GMail और SSL एन्क्रिप्शन - कितना एन्क्रिप्ट किया गया है

14

यह जानना बहुत मुश्किल है कि एसएसएल ईमेल के साथ कैसे काम करता है, कम से कम इनफ़ॉगर के रूप में मेरे विशिष्ट प्रश्न का उत्तर देने के लिए - जब मैं एसएसएल का उपयोग कर जीमेल से जुड़ता हूं, तो मैं समझता हूं कि मेरा कनेक्ट सुरक्षित है और इस प्रकार मेरा कंप्यूटर और जीएमबीईआर सर्वर के बीच डेटा एन्क्रिप्ट किया गया है। । हालाँकि, यह है कि सभी एसएसएल करता है? उदाहरण के लिए, जब मैं अपने कंप्यूटर पर एक ईमेल खोलता हूं, तो माउंटेन व्यू (या जो कुछ भी) और मेरे घर के बीच डेटा एन्क्रिप्ट किया गया है? क्या इसका मतलब यह होगा कि अगर मैं अपने दोस्त को ईमेल करता हूं, जो एसएसएल / सुरक्षित जीमेल सक्षम के साथ जीमेल का उपयोग करता है, तो यदि मैं अपने जीमेल खाते के साथ अनुलग्नक के साथ एक ईमेल भी भेजता हूं, तो ईमेल के साथ-साथ अनुलग्नक को मेरे कंप्यूटर पर एन्क्रिप्ट किया गया है, जिसे जीएमआईएल को भेजा जाता है। सर्वर, और फिर मेरे दोस्त ने एसएसएल का उपयोग किया तो वह ईमेल प्राप्त कर सकता है? तो उन फ़ायरफ़ॉक्स एन्क्रिप्शन ऐडऑन की कोई आवश्यकता नहीं है? क्या वे सिर्फ अधिक मजबूत एन्क्रिप्शन एल्गोरिदम के लिए हैं?

इसलिए सारांश में, यहाँ मुझे लगता है कि मैंने सीखा है (और दूसरों को पढ़ने के लिए सारांश प्रदान करता है)। यदि मैं गलत हूं तो मुझे बताएं:

  1. जीमेल HTTP के साथ Google सर्वर को ईमेल भेजता है। gmail HTTP के साथ google सर्वर से ईमेल भी प्राप्त करता है। जब आप https (http के विपरीत) का उपयोग करके Google सर्वर से जुड़ते हैं तो आपके gmail क्लाइंट और gmail सर्वर के बीच का कनेक्शन सुरक्षित होता है और डेटा को दोनों के बीच आगे और पीछे एन्क्रिप्ट किया जाता है।

  2. क्लाइंट (उदाहरण के लिए थंडरबर्ड) का उपयोग करते समय एसएमटीपी का उपयोग ईमेल भेजने के लिए किया जाता है, और ईमेल प्राप्त करने के लिए आईएमएपी / पीओपी का उपयोग किया जाता है। ऐड-ऑन / विकल्प स्तर पर, आप इन ग्राहकों को एसएमटीपी और आईएमएपी / पीओपी दोनों चरणों के लिए टीएलसी का उपयोग करने के लिए कह सकते हैं।

  3. जब उनके ईमेल सर्वरों के बीच आगे-पीछे उछलते हैं, तो Google सर्वर संभवतः SMTP के साथ TLS का उपयोग नहीं करते हैं।

  4. निष्कर्ष - अगर जीमेल का उपयोग करते हैं, तो हमेशा HTTPS का उपयोग करें, लेकिन यह जान लें कि Google के सर्वरों के बीच कोई एन्क्रिप्शन नहीं है, लेकिन 'बाहरी दुनिया' में Google क्लाइंट (जब तक https का उपयोग किया जाता है) के बीच का कनेक्शन सुरक्षित है। अगर थंडरबर्ड (या कुछ और) का उपयोग करते हुए टीएलएस चालू करें।

क्या ये सही है?

gmail  encryption  ssl 
टोनी स्टार्क
स्रोत

जवाबों:

