web-dev-qa-db-ja.com

GmailとSSL暗号化-暗号化される量

少なくとも私の特定の質問に答える限り、SSLが電子メールでどのように機能するかを正確に知ることは奇妙なことに困難です-SSLを使用してGmailに接続すると、接続が安全であり、データがすべてMYCOMPUTERとGMAILSERVERの間で暗号化されていることを理解しています。しかし、それはすべてのSSLが行うのですか?たとえば、コンピューターでメールを開くと、マウンテンビュー(またはその他)と家の間のデータが暗号化されますか?つまり、SSL /セキュアGmailを有効にしてGmailも使用している友人にメールを送信した場合、彼のGmailアカウントにも添付ファイル付きのメールを送信すると、そのメールと添付ファイルはコンピューターで暗号化され、GMailに送信されます。サーバー、そして私の友人がSSLを使用している場合、彼はセキュリティで電子メールを取得することもできますか?それで、それらのFirefox暗号化アドオンは必要ありませんか?これらは、より堅牢な暗号化アルゴリズムのためだけのものですか?

要約すると、これが私が学んだと思うことです(そして他の人が読んでいる人に要約を提供します)。私が間違っている場合は私を訂正してください:

  1. gmailはHTTPを使用してGoogleサーバーにメールを送信します。 Gmailは、HTTPを使用してGoogleサーバーからメールも取得します。 (httpではなく)httpsを使用してGoogleサーバーに接続すると、GmailクライアントとGmailサーバー間の接続は安全になり、データは2つの間を行き来して暗号化されます。

  2. クライアント(Thunderbirdなど)を使用する場合、SMTPは電子メールの送信に使用され、IMAP/POPは電子メールの取得に使用されます。アドオン/オプションレベルでは、SMTPとIMAP/POPの両方のステップでTLCを使用するようにこれらのクライアントに指示できます。

  3. Googleサーバーは、サーバー間でメールをやり取りするときにSMTPでTLSを使用しない可能性があります。

  4. 結論-Gmailを使用する場合は、常にHTTPSを使用しますが、Googleのサーバー間に暗号化がないことを知っていますが、「外の世界」では、Googleクライアント間の接続(httpsを使用している限り)は安全です。 Thunderbird(または他の何か)を使用している場合は、TLSをオンにします。

これは正しいです?

gmailencryptionssl
14
Tony Stark

SSLで暗号化されたサイトからの証明書を信頼する場合、次のことができます。

  • そのWebサーバーへの接続が暗号化されていることを信頼してください。
  • そのWebサーバーのIDが正しいことを信頼します(つまり、フィッシング詐欺ではありません)。
  • 誰かがWebサーバーへのトラフィックを傍受していないことを信頼してください(中間者)。

(もちろん、ここで重要なことは、Googleのメールサーバーによって提示された証明書をtrustすることです。これは、通常、:-))

メールを作成するときにフォームで送信するデータは、クライアントブラウザからGmailサーバーに移動するときにHTTPSを介して暗号化され、GmailサーバーがSMTPサーバーに渡します。サーバーからブラウザにメールを表示すると、これも暗号化されます。

ただし、SMTPはメールを暗号化しません。 IMAPおよびPOPを介してTLS(トランスポート層セキュリティ)を使用して、ユーザー/クライアントからサーバーへの認証データを暗号化する方法があります。 TLSを使用してIMAP/POP経由で接続する場合、メールの取得時に受信するデータはサーバーからユーザーに暗号化されます。 IMAPとPOPは取得プロトコルのみです。 Thunderbirdなどの外部クライアントを使用してメールを送信すると、SMTPサーバーを経由します。これは、SMTPでSASL/TLSを使用して暗号化することもできますが、これもクライアントからサーバーへのみであり、サーバーから最終的な宛先へは暗号化されません。

暗号化された電子メールをエンドツーエンドで送受信したい場合は、ネットワーク上のどこに行っても、PGP/GPGのようなソリューションを検討する必要があります。これについての詳細は、 私が尋ねた質問 を参照してください。 GmailのwebuiはPGP/GPGの使用をサポートしていないため、 ThunderbirdMail.app 、または-などの外部メールクライアントで設定する必要があります。 Outlook (またはその他)。

