GMail- und SSL-Verschlüsselung - Wie viel wird verschlüsselt?

14

Es ist seltsamerweise schwierig, genau herauszufinden, wie SSL mit E-Mails funktioniert, zumindest was die Beantwortung meiner speziellen Frage betrifft. Wenn ich über SSL eine Verbindung zu Google Mail herstelle, verstehe ich, dass meine Verbindung sicher ist und alle Daten zwischen MY COMPUTER und dem GMAIL SERVER verschlüsselt sind . Ist dies jedoch alles, was SSL tut? Wenn ich zum Beispiel eine E-Mail auf meinem Computer öffne, werden die Daten zwischen Mountain View (oder was auch immer) und meinem Haus verschlüsselt? Würde das dann bedeuten, wenn ich meinem Freund eine E-Mail sende, der auch Google Mail mit aktiviertem SSL / Secure Gmail verwendet, dann, wenn ich eine E-Mail mit einem Anhang an sein Google Mail-Konto sende, werden diese E-Mail sowie der Anhang auf meinem Computer verschlüsselt an GMail gesendet Server, und wenn mein Freund dann SSL verwendet, kann er die E-Mail dann auch sicherheitshalber abrufen? Es besteht also keine Notwendigkeit für diese Firefox-Verschlüsselungs-Addons? Sind diese nur für robustere Verschlüsselungsalgorithmen?

Zusammenfassend kann ich sagen, dass ich Folgendes gelernt habe (und eine Zusammenfassung für andere Leser bereitstelle). BITTE KORRIGIEREN SIE MICH, WENN ICH FALSCH BIN:

  1. Google Mail sendet E-Mails an Google Server mit HTTP. Google Mail ruft auch E-Mails von Google-Servern mit HTTP ab. Wenn Sie mit https eine Verbindung zu den Google-Servern herstellen (im Gegensatz zu http), ist die Verbindung zwischen Ihrem Google Mail-Client und den Google Mail-Servern sicher und die Daten werden zwischen beiden hin und her verschlüsselt.

  2. Bei Verwendung eines Clients (z. B. Thunderbird) wird SMTP zum Senden von E-Mails und IMAP / POP zum Abrufen von E-Mails verwendet. Auf der Ebene Add-On / Optionen können Sie diesen Clients anweisen, TLC sowohl für die SMTP- als auch für die IMAP / POP-Schritte zu verwenden.

  3. Die Google-Server verwenden wahrscheinlich kein TLS mit SMTP, wenn E-Mails zwischen ihren Servern hin- und hergeschickt werden.

  4. Fazit - Wenn Sie Google Mail verwenden, verwenden Sie immer HTTPS, aber Sie wissen, dass es keine Verschlüsselung zwischen den Google-Servern gibt. In der Außenwelt ist die Verbindung zwischen Google-Clients (sofern Sie https verwenden) jedoch sicher. Wenn Sie Thunderbird (oder etwas anderes) verwenden, schalten Sie TLS ein.

Ist das richtig?

Tony Stark
quelle

Antworten:

13

Wenn Sie dem Zertifikat von der mit SSL verschlüsselten Site vertrauen, können Sie:

  • Stellen Sie sicher, dass die Verbindung zu diesem Webserver verschlüsselt ist.
  • Vertrauen Sie darauf, dass die Identität dieses Webservers korrekt ist (dh es handelt sich nicht um Phishing).
  • Vertraue darauf, dass niemand deinen Datenverkehr zum Webserver abfängt (Mann in der Mitte).

(Wichtig hierbei ist natürlich, dass Sie dem Zertifikat des Google-Mailservers vertrauen , das Sie in der Regel verwenden sollten :-))

Die Daten, die Sie beim Verfassen einer E-Mail in einem Formular übermitteln, werden über HTTPS verschlüsselt, wenn sie von Ihrem Client-Browser an den Google Mail-Server gesendet werden, der sie an den SMTP-Server weiterleitet. Wenn Sie E-Mails vom Server in Ihrem Browser anzeigen, werden diese ebenfalls verschlüsselt.