13

जब आप SSL से एन्क्रिप्ट की गई साइट से प्रमाणपत्र पर भरोसा करते हैं, तो आप कर सकते हैं:

  • विश्वास है कि उस वेब सर्वर से कनेक्शन एन्क्रिप्टेड है।
  • भरोसा रखें कि उस वेब सर्वर की पहचान सही है (यानी उसका फिशिंग घोटाला नहीं)।
  • भरोसा रखें कि कोई आपके ट्रैफ़िक को वेब सर्वर (बीच में मौजूद व्यक्ति) को इंटरसेप्ट नहीं कर रहा है।

(यहां महत्वपूर्ण बात, निश्चित रूप से, यह है कि आप Google के मेल सर्वर द्वारा प्रस्तुत प्रमाण पत्र पर भरोसा करते हैं, जिसे आपको आमतौर पर :-)) चाहिए

ईमेल बनाते समय आपके द्वारा सबमिट किए गए डेटा को HTTPS के माध्यम से एन्क्रिप्ट किया जाएगा क्योंकि यह आपके क्लाइंट ब्राउज़र से Gmail सर्वर तक यात्रा करता है जो इसे SMTP सर्वर से पास करेगा। जब आप सर्वर से अपने ब्राउज़र में मेल प्रदर्शित करते हैं, तो यह भी एन्क्रिप्ट किया गया है।

हालाँकि SMTP मेल को एन्क्रिप्ट नहीं करता है। उपयोगकर्ता / क्लाइंट से सर्वर पर डेटा को एन्क्रिप्ट करने के लिए IMAP और POP पर TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) का उपयोग करने के तरीके हैं। जब आप टीएलएस के साथ IMAP / POP से कनेक्ट होते हैं, तो मेल प्राप्त करते समय आपके द्वारा प्राप्त डेटा को सर्वर से आपके पास एन्क्रिप्ट किया जाता है। IMAP और POP केवल पुनर्प्राप्ति प्रोटोकॉल हैं। जब आप मेल भेजने के लिए थंडरबर्ड जैसे बाहरी क्लाइंट का उपयोग करते हैं, तो यह एसएमटीपी सर्वर के माध्यम से जाएगा। यह SML के साथ SASL / TLS का उपयोग करने के साथ-साथ एन्क्रिप्ट किया जा सकता है, लेकिन फिर से यह केवल आपके क्लाइंट से सर्वर तक है, न कि सर्वर से इसके अंतिम गंतव्य तक।

अगर आप एन्क्रिप्टेड ईमेल एंड टू एंड भेजना चाहते हैं, चाहे वह नेटवर्क पर कहीं भी चले, तो आपको पीजीपी / जीपीजी जैसे समाधान पर ध्यान देने की जरूरत है। इसके बारे में अधिक जानकारी के लिए, मेरे द्वारा पूछे गए प्रश्न को देखें । Gmail का webui PGP / GPG के उपयोग का समर्थन नहीं करता है, इसलिए आपको थंडरबर्ड , Mail.app या Outlook (या अन्य) जैसे बाहरी मेल क्लाइंट के साथ सेट अप करने की आवश्यकता होगी ।

जहां तक ​​आप अपने जीमेल अकाउंट से किसी दोस्त के जीमेल अकाउंट में ईमेल भेजते हैं, वह Google के आंतरिक मेल इन्फ्रास्ट्रक्चर के अंदर भेजा जाता है। यह सर्वरों के बीच एक या अधिक हॉप्स हो सकता है, लेकिन आमतौर पर उनके निजी (10.xxx) नेटवर्क के भीतर रहता है। आप अपने मित्र द्वारा भेजे गए ईमेल के हेडर को देखकर इसे सत्यापित कर सकते हैं। Gmail webui में ईमेल से, "उत्तर" के बगल में ड्रॉप डाउन बटन दबाएं और "मूल दिखाएँ" पर क्लिक करें। आप उन पंक्तियों की तलाश में हैं जो "प्राप्त:" से शुरू होती हैं, जैसे:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

