Enkripsi Gmail dan SSL - berapa banyak yang dienkripsi

14

Anehnya sulit untuk mengetahui bagaimana SSL bekerja dengan email, setidaknya sejauh menjawab pertanyaan spesifik saya - ketika saya terhubung ke gmail menggunakan SSL, saya mengerti bahwa koneksi saya aman dan dengan demikian semua data dienkripsi antara MY COMPUTER dan GMAIL SERVER . Namun, apakah semua SSL melakukannya? Misalnya, ketika saya membuka email di komputer saya, data antara Mountain View (atau apa pun) dan rumah saya dienkripsi? Apakah itu berarti jika saya mengirim email ke teman saya yang juga menggunakan gmail dengan SSL / gmail aman diaktifkan, maka jika saya mengirim email juga dengan lampiran ke akun gmailnya bahwa email serta lampiran dienkripsi di komputer saya, dikirim ke GMail server, dan kemudian asalkan teman saya menggunakan SSL maka dia dapat memperoleh email juga keamanan? Jadi tidak perlu addon enkripsi firefox itu? Apakah itu hanya untuk algoritma enkripsi yang lebih kuat?

Jadi secara ringkas, inilah yang saya pikir telah saya pelajari (dan berikan ringkasan untuk dibaca orang lain). MOHON KOREKSI SAYA JIKA SAYA SALAH:

  1. gmail mengirim email ke server google dengan HTTP. gmail juga mengambil email dari server google dengan HTTP. ketika Anda terhubung ke server google menggunakan https (tidak seperti http) maka koneksi antara klien gmail Anda dan server gmail aman dan data dienkripsi bolak-balik antara keduanya.

  2. saat menggunakan klien (thunderbird misalnya) SMTP digunakan untuk mengirim email, dan IMAP / POP digunakan untuk mengambil email. Pada tingkat add-on / opsi, Anda bisa memberi tahu klien ini untuk menggunakan TLC untuk langkah SMTP dan IMAP / POP.

  3. Server google mungkin tidak menggunakan TLS dengan SMTP ketika memantulkan email bolak-balik di antara server mereka.

  4. Kesimpulan - jika menggunakan gmail, selalu gunakan HTTPS tetapi tahu tidak ada enkripsi antara server google, tetapi di 'dunia luar' koneksi antara klien google (selama menggunakan https) aman. jika menggunakan thunderbird (atau yang lainnya) nyalakan TLS.

Apakah ini benar?

gmail encryption ssl Tony Stark
sumber

Jawaban:

13

Saat Anda mempercayai sertifikat dari situs yang dienkripsi dengan SSL, Anda dapat:

  • Percayalah bahwa koneksi ke server web dienkripsi.
  • Percayalah bahwa identitas server web itu benar (yaitu bukan penipuan phising).
  • Percayalah bahwa seseorang tidak memotong lalu lintas Anda ke server web (orang di tengah).

(yang penting di sini, tentu saja, adalah Anda memercayai sertifikat yang disajikan oleh server surat Google, yang umumnya harus Anda :-))

Data yang Anda kirimkan dalam bentuk ketika menulis email akan dienkripsi melalui HTTPS saat ia bergerak dari browser klien Anda ke server Gmail yang akan meneruskannya ke server SMTP. Ketika Anda menampilkan email di browser Anda dari server, ini juga dienkripsi.

Namun, SMTP tidak mengenkripsi surat. Ada beberapa cara untuk menggunakan TLS (transport layer security) melalui IMAP dan POP untuk mengenkripsi data autentikasi dari pengguna / klien ke server. Ketika Anda terhubung melalui IMAP / POP dengan TLS, data yang Anda terima saat mengambil email dienkripsi dari server kepada Anda. IMAP dan POP adalah protokol pengambilan saja. Ketika Anda menggunakan klien eksternal seperti Thunderbird untuk mengirim email, itu akan melalui server SMTP. Ini dapat dienkripsi juga menggunakan SASL / TLS dengan SMTP, tetapi sekali lagi itu hanya dari klien Anda ke server, dan bukan dari server ke tujuan akhirnya.

Jika Anda ingin mengirim dan menerima email terenkripsi ujung ke ujung, di mana pun ia berada di jaringan, maka Anda perlu mencari solusi seperti PGP / GPG. Untuk informasi lebih lanjut tentang ini, lihat pertanyaan yang saya ajukan . Webui Gmail tidak mendukung penggunaan PGP / GPG, jadi Anda harus mengaturnya dengan klien email eksternal seperti Thunderbird , Mail.app , atau Outlook (atau lainnya).

Sejauh email yang Anda kirim dari akun Gmail Anda ke akun Gmail teman, itu dikirim di dalam infrastruktur email internal Google. Ini mungkin memiliki satu atau lebih lompatan antar server, tetapi biasanya tetap dalam jaringan pribadi mereka (10.xxx). Anda dapat memverifikasi ini dengan melihat tajuk email yang dikirim teman Anda. Dari email di webui Gmail, tekan tombol drop down di sebelah "Balas" dan klik "Tampilkan Asli". Anda mencari garis yang dimulai dengan "Diterima:", seperti ini:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Ini adalah pesan Gmail ke Gmail yang saya miliki. Pesan pertama (terakhir) di sini menunjukkan bahwa server mail 10.90.68.11 menerima pesan yang dipermasalahkan dari koneksi HTTP (webui). Kemudian surat dikirim melalui SMTP ke 10.90.100.20, lalu SMTP ke 10.215.12.12, di mana surat itu dikirimkan kepada saya.

