความแรก (สุดท้าย) ที่นี่ระบุว่าเซิร์ฟเวอร์อีเมล 10.90.68.11 ได้รับข้อความที่เป็นปัญหาจากการเชื่อมต่อ HTTP (webui) จากนั้นจดหมายก็ผ่าน SMTP ไปที่ 10.90.100.20 จากนั้น SMTP ถึง 10.215.12.12 ซึ่งถูกส่งถึงฉัน

อีกครั้งในขณะที่ทั้งหมดนี้เป็นภายในเครือข่ายของ Google, SMTP ไม่ควรถือเป็นโปรโตคอลที่ปลอดภัยสำหรับการส่งข้อมูลที่สำคัญ ทุกคนที่สามารถเข้าถึงระบบในกลุ่มด้านบนสามารถอ่านข้อความได้ นอกจากนี้โปรดทราบว่า Google Apps อาจผ่านระบบเกตเวย์ในเครือข่ายที่มีที่อยู่ภายนอก (แต่ Google ยังเป็นเจ้าของอยู่)

— jtimberman
แหล่งที่มา

ฉันจะเพิ่มหนึ่งคำเตือน SSL จะป้องกันไม่ให้คนในการหลอกลวงแบบฟิชชิ่งกลาง แต่ไม่รับประกันว่าจะป้องกันการโจมตีแบบฟิชชิ่งชื่อที่ซับซ้อน

— EBGreen

ดังนั้นหากฉันเข้าใจสิ่งนี้ SSL จะให้การเชื่อมต่อ HTTP ที่ปลอดภัย (ดังนั้น https) แต่อีเมลไม่ได้ถูกส่งผ่าน HTTP จะถูกส่งผ่าน SMTP และนั่นไม่ได้เข้ารหัสโดย SSL

— Tony Stark

ดังนั้น SMTP อาจไม่ใช่โปรโตคอลที่ปลอดภัย แต่เมื่อตั้งค่า SSL แล้วนั่นครอบคลุมถึง SMTP หรือไม่ และ IMAP และ POP จะไม่ครอบคลุม / เข้ารหัสโดย SSL หรือไม่

— Tony Stark

@hatorade ฉันชี้แจงในประโยคหลังจากกระสุนและขยายในที่

— jtimberman

@hatorade ฉันยังชี้แจงเกี่ยวกับ imap / pop ฉันหวังว่าคำตอบนี้จะช่วยได้คำถามที่ดี!

— jtimberman

ข้อมูลของคุณไม่ปลอดภัย

คนมักจะกังวลเกี่ยวกับข้อมูลในการขนส่ง แต่ข้อเท็จจริงพื้นฐานคือการจัดเก็บข้อมูลเป็นจุดหลักของการโจมตีที่เกิดขึ้น โดยทั่วไปแล้วบัตรเครดิต EG จะถูกขโมยจากไฟล์และฐานข้อมูลตัวเลขไม่ใช่จากการขนส่งหมายเลข

Google เก็บข้อมูลของคุณ ที่เก็บข้อมูลไม่ได้เข้ารหัส ผู้คนที่ Google หรือผู้ที่ประนีประนอมกับ Google สามารถอ่านได้ถ้าพวกเขาสนใจจริงๆ ผู้รับจดหมายสามารถอ่านได้และเจ้าของเซิร์ฟเวอร์อีเมลของผู้รับ (ISP หรือ บริษัท ) ก็สามารถทำได้เช่นกัน หากผู้รับใช้เมลไคลเอ็นต์ปกติผู้รับจะถูกเก็บไว้ในเครื่องของเขา / เธอ นี่คือจุดที่สปายแวร์หรือรูทคิทที่ผู้รับติดตั้งติดตั้งอยู่สามารถทำได้

ระหว่างทางjtimbermanนั้นถูกต้อง เบราว์เซอร์ของคุณกำลังพูดคุยกับ Google หากคุณมั่นใจว่าเครื่องที่ส่งใบรับรองถึงคุณคือ Google และ Verisign หรือบุคคลใดก็ตามเป็น บริษัท ที่น่าเชื่อถือซึ่งบอกคุณว่า Google ได้ส่งใบรับรองของ Google ให้คุณจริง ขณะที่เบราว์เซอร์พูดคุยกับ Google ด้วยใบรับรองผ่าน https การส่งจะถูกเข้ารหัส นี่เป็นสิ่งที่ดีเพราะหมายความว่าพีซีเครื่องอื่น ๆ ในเครือข่ายของคุณที่มีสปายแวร์หรือผู้ใช้ที่มีจมูกยาวและผู้ดูแลระบบเครือข่ายไม่สามารถอ่านได้ว่าคุณบ่นเรื่องคอมพิวเตอร์มากแค่ไหนในแต่ละวัน