यह जीमेल का जीमेल मैसेज है। यहां पहला (अंतिम) संदेश इंगित करता है कि मेल सर्वर 10.90.68.11 को HTTP कनेक्शन (वेबुई) से प्रश्न में संदेश प्राप्त हुआ। फिर मेल एसएमटीपी के माध्यम से 10.90.100.20 तक चला गया, फिर एसएमटीपी 10.215.12.12 तक, जहां यह मुझे दिया गया।

फिर, जबकि यह सब Google के नेटवर्क के लिए आंतरिक है, एसएमटीपी को संवेदनशील जानकारी भेजने के लिए एक सुरक्षित प्रोटोकॉल नहीं माना जाना चाहिए। जो भी ऊपर की श्रृंखला में सिस्टम तक पहुंच रखता है, वह संभवतः संदेश पढ़ सकता है। यह भी ध्यान दें कि Google Apps अपने नेटवर्क पर एक गेटवे सिस्टम के माध्यम से जा सकते हैं, जिसका बाहरी पता (अभी भी Google के स्वामित्व में है, हालांकि)।

jtimberman
स्रोत
मैं जोड़ूंगा एक SSL मध्य फ़िशिंग घोटाले में एक आदमी को रोक देगा, लेकिन यह एक simmilar नाम की बढ़ती हमले को रोकने के लिए गारंटी नहीं है।
ईबीग्रीन
इसलिए अगर मैं यह समझता हूं, एसएसएल एक सुरक्षित HTTP कनेक्ट (इसलिए https) प्रदान करता है, लेकिन ईमेल HTTP पर नहीं भेजा जाता है, यह SMTP पर भेजा जाता है, और यह SSL द्वारा एन्क्रिप्ट नहीं किया जाता है?
टोनी स्टार्क
1
इसलिए SMTP एक सुरक्षित प्रोटोकॉल नहीं हो सकता है, लेकिन जब SSL सेट किया जाता है, तो क्या यह SMTP को कवर करता है? और IMAP और POP को SSL द्वारा कवर / एन्क्रिप्ट नहीं किया जाएगा?
टोनी स्टार्क
@ घाटडे ने गोलियों के बाद वाक्य में स्पष्ट किया, और उन पर विस्तार किया।
jtimberman
@ व्हाटएप मैं भी imap / pop के बारे में स्पष्ट किया। मुझे आशा है कि यह उत्तर मदद करता है, अच्छा सवाल!
jtimberman
7

आपका डेटा सुरक्षित नहीं है।

लोग हमेशा पारगमन में डेटा के बारे में चिंतित होते हैं, लेकिन मूल तथ्य यह है कि डेटा स्टोरेज मुख्य बिंदु है जहां हमले होते हैं। ईजी क्रेडिट कार्ड आम तौर पर फ़ाइलों और संख्याओं के डेटाबेस से चुराए जाते हैं, न कि संख्याओं के परिवहन से।

Google आपके डेटा को संग्रहीत करता है। भंडारण एन्क्रिप्टेड नहीं है। Google पर लोग, या जो लोग Google से समझौता करते हैं, वे एक दिन इसे पढ़ सकते हैं, यदि वे वास्तव में परवाह करते हैं। मेल के प्राप्तकर्ता भी इसे पढ़ सकते हैं, और प्राप्तकर्ता के मेल सर्वर (ISP या कंपनी) का मालिक भी हो सकता है। यदि प्राप्तकर्ता नियमित मेल क्लाइंट का उपयोग कर रहा है, तो उसे उसकी मशीन पर संग्रहीत किया जाता है। यह वह जगह है जहां कोई भी स्पाइवेयर या रूटकिट्स जो प्राप्तकर्ता ने स्थापित किया है, उस पर मिल सकता है।

पारगमन में, jtimberman सही है। आपका ब्राउज़र Google से बात कर रहा है, अगर आपको भरोसा है कि जिस मशीन ने आपको प्रमाणपत्र भेजा है वह Google है, और यह कि Verisign या whomever एक भरोसेमंद कंपनी है जो आपको बताती है कि Google ने वास्तव में आपको Google का प्रमाणपत्र भेजा है। जबकि ब्राउज़र, https के प्रमाणपत्र के साथ Google से बात करता है, ट्रांसमिशन एन्क्रिप्टेड है। यह अच्छा है, क्योंकि इसका मतलब है कि संभव स्पाइवेयर या नॉसी-यूज़र्स और नेटवर्क एडमिन के साथ आपके नेटवर्क के अन्य सभी पीसी, यह नहीं पढ़ सकते हैं कि आप हर एक दिन उनके बारे में कितनी शिकायत करते हैं।

