web-dev-qa-db-ja.com

HTTPSを使用している場合でも、ISPは私のGmailを読み取ることができますか?それを防ぐ方法はありますか?

HTTPSを使用している場合でも、ISPはGmailやその他のメールを読み取ることができますか?

彼らは「中間者」なので、彼らはそれを行うことができると思います。

それを防ぐ方法はありますか?

これは私の国(ウルグアイ)で政府がISPにすべての電子メールを読むことができるソフトウェアを追加するように命じたというニュースに関連しています。 ( http://www.elobservador.com.uy/noticia/​​289757/el-guardian-espiara-desde-enero-mails-y-celulares/

9
Daniel Benedykt

いいえ、彼らは自分からGoogleのサーバーに流れる暗号化されたトラフィックしか見ることができません。トラフィックの実際のコンテンツ(メール)を見ることができません。

ただし、ISPがWebプロキシを強制的に使用させ、その証明書を使用させる場合、ISPはトラフィックのコンテンツを見ることができます。 gmail.comにアクセスするときに信頼できない証明書が表示される場合は注意が必要です。 VPNを使用して、ISPがこのようなことをしようとしないようにすることも検討できます。

11
CurtBraz

一言で言えば

はい、多くの脆弱性のために暗号化を使用している場合でも、ほとんどの電子メールが電子メールプロバイダーのサーバーで暗号化されていないという事実により、ISPおよび政府は電子メールを読み取ることができます。

一言で言えば間違いない

ISPは、暗号化された電子メールを読み取るためにいくつかの戦術を採用できます。最初に電子メールはHTTPSを使用せず、代わりに、暗号化にStartTLSを使用できるSMTPプロトコルを使用します。これは、STARTTLSが便宜的であるため、あなた、あなたのメールプロバイダー、そしてあなたの受信者が特定の基準を満たしたときに暗号化します。これにより、StartTLSを無効にする特定の条件を強制することにより、通信が安全でなくなりやすくなります。

これが、多くのメールが転送中に暗号化されない理由です。ただし、Googleのようにこれに優れたメールプロバイダーもあるので、GmailからGmailへの通信はデフォルトで転送中に暗号化されますが、他の多くはそうではありません。

しかし、議論のために、すべての電子メールが暗号化されており、ISPがそれらをクリアテキストで送信するようなことを何も実行していないとします。それでも、政府がそれらを読むことを望む場合、ほとんどすべての電子メールを読むことができます。電子メールはエンドツーエンドで暗号化されません。つまり、traveling暗号化されていても、メールプロバイダーのサーバーでは暗号化されません。

したがって、政府が本当にあなたが送信している電子メールを知りたいのなら、捜査令状があれば、彼らは知ることができます。セキュリティ/プライバシーコミュニティの信条は、暗号化を使用している場合でも、電子メールは常に安全ではないということです。

できること/その他

かなりの量の作業で電子メールを安全にすることができますが、それはあなたの電子メールの受信者が協力することを必要とし、あなたが持っていない贅沢かもしれません。プライバシーについて懸念がある場合はメールを使用しないことをお勧めします。メールが絶対に必要な場合は、STARTTLS、PGP、および興味がある場合は、stackexchangeに関するこの投稿を読むことをお勧めします。

代替メール:

  1. K-9メール(エンドツーエンドのPGP暗号化を備えたオープンソースの電子メールクライアント)
  2. Mailvelope(Webメールを介した電子メールの暗号化用)
  3. Cryptocat(ブラウザの暗号化されたプライベートチャット)

(申し訳ありませんが、ここには2つのリンクしか投稿できません)

1
pietroglyph

はい、証明書を複製することで可能であり、ブラウザはそれについて警告しません:

別の質問からの回答:

はい、可能です。

別の有効なTLSリーフ証明書を使用すると、CAフラグをバイパスし、その証明書を使用して任意のサイトの証明書に署名できます。

https://community.rapid7.com/community/infosec/blog/2015/07/09/cve-2015-1793-openssl-certificate-authority-impersonation

ChromeとFirefoxは、パッチが適用されていないシステム(今日の多くのシステムである可能性が高い)で、これに対して確実に脆弱です。

0
voskyc