Sta usando TSL / SSL per inviare / ricevere email allo stesso modo della crittografia? [duplicare]

1

Un cliente utilizza una grande azienda per il controllo della posta elettronica. Una caratteristica è la crittografia, principalmente, i documenti quando vengono inviati (portale web per accedervi).

Avevo l'impressione che l'invio di un'e-mail non fosse protetto fino a quando non colpisce i propri server per crittografare effettivamente il file e inviare il collegamento. La loro persona di chat live ha detto che se si utilizza TSL / SSL al momento dell'invio era sufficiente per mantenere le informazioni sicure.

Ho ragione di credere che questo sia solo per le credenziali?

    
posta Jason 24.04.2018 - 00:30
fonte

1 risposta

3

No, non lo è.

Hai almeno 5 parti in gioco qui, il mittente S e il loro server di posta elettronica T, il destinatario R e il loro server di posta elettronica Q, e un utente malintenzionato. Mentre TLS utilizza la crittografia, lo scopo di "crittografare la posta elettronica" è quello di impedire a chiunque, tranne il destinatario, di leggere il messaggio. TLS protegge il messaggio solo da occhi indiscreti in 2 casi:

Caso 1: tra il mittente e il loro server di posta elettronica e tra il destinatario e il loro server di posta elettronica (da S a T e da Q a R)

Caso 2: trasferimento di messaggi da server a server (da T a Q)

Si noti che una volta che il messaggio arriva a un server, non è più crittografato, un utente malintenzionato con accesso a entrambi i server può leggere il messaggio. Questo aggressore può assumere la forma di un amministratore di sistema o malware. La corretta crittografia della posta elettronica viene eseguita in S in modo che solo R possa decodificare il messaggio, in genere ciò avviene utilizzando la crittografia ibrida e l'infrastruttura a chiave pubblica. Né T né Q possono vedere il testo in chiaro in questo caso.

Il tuo esempio è leggermente diverso, dove stai usando un portale web per inviare il tuo file, è crittografato con TLS fino al punto in cui raggiunge il servizio, quindi è testo in chiaro e lo ricodificano di nuovo in modo che solo il corretto l'utente autenticato (presumo) può accedere al file. Se l'utente malintenzionato ha accesso a quel sistema, ha accesso ai file. In questo caso il servizio è sia T che Q.

    
risposta data 24.04.2018 - 05:31
fonte

Leggi altre domande sui tag