आपको अपने ब्राउज़र पर भी भरोसा करना होगा, और यह सब प्लग इन है। आपके द्वारा भेजे जाने से पहले वे फॉर्म में बहुत कुछ पढ़ सकते हैं। आम तौर पर आप इस पर भरोसा कर सकते हैं, लेकिन उन नोज़ी टूल बार को हर कोई आपसे नहीं पूछता है कि आप उन सभी फ्री प्रोग्राम्स को इंस्टॉल करें जिन्हें आप डाउनलोड करते हैं।

लेकिन कुल मिलाकर, मान लीजिए कि आपने किसी को एक ईमेल भेजा है और इसमें आपकी कर-आईडी, जन्मतिथि, वर्तमान पता और कानूनी नाम शामिल है, ऐसा कुछ जिसे किसी नियोक्ता को जानना होगा, तो आप उसे संवेदनशील जानकारी के रूप में सोचेंगे। अच्छी तरह से उस ईमेल को Google द्वारा भेजे गए मेल क्षेत्र में हमेशा के लिए संग्रहीत किया जाता है। आपके डिलीट करने के बाद भी। और प्राप्तकर्ता अपने इनबॉक्स में एक कॉपी स्टोर करने जा रहा है। प्राप्तकर्ता का मेल सर्वर एक प्रतिलिपि संग्रहीत कर सकता है। प्राप्तकर्ता के मेल-सर्वर के डोमेन का मेल-सर्वर कॉपी को स्टोर कर सकता है, लेकिन लंबे समय तक नहीं। और बीच में अधिक सर्वरों की संख्या। ALSO smtp इन काफी अनियंत्रित के बीच मेल भेजता है, लेकिन यह क्या डरावना है, कि कुछ आपराधिक दुर्भावनापूर्ण प्रोग्राम सही समय पर सही नेटवर्क को सुनने के लिए पारगमन में डेटा को पकड़ सकता है, या कि कुछ अन्य अपराधी '

dlamblin
स्रोत
3

GMAIL का SSL एन्क्रिप्शन केवल आपके डेटा को ट्रांज़िट में सुरक्षित रखता है। इसलिए आपके उदाहरण में आपके ई-मेल संदेश आपको gmail से जा रहे हैं और फिर gmail से आपके मित्र तक, सभी प्रसारणों को एन्क्रिप्ट किया जाएगा, हालाँकि, gmail सर्वर पर आराम का डेटा (आपके भेजे गए आइटमों में प्रतिलिपि और एक उदाहरण आपके मित्रों के इनबॉक्स में प्रतिलिपि) सभी पठनीय डेटा होंगे। यदि आप अपने डेटा को सुरक्षित रखने के लिए Google पर भरोसा करते हैं, तो आप ठीक हैं।

आप किस फ़ायरफ़ॉक्स ऐड-ऑन के बारे में सोच रहे हैं?

jtimberman सही है कि आपको अपने मेल संदेशों को एन्क्रिप्ट करने के लिए pgp / gpg जैसे एक 3 पार्टी कार्यक्रम की आवश्यकता होगी ताकि Google उन्हें पढ़ सके।

SacRyan
स्रोत
इसलिए SSL मेरे कनेक्शन के साथ-साथ SMTP डेटा पर भेजे गए दोनों HTTP डेटा को एन्क्रिप्ट करेगा?
टोनी स्टार्क
@hatorade, SSL केवल आपके ब्राउज़र और GMail के वेब सर्वर के बीच ट्रैफ़िक को एन्क्रिप्ट करता है। वहां से, आपको पता नहीं चल सकता है कि कुछ भी एन्क्रिप्ट किया गया है या नहीं।
gustafc
@ साइकेरन मैं FireGPG
टोनी स्टार्क
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.