SMTP verschlüsselt jedoch keine E-Mails. Es gibt Möglichkeiten, TLS (Transport Layer Security) über IMAP und POP zu verwenden, um die Authentifizierungsdaten vom Benutzer / Client zum Server zu verschlüsseln. Wenn Sie eine Verbindung über IMAP / POP mit TLS herstellen, werden die Daten, die Sie beim Abrufen von E-Mails erhalten, vom Server an Sie verschlüsselt. IMAP und POP sind nur Abrufprotokolle. Wenn Sie einen externen Client wie Thunderbird zum Senden von E-Mails verwenden, wird dieser über einen SMTP-Server gesendet. Dies kann auch mithilfe von SASL / TLS mit SMTP verschlüsselt werden, dies ist jedoch nur von Ihrem Client zum Server und nicht vom Server zum endgültigen Ziel.

Wenn Sie verschlüsselte E-Mails von Ende zu Ende senden und empfangen möchten, unabhängig davon, wo sie sich im Netzwerk befinden, müssen Sie eine Lösung wie PGP / GPG in Betracht ziehen. Weitere Informationen hierzu finden Sie in der Frage, die ich gestellt habe . Das Webui von Google Mail unterstützt die Verwendung von PGP / GPG nicht. Daher müssen Sie dies mit einem externen E-Mail-Client wie Thunderbird , Mail.app oder Outlook (oder anderen) einrichten .

E-Mails, die Sie von Ihrem Google Mail-Konto an das Google Mail-Konto eines Freundes senden, werden innerhalb der internen E-Mail-Infrastruktur von Google gesendet. Dies kann einen oder mehrere Hops zwischen Servern haben, bleibt aber normalerweise in ihrem privaten (10.xxx) Netzwerk. Sie können dies überprüfen, indem Sie sich die Kopfzeilen der E-Mail ansehen, die Ihr Freund sendet. Klicken Sie in der E-Mail im Google Mail-Webui auf die Dropdown-Schaltfläche neben "Antworten" und klicken Sie auf "Original anzeigen". Sie suchen nach Zeilen, die wie folgt mit "Received:" beginnen:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Dies ist eine Google Mail-zu-Google Mail-Nachricht, die ich habe. Die erste (letzte) Nachricht hier zeigt an, dass der Mailserver 10.90.68.11 die fragliche Nachricht von einer HTTP-Verbindung (Webui) empfangen hat. Dann ging die Mail per SMTP auf 10.90.100.20, dann per SMTP auf 10.215.12.12, wo sie mir zugestellt wurde.

Auch hier handelt es sich um ein internes Protokoll für das Google-Netzwerk. SMTP sollte jedoch nicht als sicheres Protokoll zum Senden vertraulicher Informationen betrachtet werden. Jeder, der Zugriff auf die Systeme in der obigen Kette hat, kann die Nachricht möglicherweise lesen. Beachten Sie auch, dass Google Apps möglicherweise ein Gateway-System in ihrem Netzwerk verwendet, das eine externe Adresse hat (die jedoch immer noch im Besitz von Google ist).

jtimberman
quelle
Ich werde eine Einschränkung hinzufügen, die SSL verhindern würde, dass sich ein Mann in der Mitte des Phishing-Betrugs befindet, aber es kann nicht garantiert werden, dass ein Phishing-Angriff mit ähnlichem Namen verhindert wird.
EBGreen
Wenn ich das verstehe, bietet SSL eine sichere HTTP-Verbindung (daher https), aber E-Mails werden nicht über HTTP, sondern über SMTP gesendet und DAS wird nicht mit SSL verschlüsselt?
Tony Stark
1
Daher ist SMTP möglicherweise kein sicheres Protokoll. Wenn SSL eingerichtet ist, gilt dies auch für SMTP? Und IMAP und POP würden nicht durch SSL abgedeckt / verschlüsselt?
Tony Stark
@hatorade Ich habe im Satz nach den Aufzählungszeichen klargestellt und diese erweitert.
Jtimberman
@hatorade habe ich auch über imap / pop geklärt. Ich hoffe diese Antwort hilft, gute Frage!
Jtimberman
7

Ihre Daten sind nicht sicher.

Die Menschen sind immer besorgt über die übertragenen Daten, aber die grundlegende Tatsache ist, dass die Datenspeicherung der Hauptpunkt ist, an dem Angriffe stattfinden. EG Kreditkarten werden in der Regel aus Akten und Datenbanken von Nummern gestohlen und nicht aus dem Transport der Nummern.

