GMail et chiffrement SSL - combien est chiffré

Il est étrangement difficile de savoir exactement comment SSL fonctionne avec le courrier électronique, du moins dans la mesure où je réponds à ma question spécifique - lorsque je me connecte à gmail en utilisant SSL, je comprends que ma connexion est sécurisée et donc les données sont toutes cryptées entre MON ORDINATEUR et le SERVEUR GMAIL . Cependant, est-ce que tout SSL le fait? Par exemple, lorsque j'ouvre un e-mail sur mon ordinateur, les données entre Mountain View (ou autre) et ma maison sont cryptées? Cela signifie-t-il que si j'envoie un e-mail à mon ami qui utilise également gmail avec SSL / gmail sécurisé activé, alors si j'envoie également un e-mail avec une pièce jointe à son compte gmail, cet e-mail ainsi que la pièce jointe sont cryptés sur mon ordinateur, envoyés à GMail serveur, et à condition que mon ami utilise SSL, il peut également acquérir le courrier électronique en toute sécurité? Il n'y a donc pas besoin de ces addons de cryptage firefox? S'agit-il uniquement d'algorithmes de chiffrement plus robustes?

Donc, en résumé, voici ce que je pense avoir appris (et fournit un résumé pour les autres lecteurs). S'IL VOUS PLAIT CORRIGEZ MOI SI JE ME TROMPE:

1. gmail envoie des e-mails aux serveurs Google avec HTTP. gmail récupère également les e-mails des serveurs Google avec HTTP. lorsque vous vous connectez aux serveurs google à l'aide de https (par opposition à http), la connexion entre votre client gmail et les serveurs gmail est sécurisée et les données sont cryptées dans les deux sens entre les deux.

2. lors de l'utilisation d'un client (thunderbird par exemple) SMTP est utilisé pour envoyer des e-mails, et IMAP / POP sont utilisés pour récupérer des e-mails. Au niveau du module complémentaire / options, vous pouvez dire à ces clients d'utiliser TLC pour les étapes SMTP et IMAP / POP.

3. Les serveurs Google n'utilisent probablement pas TLS avec SMTP lorsqu'ils font rebondir des e-mails entre leurs serveurs.

4. Conclusion - si vous utilisez gmail, utilisez toujours HTTPS mais sachez qu'il n'y a pas de cryptage entre les serveurs de google, mais dans le `` monde extérieur '' la connexion entre les clients google (tant que vous utilisez https) est sécurisée. si vous utilisez thunderbird (ou autre chose), activez TLS.

Est-ce correct?

Lorsque vous faites confiance au certificat du site crypté avec SSL, vous pouvez:

• Assurez-vous que la connexion à ce serveur Web est cryptée.
• Assurez-vous que l'identité de ce serveur Web est correcte (c'est-à-dire qu'il ne s'agit pas d'une arnaque par hameçonnage).
• Faites confiance à quelqu'un qui n'intercepte pas votre trafic vers le serveur Web (l'homme au milieu).

(l'important ici, bien sûr, c'est que vous confiance au certificat présenté par le serveur de messagerie de Google, que vous devriez généralement :-))

Les données que vous soumettez dans un formulaire lors de la rédaction d'un e-mail seront cryptées via HTTPS lors de leur transfert de votre navigateur client vers le serveur Gmail qui les transmettra au serveur SMTP. Lorsque vous affichez du courrier dans votre navigateur depuis le serveur, celui-ci est également crypté.

Cependant, SMTP ne crypte pas le courrier. Il existe des moyens d'utiliser TLS (sécurité de la couche de transport) sur IMAP et POP pour crypter les données d'authentification de l'utilisateur / client vers le serveur. Lorsque vous vous connectez via IMAP / POP avec TLS, les données que vous recevez lors de la récupération du courrier vous sont cryptées du serveur. IMAP et POP sont des protocoles de récupération uniquement. Lorsque vous utilisez un client externe tel que Thunderbird pour envoyer du courrier, il passera par un serveur SMTP. Cela peut également être chiffré à l'aide de SASL / TLS avec SMTP, mais encore une fois, c'est uniquement de votre client vers le serveur, et non du serveur vers sa destination finale.

Si vous souhaitez envoyer et recevoir des e-mails chiffrés de bout en bout, peu importe où ils vont sur le réseau, vous devez rechercher une solution comme PGP / GPG. Pour plus d'informations à ce sujet, consultez la question que j'ai posée . Le webui de Gmail ne prend pas en charge l'utilisation de PGP / GPG, vous devrez donc le configurer avec un client de messagerie externe tel que Thunderbird , Mail.app ou Outlook (ou autres).