Gmailアカウントから友人のGmailアカウントに送信するメールは、Googleの内部メールインフラストラクチャ内で送信されます。これには、サーバー間に1つ以上のホップがある場合がありますが、通常はプライベート(10.x.x.x)ネットワーク内にとどまります。これは、友達が送信するメールのヘッダーを確認することで確認できます。 Gmail webuiのメールから、[返信]の横にあるドロップダウンボタンを押して、[オリジナルを表示]をクリックします。次のように、「Received:」で始まる行を探しています。

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

これは私が持っているGmailからGmailへのメッセージです。ここでの最初の(最後の)メッセージは、メールサーバー10.90.68.11がHTTP接続(webui)から問題のメッセージを受信したことを示しています。次に、メールはSMTP経由で10.90.100.20に送信され、次にSMTP経由で10.215.12.12に送信され、そこで配信されました。

繰り返しますが、これはすべてGoogleのネットワークの内部にありますが、SMTPは機密情報を送信するための安全なプロトコルと見なされるべきではありません。上記のチェーン内のシステムにアクセスできる人は誰でも、メッセージを読むことができる可能性があります。また、Google Appsは、外部アドレスを持つネットワーク上のゲートウェイシステムを経由する場合があることにも注意してください(ただし、Googleが引き続き所有しています)。

13
jtimberman

あなたのデータは安全ではありません。

人々は常に転送中のデータについて心配していますが、基本的な事実は、データストレージが攻撃が発生する主なポイントであるということです。例えば。クレジットカードは通常、番号の転送からではなく、番号のファイルやデータベースから盗まれます。

Googleはあなたのデータを保存します。ストレージは暗号化されていません。グーグルの人々、またはグーグルを危険にさらす人々は、彼らが実際に気にかけているならば、いつかそれを読むことができます。メールの受信者も読むことができ、受信者のメールサーバーの所有者(ISPまたは会社)も読むことができます。受信者が通常のメールクライアントを使用している場合、それは自分のマシンに保存されます。これは、受信者がインストールしたスパイウェアやルートキットが入手できる場所です。

輸送中、 jtimberman は正しいです。証明書を送信したマシンがGoogleであり、VerisignまたはGoogleが実際にGoogleの証明書を送信したことを通知する信頼できる会社であると信頼できる場合、ブラウザはGoogleと通信しています。ブラウザがhttps経由で証明書を使用してGoogleと通信している間、送信は暗号化されます。これは、スパイウェアやnoseyユーザーの可能性があるネットワーク上の他のすべてのPCとネットワーク管理者が、毎日どれだけの苦情を言っているかを読み取ることができないことを意味するので、素晴らしいです。

また、ブラウザとそのすべてのプラグインを信頼する必要があります。彼らはあなたがそれを送る前にフォームにあるものをほとんど読むことができます。一般的には信頼できますが、ダウンロードしたすべての無料プログラムと一緒にインストールするように誰もが求めているおせっかいなツールバーではありません。

しかし、全体として、誰かにメールを送信し、そのメールに納税者番号、生年月日、現在の住所、氏名が含まれているとすると、雇用主が知っておく必要があるかもしれません。これは機密情報だと思います。そのメールはGoogleによって送信メールエリアに永久に保存されます。削除した後も。そして、受信者は自分の受信トレイにコピーを保存しようとしています。受信者のメールサーバーがコピーを保存している可能性があります。受信者のメールサーバーのドメインのメールサーバーがコピーを保存している可能性がありますが、長くはありません。そして、その間にさらに多くのサーバーがあります。また、smtpはこれらのまったく暗号化されていない間でメールを送信しますが、恐ろしいことに、ある犯罪者の悪意のあるプログラムが適切なタイミングで適切なネットワークをリッスンして転送中のデータをキャッチしたり、他の犯罪者の悪意のあるプログラムがいつかどこかにインストールされる可能性があります現在コピーが含まれているマシンのうち、そのコピーを見つけて、データを犯罪者の組織に送信しますか?

7
dlamblin

GMAILのSSL暗号化は、転送中のデータのみを保護します。したがって、あなたからGmailに、次にGmailから友人に送信される電子メールメッセージの例では、すべての送信が暗号化されますが、Gmailサーバーに保存されているデータ(送信されたアイテムのコピーと友達の受信トレイにコピー)はすべて読み取り可能なデータになります。あなたがあなたのデータを安全に保つためにグーグルを信頼するならば、あなたは大丈夫です。

どのFirefoxアドオンを考えていますか?

jtimbermanは、Googleがメールメッセージを読み取れないようにメールメッセージを暗号化するためにpgp/gpgのようなサードパーティプログラムが必要になるのは正しいことです。

3
SacRyan