GmailとSSL暗号化-暗号化の程度


14

少なくとも特定の質問に答える限り、SSLが電子メールでどのように機能するかを正確に見つけることは奇妙に困難です-SSLを使用してGmailに接続すると、接続が安全であり、データがすべて私のコンピューターとGMAILサーバー間で暗号化されることを理解しています。しかし、すべてのSSLがそうですか?たとえば、コンピューターで電子メールを開くと、Mountain View(または何でも)と私の家の間のデータは暗号化されますか?また、SSL /セキュアGmailを有効にしたGmailを使用している友人にメールを送信し、Gmailアカウントに添付ファイル付きのメールを送信すると、そのメールと添付ファイルはコンピュータで暗号化され、GMailに送信されますサーバ、私の友人がSSLを使用している場合、彼は電子メールをセキュリティで取得することもできますか?これらのFirefox暗号化アドオンは必要ありませんか?より堅牢な暗号化アルゴリズムのためのものですか?

要約すると、ここに私が学んだと思うものがあります(そして他の人が読んでいる要約を提供します)。私が間違っている場合は私を修正してください:

  1. gmailは、HTTPを使用してGoogleサーバーにメールを送信します。gmailは、HTTPを使用してGoogleサーバーからメールを取得します。(httpではなく)httpsを使用してGoogleサーバーに接続すると、GmailクライアントとGmailサーバー間の接続が安全になり、2つの間でデータが暗号化されます。

  2. クライアント(サンダーバードなど)を使用する場合、SMTPは電子メールの送信に使用され、IMAP / POPは電子メールの取得に使用されます。アドオン/オプションレベルで、SMTPおよびIMAP / POPステップの両方にTLCを使用するようにこれらのクライアントに指示できます。

  3. Googleサーバーは、サーバー間でメールをやり取りする際に、おそらくSMTPでTLSを使用しません。

  4. 結論-Gmailを使用する場合、常にHTTPSを使用しますが、Googleのサーバー間に暗号化はありませんが、「外の世界」ではGoogleクライアント間の接続(httpsを使用している限り)は安全です。サンダーバード(または他の何か)を使用している場合は、TLSをオンにします。

これは正しいです?

回答:


13

SSLで暗号化されたサイトの証明書を信頼すると、次のことができます。

  • そのWebサーバーへの接続が暗号化されていることを信頼します。
  • そのWebサーバーのIDが正しい(つまり、フィッシング詐欺ではない)ことを信頼します。
  • 誰かがWebサーバーへのトラフィックをインターセプトしていないことを信頼してください(中間者)。

(もちろん、ここで重要なことは、Googleのメールサーバーによって提示された証明書を信頼することです。これは一般に:-))

メールを作成するときにフォームで送信したデータは、クライアントブラウザからGmailサーバーに送信され、SMTPサーバーに送信されるため、HTTPSで暗号化されます。サーバーからブラウザにメールを表示すると、これも暗号化されます。

ただし、SMTPはメールを暗号化しません。IMAPおよびPOPでTLS(トランスポートレイヤーセキュリティ)を使用して、ユーザー/クライアントからサーバーへの認証データを暗号化する方法があります。IMAP / POP経由でTLSを使用して接続すると、メールの取得時に受信するデータはサーバーからユーザーに暗号化されます。IMAPおよびPOPは検索プロトコルのみです。Thunderbirdなどの外部クライアントを使用してメールを送信すると、SMTPサーバーを経由します。これは、SMTPでSASL / TLSを使用して暗号化することもできますが、これもクライアントからサーバーへの暗号化のみであり、サーバーから最終宛先への暗号化ではありません。

暗号化された電子メールをエンドツーエンドで送受信する場合は、ネットワーク上のどこにいても、PGP / GPGなどのソリューションを検討する必要があります。詳細については、私が尋ね質問を参照してください。GmailのwebuiはPGP / GPGの使用をサポートしていないため、ThunderbirdMail.app、またはOutlook(またはその他)などの外部メールクライアントでセットアップする必要があります。

Gmailアカウントから友人のGmailアカウントに送信するメールに関しては、Googleの内部メールインフラストラクチャ内で送信されます。これには、サーバー間に1つ以上のホップがある場合がありますが、通常はプライベート(10.xxx)ネットワーク内にとどまります。これを確認するには、友達が送信したメールのヘッダーを確認します。Gmail webuiのメールから、「返信」の横にあるドロップダウンボタンを押して、「オリジナルを表示」をクリックします。次のような「Received:」で始まる行を探しています。

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

これは、GmailからGmailへのメッセージです。ここの最初の(最後の)メッセージは、メールサーバー10.90.68.11がHTTP接続(webui)から問題のメッセージを受信したことを示しています。その後、メールはSMTP経由で10.90.100.20に、次にSMTP経由で10.215.12.12に送信され、そこで配信されました。

