Criptografia GMail e SSL - quanto é criptografado

14

É estranhamente difícil descobrir exatamente como o SSL funciona com o email, pelo menos na medida em que respondo minha pergunta específica - quando eu me conecto ao gmail usando SSL, entendo que meu conectado é seguro e, portanto, todos os dados são criptografados entre MEU COMPUTADOR e o GMAIL SERVER . No entanto, isso é tudo que o SSL faz? Por exemplo, quando abro um email no meu computador, os dados entre o Mountain View (ou o que for) e minha casa são criptografados? Isso significa que, se eu enviar um e-mail para meu amigo que também usa o gmail com SSL / gmail seguro ativado, se eu enviar um e-mail também com um anexo à sua conta do gmail, esse e-mail e o anexo serão criptografados no meu computador, enviados para o GMail servidor, e, desde que meu amigo use SSL, ele também pode adquirir o email com segurança? Portanto, não há necessidade desses addons de criptografia do firefox? São apenas para algoritmos de criptografia mais robustos?

Então, em resumo, aqui está o que eu acho que aprendi (e fornece um resumo para outras pessoas lendo). POR FAVOR CORRIJA-ME SE EU ESTIVER ERRADO:

  1. O Gmail envia e-mails para os servidores do Google com HTTP. O gmail também recupera e-mails dos servidores do Google com HTTP. quando você se conecta aos servidores do Google usando https (em vez de http), a conexão entre o cliente do Gmail e os servidores do Gmail é segura e os dados são criptografados entre os dois.

  2. ao usar um cliente (thunderbird por exemplo), o SMTP é usado para enviar e-mails e o IMAP / POP é usado para recuperar e-mails. No nível de complemento / opções, você pode solicitar que esses clientes usem o TLC para as etapas SMTP e IMAP / POP.

  3. Os servidores do Google provavelmente não usam TLS com SMTP ao enviar e-mails entre os servidores.

  4. Conclusão - se você estiver usando o Gmail, sempre use HTTPS, mas saiba que não há criptografia entre os servidores do Google, mas no 'mundo externo' a conexão entre os clientes do Google (desde que use https) é segura. se estiver usando o thunderbird (ou outra coisa), ative o TLS.

Isso está correto?

gmail  encryption  ssl 
Tony Stark
fonte

Respostas:

13

Quando você confia no certificado do site criptografado com SSL, você pode:

  • Confie que a conexão com esse servidor da Web esteja criptografada.
  • Confie que a identidade desse servidor web esteja correta (ou seja, não é uma fraude de phishing).
  • Confie que alguém não está interceptando seu tráfego no servidor da Web (homem no meio).

(o importante aqui, é claro, é que você confie no certificado apresentado pelo servidor de e-mail do Google, o que geralmente você deve :-))

Os dados que você enviar em um formulário ao redigir um email serão criptografados por HTTPS à medida que passam do navegador do cliente até o servidor do Gmail que os transmitirá ao servidor SMTP. Quando você exibe mensagens no seu navegador a partir do servidor, isso também é criptografado.

O SMTP não criptografa email, no entanto. Existem maneiras de usar TLS (segurança da camada de transporte) sobre IMAP e POP para criptografar os dados de autenticação do usuário / cliente para o servidor. Quando você se conecta via IMAP / POP com TLS, os dados que você recebe ao recuperar mensagens são criptografados do servidor para você. IMAP e POP são apenas protocolos de recuperação. Quando você usa um cliente externo, como o Thunderbird, para enviar e-mail, ele passa por um servidor SMTP. Isso também pode ser criptografado usando SASL / TLS com SMTP, mas novamente isso é apenas do seu cliente para o servidor, e não do servidor para seu destino final.

Se você deseja enviar e receber e-mails criptografados de ponta a ponta, não importa para onde vão na rede, será necessário procurar uma solução como PGP / GPG. Para mais informações sobre isso, consulte a pergunta que fiz . O webui do Gmail não suporta o uso de PGP / GPG, portanto, você precisará configurá-lo com um cliente de email externo, como Thunderbird , Mail.app ou Outlook (ou outros).

Quanto ao e-mail que você envia da sua conta do Gmail para a conta do Gmail de um amigo, ele é enviado dentro da infraestrutura de e-mail interna do Google. Isso pode ter um ou mais saltos entre servidores, mas geralmente permanece na rede privada (10.xxx). Você pode verificar isso observando os cabeçalhos do email que seu amigo envia. No e-mail no webmail do Gmail, clique no botão suspenso ao lado de "Responder" e clique em "Mostrar original". Você está procurando linhas que começam com "Recebido:", como estas:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Esta é uma mensagem do Gmail para o Gmail que tenho. A primeira (última) mensagem aqui indica que o servidor de email 10.90.68.11 recebeu a mensagem em questão de uma conexão HTTP (webui). Em seguida, o email foi via SMTP para 10.90.100.20 e depois SMTP para 10.215.12.12, onde foi entregue a mim.