Sekali lagi, sementara ini semua internal ke jaringan Google, SMTP tidak boleh dianggap sebagai protokol aman untuk mengirim informasi sensitif. Siapa pun yang memiliki akses ke sistem dalam rantai di atas berpotensi membaca pesan. Perhatikan juga bahwa Google Apps dapat melalui sistem gateway di jaringan mereka yang memiliki alamat eksternal (masih dimiliki oleh Google).

jtimberman
sumber
Saya akan menambahkan satu peringatan SSL akan mencegah seorang pria di scam phishing tengah tetapi tidak dijamin untuk mencegah serangan phishing nama yang sama.
EBGreen
jadi jika saya memahami hal ini, SSL menyediakan koneksi HTTP yang aman (karenanya https), tetapi email tidak dikirim melalui HTTP, ia dikirim melalui SMTP, dan BAHWA tidak dienkripsi oleh SSL?
Tony Stark
1
jadi SMTP mungkin bukan protokol yang aman, tetapi ketika SSL diatur, apakah itu mencakup SMTP juga? Dan IMAP dan POP tidak akan tertutup / dienkripsi oleh SSL?
Tony Stark
@hadeade saya mengklarifikasi dalam kalimat setelah peluru, dan diperluas pada mereka.
jtimberman
@hatorade Saya juga menjelaskan tentang imap / pop. Saya harap jawaban ini membantu, pertanyaan bagus!
jtimberman
7

Data Anda tidak aman.

Orang-orang selalu khawatir tentang data dalam perjalanan, tetapi fakta dasarnya adalah bahwa penyimpanan data adalah titik utama di mana serangan terjadi. EG Kartu kredit pada umumnya dicuri dari file dan basis data angka, dan bukan dari pengangkutan angka.

Google menyimpan data Anda. Penyimpanan tidak dienkripsi. Orang-orang di Google, atau mereka yang berkompromi dengan Google suatu hari dapat membacanya, jika mereka benar-benar peduli. Penerima surat juga bisa membacanya, dan pemilik server surat penerima (ISP atau perusahaan) juga bisa. Jika penerima menggunakan klien email biasa, itu disimpan di mesinnya. Di sinilah spyware atau rootkit apa pun yang telah dipasang oleh penerima dapat melakukannya.

Dalam perjalanan, jtimberman benar. Browser Anda sedang berbicara dengan Google, jika Anda percaya bahwa mesin yang mengirimi Anda sertifikat adalah Google, dan bahwa Verisign atau siapa pun adalah perusahaan yang dapat dipercaya yang memberi tahu Anda bahwa Google benar-benar mengirimi Anda sertifikat Google. Saat peramban berbicara ke Google dengan sertifikat melalui https, transmisi dienkripsi. Ini bagus, karena itu berarti semua PC lain di jaringan Anda dengan kemungkinan spyware atau usil-pengguna, dan admin jaringan, tidak dapat membaca seberapa banyak Anda mengeluh tentang mereka setiap hari.

Anda juga harus mempercayai peramban Anda, DAN semua itu plugins. Mereka bisa saja membaca apa yang ada di formulir sebelum Anda mengirimnya. Secara umum Anda dapat mempercayainya, tetapi tidak semua bilah alat yang berisik yang diminta semua orang untuk memasang bersama semua program gratis yang Anda unduh.

Tapi secara keseluruhan, misalkan Anda mengirim email kepada seseorang dan berisi id pajak, tanggal lahir, alamat saat ini, dan nama hukum Anda, sesuatu yang mungkin perlu diketahui majikan, Anda akan menganggapnya sebagai informasi sensitif. Yah, email itu disimpan selamanya oleh Google di area email. Bahkan setelah Anda menghapusnya. Dan penerima akan menyimpan salinan di kotak masuk mereka. Server email penerima bisa menyimpan salinan. Server surat dari domain dari server surat penerima bisa menyimpan salinan, tetapi tidak lama. Dan sejumlah server lagi di antaranya. JUGA smtp mengirim surat di antara yang tidak terenkripsi ini, tapi apa yang lebih menakutkan, bahwa program jahat beberapa penjahat mungkin mendengarkan jaringan yang tepat pada waktu yang tepat untuk menangkap data dalam perjalanan, atau bahwa penjahat lain '

dlamblin
sumber
3

Enkripsi SSL GMAIL hanya melindungi data Anda saat transit. Jadi, dalam contoh pesan email Anda yang beralih dari Anda ke gmail dan kemudian dari gmail ke teman Anda, semua transmisi akan dienkripsi, namun, data yang ada di server gmail (salinan dalam barang yang Anda kirim dan salin di kotak masuk teman Anda) semuanya akan menjadi data yang dapat dibaca. Jika Anda mempercayai google untuk menjaga keamanan data Anda, maka Anda baik-baik saja.

Add-on firefox manakah yang Anda pikirkan?

jtimberman benar bahwa Anda memerlukan program pihak ke-3 seperti pgp / gpg untuk mengenkripsi pesan email Anda sehingga Google tidak dapat membacanya.

SacRyan
sumber
jadi SSL akan mengenkripsi data HTTP yang dikirim melalui koneksi saya serta data SMTP?
Tony Stark
@hatorade, SSL hanya mengenkripsi lalu lintas antara browser Anda dan server web GMail. Dari sana, Anda tidak bisa tahu apakah ada yang dienkripsi atau tidak.
gustafc
@sacryan Saya akan menggunakan FireGPG
Tony Stark