Google speichert Ihre Daten. Der Speicher ist nicht verschlüsselt. Die Leute bei Google oder diejenigen, die Google kompromittieren, können es eines Tages lesen, wenn sie es wirklich wollen. Der Empfänger der E-Mail kann diese auch lesen, und der Besitzer des E-Mail-Servers des Empfängers (ISP oder Firma) kann dies auch. Wenn der Empfänger einen regulären E-Mail-Client verwendet, wird dieser auf seinem Computer gespeichert. Hier können alle Spyware- oder Rootkits abgerufen werden, die der Empfänger installiert hat.

Auf der Durchreise hat jtimberman recht. Ihr Browser kommuniziert mit Google, wenn Sie sicher sind, dass das Gerät, von dem Sie das Zertifikat erhalten haben, Google ist, und wenn Verisign oder eine vertrauenswürdige Firma Ihnen mitteilt, dass Google Ihnen das Zertifikat von Google tatsächlich gesendet hat. Während der Browser über https mit Google über das Zertifikat spricht, wird die Übertragung verschlüsselt. Das ist schön, weil es bedeutet, dass alle anderen PCs in Ihrem Netzwerk mit möglichen Spyware- oder Neugier-Benutzern und der Netzwerkadministrator nicht lesen können, wie viel Sie sich jeden Tag über sie beschweren.

Sie müssen auch Ihrem Browser und seinen Plug-Ins vertrauen. Sie können so ziemlich einfach lesen, was in den Formularen steht, bevor Sie es überhaupt gesendet haben. Im Allgemeinen können Sie darauf vertrauen, aber nicht auf die neugierigen Symbolleisten, die Sie neben all den kostenlosen Programmen, die Sie herunterladen, installieren sollen.

Angenommen, Sie haben jemandem eine E-Mail gesendet, in der Ihre Steuer-ID, Ihr Geburtsdatum, Ihre aktuelle Adresse und Ihr gesetzlicher Name enthalten sind. Dies muss ein Arbeitgeber möglicherweise wissen. Sie würden dies als vertrauliche Informationen ansehen. Nun, diese E-Mail wird von Google für immer im E-Mail-Bereich gespeichert. Auch nach dem Löschen. Der Empfänger speichert eine Kopie in seinem Posteingang. Der Mailserver des Empfängers speichert möglicherweise eine Kopie. Der Mail-Server der Domain des Mail-Servers des Empfängers könnte eine Kopie speichern, aber nicht lange. Und eine Reihe weiterer Server dazwischen. AUCH SMTP sendet E-Mails zwischen diesen ziemlich unverschlüsselt, aber was ist beängstigender, als dass das bösartige Programm eines Verbrechers zum richtigen Zeitpunkt das richtige Netzwerk abhört, um die Daten während der Übertragung abzufangen, oder dass ein anderer Verbrecher

dlamblin
quelle
3

Die SSL-Verschlüsselung von GMAIL schützt Ihre Daten nur während der Übertragung. In Ihrem Beispiel für eine E-Mail-Nachricht, die von Ihnen an Google Mail und dann an Ihren Freund gesendet wird, werden alle Übertragungen verschlüsselt. Die Daten, die sich auf den Google Mail-Servern befinden (eine Kopie in Ihren gesendeten Nachrichten und eine E-Mail-Nachricht) In den Posteingang Ihres Freundes kopieren) wären alle Daten lesbar. Wenn Sie Google vertrauen, um Ihre Daten zu schützen, sind Sie in Ordnung.

An welche Firefox-Add-Ons denken Sie?

jtimberman hat recht, dass Sie ein Programm eines Drittanbieters wie pgp / gpg benötigen, um Ihre E-Mail-Nachrichten zu verschlüsseln, damit Google sie nicht lesen kann.

SacRyan
quelle
Würde SSL also sowohl über meine Verbindung gesendete HTTP-Daten als auch SMTP-Daten verschlüsseln?
Tony Stark
@hatorade, SSL verschlüsselt nur den Datenverkehr zwischen Ihrem Browser und dem Webserver von GMail. Von da an können Sie nicht wissen, ob etwas verschlüsselt ist oder nicht.
Gustafc
@sacryan Ich wollte FireGPG verwenden
Tony Stark