Novamente, embora tudo isso seja interno da rede do Google, o SMTP não deve ser considerado um protocolo seguro para o envio de informações confidenciais. Qualquer pessoa que tenha acesso aos sistemas na cadeia acima pode potencialmente ler a mensagem. Observe também que o Google Apps pode passar por um sistema de gateway em sua rede que possui um endereço externo (embora ainda seja de propriedade do Google).

jtimberman
fonte
Vou acrescentar uma ressalva: o SSL impediria um homem no meio do golpe de phishing, mas não é garantido que evite um ataque de phishing de nome semelhante.
EBGreen
por isso, se eu entendi isso, o SSL fornece uma conexão HTTP segura (portanto, https), mas o email não é enviado por HTTP, é enviado por SMTP e ISSO não é criptografado por SSL?
21411 Tony Stark
1
portanto, o SMTP pode não ser um protocolo seguro, mas quando o SSL é configurado, isso também abrange o SMTP? E IMAP e POP não seriam cobertos / criptografados por SSL?
21411 Tony Stark
@hatorade Esclarei na frase após as balas e as expandi.
jtimberman
@hatorade Também esclareci sobre o imap / pop. Espero que esta resposta ajude, boa pergunta!
jtimberman
7

Seus dados não são seguros.

As pessoas estão sempre preocupadas com os dados em trânsito, mas o fato básico é que o armazenamento de dados é o ponto principal de onde os ataques acontecem. Geralmente, os cartões de crédito são roubados de arquivos e bancos de dados de números, e não do transporte dos números.

O Google armazena seus dados. O armazenamento não está criptografado. As pessoas no Google ou as que comprometem o Google podem lê-lo um dia, se realmente quiserem. O destinatário do e-mail também pode lê-lo, e o proprietário do servidor de e-mail do destinatário (ISP ou empresa) também. Se o destinatário estiver usando um cliente de correio normal, ele será armazenado em sua máquina. É aqui que qualquer spyware ou rootkits que o destinatário instalou pode chegar a ele.

Em trânsito, o jtimberman está certo. Seu navegador está conversando com o Google, se você confiar que a máquina que enviou o certificado é o Google e que a Verisign ou quem é uma empresa confiável, informando que o Google realmente enviou o certificado do Google. Enquanto o navegador fala com o Google com o certificado em https, a transmissão é criptografada. Isso é bom, porque significa que todos os outros PCs da sua rede com possíveis spywares ou usuários intrometidos, e o administrador da rede, não conseguem ler o quanto você reclama deles todos os dias.

Você também precisa confiar no seu navegador E em todos os seus plug-ins. Eles podem simplesmente ler o que está nos formulários antes mesmo de enviá-lo. Geralmente você pode confiar nisso, mas não nas barras de ferramentas intrometidas que todo mundo está pedindo para instalar ao lado de todos os programas gratuitos que você baixa.

Mas, no geral, digamos que você enviou um e-mail a alguém e ele continha seu ID fiscal, data de nascimento, endereço atual e nome legal, algo que um empregador talvez precise saber, você acha isso uma informação confidencial. Bem, esse email é armazenado para sempre pelo Google na área de email enviado. Mesmo depois de excluí-lo. E o destinatário vai armazenar uma cópia na caixa de entrada. O servidor de email do destinatário pode estar armazenando uma cópia. O servidor de email do domínio do servidor de email do destinatário pode estar armazenando uma cópia, mas não por muito tempo. E vários outros servidores no meio. O smtp TAMBÉM envia e-mails entre esses tipos não criptografados, mas o mais assustador é que o programa malicioso de algum criminoso possa estar ouvindo a rede certa no momento certo para capturar os dados em trânsito ou que algum outro criminoso '

dlamblin
fonte
3

A criptografia SSL do GMAIL protege apenas seus dados em trânsito. Portanto, no seu exemplo da sua mensagem de email indo de você para o gmail e depois do gmail para o seu amigo, todas as transmissões seriam criptografadas, no entanto, os dados em repouso nos servidores do gmail (uma cópia nos itens enviados e um copiar na caixa de entrada dos seus amigos) seriam dados legíveis. Se você confia no google para manter seus dados em segurança, está bem.

Em quais dos add-ons do Firefox você está pensando?

O jtimberman está certo de que você precisaria de um programa de terceiros como pgp / gpg para criptografar suas mensagens de e-mail para que o Google não pudesse lê-las.

SacRyan
fonte
então o SSL criptografaria os dados HTTP enviados pela minha conexão e os dados SMTP?
21413 Tony Stark
@hatorade, o SSL criptografa apenas o tráfego entre o navegador e o servidor da web do GMail. A partir daí, você não pode saber se algo está criptografado ou não.
gustafc
@sacryan eu ia usar FireGPG
Tony Stark
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.