คุณต้องเชื่อใจในเบราว์เซอร์ของคุณและทุกอย่างก็คือปลั๊กอิน พวกเขาสามารถอ่านสิ่งที่อยู่ในแบบฟอร์มก่อนที่คุณจะส่ง โดยทั่วไปแล้วคุณสามารถเชื่อถือได้ แต่ไม่ใช่แถบเครื่องมือที่ไม่มีจมูกทุกคนขอให้คุณติดตั้งโปรแกรมฟรีที่คุณดาวน์โหลด

โดยรวมแล้วถ้าคุณส่งอีเมลถึงใครบางคนและมีรหัสประจำตัวผู้เสียชีวิตวันเกิดที่อยู่ปัจจุบันและชื่อตามกฎหมายสิ่งที่นายจ้างอาจต้องรู้คุณคิดว่าเป็นข้อมูลที่ละเอียดอ่อน Google เก็บอีเมลไว้ตลอดไปในพื้นที่ส่งอีเมล แม้หลังจากที่คุณลบ และผู้รับกำลังจะเก็บสำเนาไว้ในกล่องจดหมายของพวกเขา เมลเซิร์ฟเวอร์ของผู้รับสามารถจัดเก็บสำเนาได้ เมลเซิร์ฟเวอร์ของโดเมนของเมลเซิร์ฟเวอร์ของผู้รับสามารถจัดเก็บสำเนาได้ แต่ไม่นาน และอีกหลายเซิร์ฟเวอร์ในระหว่างนั้น ALSO smtp ส่งจดหมายระหว่างสิ่งที่ไม่ได้เข้ารหัส แต่สิ่งที่น่ากลัวกว่านั้นคือโปรแกรมที่เป็นอันตรายของอาชญากรบางคนอาจกำลังฟังเครือข่ายที่ถูกต้องในเวลาที่เหมาะสมเพื่อจับข้อมูลระหว่างทางหรืออาชญากรรมอื่น ๆ '

— dlamblin
แหล่งที่มา

การเข้ารหัส SSL ของ GMAIL จะปกป้องข้อมูลของคุณในระหว่างการขนส่งเท่านั้น ดังนั้นในตัวอย่างข้อความอีเมลของคุณจากคุณไปยัง gmail และจาก gmail ถึงเพื่อนของคุณการส่งสัญญาณทั้งหมดจะถูกเข้ารหัสอย่างไรก็ตามข้อมูลที่เหลือในเซิร์ฟเวอร์ gmail (สำเนาในรายการที่คุณส่งและ คัดลอกในกล่องจดหมายเพื่อนของคุณ) จะเป็นข้อมูลที่อ่านได้ทั้งหมด หากคุณเชื่อใจให้ google รักษาความปลอดภัยให้กับข้อมูลของคุณแสดงว่าคุณโอเคแล้ว

คุณคิดว่าส่วนเสริมของ Firefox ใด

jtimberman นั้นถูกต้องที่คุณจะต้องใช้โปรแกรมบุคคลที่สามเช่น pgp / gpg เพื่อเข้ารหัสข้อความอีเมลของคุณเพื่อที่ Google จะไม่สามารถอ่านได้

— SacRyan
แหล่งที่มา

SSL จะเข้ารหัสทั้งข้อมูล HTTP ที่ส่งผ่านการเชื่อมต่อของฉันและข้อมูล SMTP หรือไม่

— Tony Stark

@hatorade SSL เข้ารหัสเฉพาะทราฟฟิกระหว่างเบราว์เซอร์ของคุณและเว็บเซิร์ฟเวอร์ของ GMail จากตรงนั้นคุณจะไม่รู้ว่ามีสิ่งใดเข้ารหัสหรือไม่

— gustafc

@ sacryan ฉันจะใช้ FireGPG

— Tony Stark