En ce qui concerne les e-mails que vous envoyez depuis votre compte Gmail vers le compte Gmail d'un ami, ils sont envoyés dans l'infrastructure de messagerie interne de Google. Cela peut avoir un ou plusieurs sauts entre les serveurs, mais reste généralement dans leur réseau privé (10.xxx). Vous pouvez le vérifier en consultant les en-têtes de l'e-mail que votre ami envoie. À partir de l'e-mail dans le Webui Gmail, appuyez sur le bouton déroulant à côté de la "Répondre" et cliquez sur "Afficher l'original". Vous recherchez des lignes commençant par "Received:", comme celles-ci:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Il s'agit d'un message Gmail à Gmail que j'ai. Le premier (dernier) message ici indique que le serveur de messagerie 10.90.68.11 a reçu le message en question d'une connexion HTTP (webui). Ensuite, le courrier est passé via SMTP au 10.90.100.20, puis SMTP au 10.215.12.12, où il m'a été remis.

Encore une fois, même si tout cela est interne au réseau de Google, SMTP ne doit pas être considéré comme un protocole sécurisé pour l'envoi d'informations sensibles. Quiconque a accès aux systèmes de la chaîne ci-dessus peut potentiellement lire le message. Notez également que Google Apps peut passer par un système de passerelle sur leur réseau qui a une adresse externe (qui appartient toujours à Google, cependant).

Vos données ne sont pas sécurisées.

Les gens sont toujours préoccupés par les données en transit, mais le fait fondamental est que le stockage des données est le principal point où les attaques se produisent. EG Les cartes de crédit sont généralement volées dans des fichiers et des bases de données de numéros, et non lors du transport des numéros.

Google stocke vos données. Le stockage n'est pas chiffré. Les gens de Google ou ceux qui compromettent Google pourront un jour le lire, s'ils le souhaitent. Le destinataire du courrier peut également le lire, tout comme le propriétaire du serveur de messagerie du destinataire (FAI ou entreprise). Si le destinataire utilise un client de messagerie ordinaire, il est stocké sur sa machine. C'est là que tout logiciel espion ou rootkit installé par le destinataire pourrait y accéder.

En transit, jtimberman raison. Votre navigateur parle à Google, si vous pensez que la machine qui vous a envoyé le certificat est Google, et que Verisign ou quiconque est une entreprise de confiance qui vous dit que Google vous a effectivement envoyé le certificat de Google. Pendant que le navigateur parle à Google avec le certificat via https, la transmission est cryptée. C'est bien, car cela signifie que tous les autres PC de votre réseau avec d'éventuels logiciels espions ou utilisateurs curieux, et l'administrateur du réseau, ne peuvent pas lire à quel point vous vous plaignez d'eux chaque jour.

Vous devez également faire confiance à votre navigateur ET à tous ses plug-ins. Ils peuvent à peu près simplement lire le contenu des formulaires avant même de les envoyer. En général, vous pouvez lui faire confiance, mais pas ces barres d'outils curieuses, tout le monde vous demande d'installer avec tous ces programmes gratuits que vous téléchargez.

Mais dans l'ensemble, disons que vous avez envoyé un e-mail à quelqu'un et qu'il contenait votre numéro d'identification fiscale, votre date de naissance, votre adresse actuelle et votre nom légal, quelque chose qu'un employeur doit peut-être savoir, vous penseriez que c'est une information sensible. Eh bien, cet e-mail est stocké pour toujours par Google dans la zone de courrier électronique. Même après l'avoir supprimé. Et le destinataire va stocker une copie dans sa boîte de réception. Le serveur de messagerie du destinataire peut stocker une copie. Le serveur de messagerie du domaine du serveur de messagerie du destinataire peut stocker une copie, mais pas pour longtemps. Et un certain nombre de serveurs supplémentaires entre les deux. AUSSI, smtp envoie des courriers électroniques entre ces fichiers non cryptés, mais ce qui est plus effrayant, c'est qu'un programme malveillant d'un criminel pourrait écouter le bon réseau au bon moment pour attraper les données en transit, ou qu'un autre criminel ''

Le cryptage SSL de GMAIL ne protège que vos données en transit. Ainsi, dans votre exemple de votre message électronique allant de vous à gmail puis de gmail à votre ami, toutes les transmissions seraient cryptées, cependant, les données au repos sur les serveurs gmail (une copie dans vos éléments envoyés et un copier dans la boîte de réception de vos amis) seraient toutes des données lisibles. Si vous faites confiance à Google pour assurer la sécurité de vos données, alors tout va bien.

À quels modules complémentaires Firefox pensez-vous?

jtimberman a raison de dire que vous auriez besoin d'un programme tiers comme pgp / gpg pour crypter vos messages électroniques afin que Google ne puisse pas les lire.