GMail y cifrado SSL: cuánto se cifra

14

Es extrañamente difícil saber exactamente cómo funciona SSL con el correo electrónico, al menos en la medida en que responda mi pregunta específica: cuando me conecto a gmail usando SSL, entiendo que mi conexión es segura y, por lo tanto, todos los datos están encriptados entre MI COMPUTADORA y el SERVIDOR GMAIL . Sin embargo, ¿eso es todo lo que hace SSL? Por ejemplo, cuando abro un correo electrónico en mi computadora, ¿se cifran los datos entre Mountain View (o lo que sea) y mi casa? ¿Eso significaría que si le envío un correo electrónico a mi amigo que también usa gmail con SSL / gmail seguro habilitado, entonces si envío un correo electrónico también con un archivo adjunto a su cuenta de gmail, ese correo electrónico y el archivo adjunto se cifran en mi computadora y se envían a GMail? servidor, y luego, si mi amigo usa SSL, ¿puede adquirir el correo electrónico también? Entonces, ¿no hay necesidad de esos complementos de cifrado de Firefox? ¿Son solo para algoritmos de cifrado más robustos?

En resumen, esto es lo que creo que he aprendido (y proporciona un resumen para que otros lo lean). POR FAVOR, CORRÍJAME SI ESTOY EQUIVOCADO:

  1. Gmail envía correos electrónicos a los servidores de Google con HTTP. gmail también recupera correos electrónicos de servidores de google con HTTP. cuando se conecta a los servidores de Google usando https (en lugar de http), la conexión entre su cliente de gmail y los servidores de gmail es segura y los datos se cifran entre ambos.

  2. cuando se usa un cliente (por ejemplo, Thunderbird) SMTP se usa para enviar correos electrónicos, y IMAP / POP se usa para recuperar correos electrónicos. En el nivel de complementos / opciones, puede decirles a estos clientes que usen TLC para los pasos SMTP e IMAP / POP.

  3. Los servidores de Google probablemente no usen TLS con SMTP cuando rebotan correos electrónicos entre sus servidores.

  4. Conclusión: si usa gmail, use siempre HTTPS pero sepa que no hay cifrado entre los servidores de google, pero en el "mundo exterior" la conexión entre los clientes de google (siempre que use https) es segura. Si usa Thunderbird (u otra cosa), active TLS.

¿Es esto correcto?

gmail  encryption  ssl 
Tony Stark
fuente

Respuestas:

13

Cuando confía en el certificado del sitio encriptado con SSL, puede:

  • Confíe en que la conexión a ese servidor web está encriptada.
  • Confíe en que la identidad de ese servidor web es correcta (es decir, no es una estafa de phishing).
  • Confíe en que alguien no está interceptando su tráfico al servidor web (hombre en el medio).

(lo importante aquí, por supuesto, es que confía en el certificado presentado por el servidor de correo de Google, que generalmente debería :-))

Los datos que envíe en un formulario al redactar un correo electrónico se cifrarán a través de HTTPS a medida que viaja desde el navegador de su cliente al servidor de Gmail que lo pasará al servidor SMTP. Cuando muestra el correo en su navegador desde el servidor, esto también se cifra.

Sin embargo, SMTP no cifra el correo. Hay formas de usar TLS (seguridad de la capa de transporte) sobre IMAP y POP para cifrar los datos de autenticación del usuario / cliente al servidor. Cuando se conecta a través de IMAP / POP con TLS, los datos que recibe al recuperar el correo se cifran desde el servidor hacia usted. IMAP y POP son solo protocolos de recuperación. Cuando utiliza un cliente externo como Thunderbird para enviar correo, pasará por un servidor SMTP. Esto también se puede cifrar usando SASL / TLS con SMTP, pero nuevamente eso es solo de su cliente al servidor y no del servidor a su destino final.

Si desea enviar y recibir correo electrónico cifrado de extremo a extremo, sin importar a dónde vaya en la red, entonces debe buscar una solución como PGP / GPG. Para obtener más información sobre esto, vea la pregunta que hice . El webui de Gmail no admite el uso de PGP / GPG, por lo que deberá configurarlo con un cliente de correo externo como Thunderbird , Mail.app u Outlook (u otros).

En cuanto al correo electrónico que envía desde su cuenta de Gmail a la cuenta de Gmail de un amigo, se envía dentro de la infraestructura de correo interno de Google. Esto puede tener uno o más saltos entre servidores, pero generalmente permanece dentro de su red privada (10.xxx). Puede verificar esto mirando los encabezados del correo electrónico que envía su amigo. Desde el correo electrónico en el webui de Gmail, presione el botón desplegable al lado de "Responder" y haga clic en "Mostrar original". Estás buscando líneas que comienzan con "Recibido:", como estas:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Este es un mensaje de Gmail a Gmail que tengo. El primer (último) mensaje aquí indica que el servidor de correo 10.90.68.11 recibió el mensaje en cuestión desde una conexión HTTP (webui). Luego el correo pasó por SMTP a 10.90.100.20, luego SMTP a 10.215.12.12, donde me lo entregaron.