繰り返しますが、これはすべてGoogleのネットワークの内部ですが、SMTPは機密情報を送信するための安全なプロトコルと見なされるべきではありません。上記のチェーン内のシステムにアクセスできる人は誰でもメッセージを読むことができます。また、Google Appsは外部アドレスを持つネットワーク上のゲートウェイシステムを通過する可能性があることに注意してください(ただし、まだGoogleが所有しています)。


SSLが中間のフィッシング詐欺の男性を防ぐという1つの警告を追加しますが、同名のフィッシング攻撃を防ぐことは保証されません。
EBGreen 2009

私がこれを理解すると、SSLは安全なHTTP接続(したがってhttps)を提供しますが、電子メールはHTTP経由で送信されず、SMTP経由で送信され、SSLによって暗号化されませんか?
トニースターク

1
SMTPは安全なプロトコルではないかもしれませんが、SSLが設定されている場合、SMTPもカバーしますか?また、IMAPとPOPはSSLでカバー/暗号化されませんか?
トニースターク

@hatorade箇条書きの後の文で明確にし、それらを拡張しました。
jtimberman 09

@hatorade imap / popについても明確にしました。この回答がお役に立てば幸いです!
jtimberman

7

あなたのデータは安全ではありません。

人々は常に転送中のデータを心配していますが、基本的な事実は、データストレージが攻撃が発生する主要なポイントであるということです。EGクレジットカードは通常、数字のファイルからではなく、数字の転送から盗まれます。

Googleはデータを保存します。ストレージは暗号化されていません。グーグルの人々、またはグーグルを危うくする人々は、彼らが実際に気にかけていればいつか読むことができます。メールの受信者も読むことができ、受信者のメールサーバーの所有者(ISPまたは会社)も読むことができます。受信者が通常のメールクライアントを使用している場合、受信者は自分のマシンに保存されます。これは、受信者がインストールしたスパイウェアまたはルートキットが取得できる場所です。

移動中、jtimbermanは正しいです。証明書を送信したマシンがGoogleであり、VerisignまたはGoogleが実際にGoogleの証明書を送信したことを通知する信頼できる会社であると信頼する場合、ブラウザはGoogleと通信しています。ブラウザがhttps経由で証明書を使用してGoogleと通信する間、送信は暗号化されます。これは、スパイウェアや悪意のあるユーザーがいる可能性のあるネットワーク上の他のすべてのPC、およびネットワーク管理者が、あなたが毎日文句を言うのを読むことができないためです。

また、ブラウザを信頼する必要があります。また、すべてのプラグインも信頼する必要があります。送信する前に、フォームの内容を読むことができます。一般的には信頼できますが、ダウンロードするすべての無料プログラムと一緒にインストールすることを誰もが求めているわけではありません。

しかし、全体として、誰かにメールを送信し、それがあなたの納税者番号、生年月日、現在の住所、正式な名前を含んでいるとしましょう。そのメールは、Googleによって送信済みメール領域に永久に保存されます。削除した後でも。そして、受信者は受信トレイにコピーを保存します。受信者のメールサーバーがコピーを保存している可能性があります。受信者のメールサーバーのドメインのメールサーバーはコピーを保存できますが、長く保存することはできません。そして、その間にさらに多くのサーバーがあります。また、smtpはこれらの間に非常に暗号化されていないメールを送信しますが、恐ろしいことに、犯罪者の悪意のあるプログラムが適切なネットワークを適切なタイミングでリッスンして転送中のデータをキャッチする可能性があります。


3

GMAILのSSL暗号化は、送信中のデータのみを保護します。したがって、あなたからgmailへ、そしてgmailから友人への電子メールメッセージの例では、すべての送信が暗号化されますが、Gmailサーバーに保存されているデータ(送信済みアイテムのコピーと友達の受信トレイにコピーする)はすべて読み取り可能なデータになります。データを安全に保つためにGoogleを信頼している場合は、大丈夫です。

どのFirefoxアドオンを考えていますか?

jtimbermanが正しいのは、メールメッセージを暗号化してGoogleが読み取れないようにするために、pgp / gpgなどのサードパーティプログラムが必要になることです。


SSLは、SMTPデータだけでなく、接続経由で送信されるHTTPデータも暗号化しますか?
トニースターク

@ hatorade、SSLはブラウザとGMailのWebサーバー間のトラフィックのみを暗号化します。そこから、何かが暗号化されているかどうかを知ることはできません。
gustafc 09

@sacryan FireGPGを使用するつもりだった
トニースターク
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.