Nuevamente, aunque todo esto es interno a la red de Google, SMTP no debe considerarse un protocolo seguro para enviar información confidencial. Cualquiera que tenga acceso a los sistemas de la cadena anterior puede leer el mensaje. También tenga en cuenta que Google Apps puede pasar por un sistema de puerta de enlace en su red que tiene una dirección externa (aunque todavía es propiedad de Google).

jtimberman
fuente
Agregaré una advertencia de que SSL evitará que un hombre se encuentre en el medio de una estafa de phishing, pero no se garantiza que evite un ataque de phishing de nombre similar.
EBGreen
Entonces, si entiendo esto, SSL proporciona una conexión HTTP segura (por lo tanto, https), pero el correo electrónico no se envía a través de HTTP, se envía a través de SMTP, y ESO no está encriptado por SSL.
Tony Stark
1
entonces SMTP puede no ser un protocolo seguro, pero cuando se configura SSL, ¿eso también cubre SMTP? ¿Y IMAP y POP no estarían cubiertos / encriptados por SSL?
Tony Stark
@hatorade aclaré en la oración después de las balas, y las amplié.
jtimberman
@hatorade También aclaré sobre imap / pop. Espero que esta respuesta ayude, ¡buena pregunta!
jtimberman
7

Tus datos no son seguros.

La gente siempre está preocupada por los datos en tránsito, pero el hecho básico es que el almacenamiento de datos es el punto principal de dónde ocurren los ataques. Por ejemplo, las tarjetas de crédito generalmente se roban de archivos y bases de datos de números, y no del transporte de los números.

Google almacena sus datos. El almacenamiento no está encriptado. Las personas en Google, o aquellos que comprometen a Google, pueden leerlo algún día, si realmente les importa. El destinatario del correo también puede leerlo, y el propietario del servidor de correo del destinatario (ISP o compañía) también. Si el destinatario está utilizando un cliente de correo normal, se almacena en su máquina. Aquí es donde cualquier spyware o rootkits que el destinatario haya instalado podría acceder a él.

En tránsito, jtimberman tiene razón. Su navegador está hablando con Google, si confía en que la máquina que le envió el certificado es Google, y que Verisign o quien sea una compañía confiable le dice que Google realmente le envió el certificado de Google. Mientras el navegador habla con Google con el certificado a través de https, la transmisión está encriptada. Esto es bueno, porque significa que todas las otras PC en su red con posibles espías o usuarios curiosos, y el administrador de la red, no pueden leer cuánto se queja de ellas todos los días.

También debe confiar en su navegador, y en todos sus complementos. Pueden leer lo que hay en los formularios antes de enviarlo. En general, puede confiar en él, pero no en esas curiosas barras de herramientas que todos le piden que instale junto con todos los programas gratuitos que descarga.

Pero, en general, supongamos que le envió un correo electrónico a alguien y que contenía su identificación fiscal, fecha de nacimiento, dirección actual y nombre legal, algo que un empleador tal vez necesite saber, lo consideraría información confidencial. Bueno, ese correo electrónico es almacenado para siempre por Google en el área de correo enviado. Incluso después de eliminarlo. Y el destinatario va a almacenar una copia en su bandeja de entrada. El servidor de correo del destinatario podría estar almacenando una copia. El servidor de correo del dominio del servidor de correo del destinatario podría estar almacenando una copia, pero no por mucho tiempo. Y una cantidad de servidores más en el medio. TAMBIÉN smtp envía correo entre estos bastante sin cifrar, pero lo que es más aterrador, es que el programa malicioso de algunos delincuentes podría estar escuchando la red correcta en el momento adecuado para capturar los datos en tránsito, o que algún otro delincuente '

dlamblin
fuente
3

El cifrado SSL de GMAIL solo protege sus datos en tránsito. Entonces, en su ejemplo de su mensaje de correo electrónico que va de usted a gmail y luego de gmail a su amigo, todas las transmisiones se cifrarían, sin embargo, los datos en reposo en los servidores de gmail (una copia en sus elementos enviados y un copiar en la bandeja de entrada de tus amigos) todos serían datos legibles. Si confías en Google para mantener tus datos seguros, entonces estás bien.

¿En cuáles de los complementos de Firefox estás pensando?

jtimberman tiene razón en que necesitaría un programa de terceros como pgp / gpg para cifrar sus mensajes de correo para que Google no pueda leerlos.

SacRyan
fuente
¿Entonces SSL encriptaría tanto los datos HTTP enviados a través de mi conexión como los datos SMTP?
Tony Stark
@hatorade, SSL solo cifra el tráfico entre su navegador y el servidor web de GMail. A partir de ahí, no puedes saber si algo está encriptado o no.
gustafc
@sacryan iba a usar FireGPG
Tony Stark
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.