Ich habe ein Account gmail.com und sende an Freunden ab und zu e-mails über den Web-Browser.

Das versenden erfolgt über die "https"-Verschlüsselung.

Ich sitze an einem Rechner der an einem Firmennetzwerk mit PROXY angeschlossen ist.

Meine Frage:
Kann ich davon ausgehen dass der Server-Admin meine E-mail NICHT lesen kann? Wie sicher kann ich sein?Oder kann er doch ran?

Am Rande:
Ich habe Ausserdem alle Rechte am Rechner meiner Arbeitesplatz.

Weitere Details kann ich gerne nachreichen.

Nein, er kann nichts lesen, außer er gaugelt Dir vor, er wäre Gmail, baut alles nach, etc pp.

Das SSL verschlüsselt >direkt< "bei" Dir und sendet dann verschlüsselte Daten über den Proxy. Da passiert gar nichts. Das ist sogar >sehr sicher<.

Mein Vorrednet hat leider nicht Recht.

Es gibt spezielle Proxies, die SSL-Sessions aufbrechen können.
Dies dient zur Inspezierung des Datenverkehrs.

z.B. Webwasher

Ja, da hat Konstantin ganz recht. Die SSL Verschlüsselung ist End-to-End, da kann sich normalerweise keiner dazwischenmogeln. :

Leider nicht. Es gibt hierfür spezielle Proxies.
Webwasher z.B. kann das. Es gibt aber andere Proxies.

Also ich bin jetzt etwas verwundert... ich hörte mal einen Vortrag von einem Informatiker des BND und der erläuterte genau dieses Beispiel - so wie von mir dargestellt.
Zum Thema "Webwasher": Der Webwasher kann vielleicht den >Rohverkehr< mitlesen, aber meines Wissens werden die Daten direkt auf dem Computer verschlüsselt. Der Webwasher auf dem Server/Proxy/Router/whatever bekommt nur 128Bit-Daten. Ich bin gespannt, wie man das in >Realtime< knacken/aufbrechen kann.
Lasse mich aber gerne eines Besseren belehren.

Wie es technisch genau funktioniert, kann man z.B. bei Securecomputing nachlesen oder auch im Internet.

Also rein technisch mit einigem Aufwand geht es per man-in-the-middle.

Dabei klemmt sich der Proxy zwischen Dich und GMail. Der Proxy tut dann so, als wäre er GMail und die Verschlüsselung erfolgt von Dir bis zum Proxy. Der Proxy selber verschlüsselt dann wieder neu bis hin zu GMail.

Im realen Leben habe ich das noch nicht funktionierend gesehen, aber in der Theorie ist dieses Angriffsenario (wie gesagt mit einigem Aufwand) aber vorstellbar.

Aber im echten Leben sieht der Admin die Adresse, die Du aufrusft (weiß also, dass Du GMail nutzt), aber nicht die Daten, die Du in das Formular eingibst

Treffend formuliert. Danke

Genauso wie "gibtsNicht" es erklärt, hats auch der BND Typ erklärt und live vorgemacht

Konstantin:

Ich glaube aber, wenn er nicht nur den Netzwerkverkehr von HTTP per SSL verschlüsselt (nix anderes macht ja HTTPS), sondern seine email auch nochmal selber nicht im Klartext über diese Verbindung austauscht, sondern den Inhalt dieser email nochmal per PGP oder S/MIME verschlüsselt, dass auch der BND damit so seine lieben Probleme haben könnte, diese doppelte Verschlüsselung (also HTTPS-Hülle per SSL verschlüsselt und nochmal der Inhalt dieser Hülle per PGP oder S/MIME verschlüsselt) zu knacken oder was damit anzufangen. Selbst, wenn er die SSL-Verschlüsselung des HTTP-Protokolls entschlüsseln könnte, bliebe ihm immer noch das Problem, dass er dann nochmal was zu entschlüsseln hätte: nämlich die eigentliche Nachricht selber. Und da würde ich diesbzgl. PGP eindeutig S/MIME vorziehen, denn es wäre sicher nicht ausgeschlossen, dass der BND sich den Schlüssel zum entschlüsseln von der zentralen S/MIME-Instanz besorgen könnte. Das ist bei einem dezentralen Ansatz wie PGP deutlich schwerer zu erreichen, wenn überhaupt.

sierkb
S/MIME ist dein Thema siehe andere Threads.

Der Autor redet von GMail private E-Mails.

Eine S/MIME-Infrastruktur, wo Outlook zwangsläufig dranhängt, nutzt er ja nicht, da Webbrowser genannt wurde.

Und wenn, denke eh, dass der Admin per Firewall fremde POP/IMAP/SMTP Server gesperrt hat.

Also wenn wir schon verschlüsseln (den Text selbst), dann doch per GnuPG - ist Open Source, daher kostenlos und gibt es praktisch für jeden Mail-Cleint bzw. kann für Webmail ja die Zwischenablage verschlüsseln

Wenn Du es wirklich sicher haben willst und Dein Admin nichts mitbekommen soll: Auf dem Router zu Hause einen SSH-Server installieren, welcher auf dem Port 443 (eigentlich ist dort https) lauscht. Dann mit PublicKey-Authentication vom Client aus über den Proxy (unter Windows kann das z.B. Putty) nach draußen gehen - der Admin sieht nur https - sollte er sich dazwischenklinken wäre Deine PublicKey-Authentifizierung kaputt und Du würdest es merken.

Wenn man dann noch per Tunnel einen Proxy-Server, der zu Hause steht, erreichbar macht, dann kann man überall hinsurfen und der Admin sieht nichts (außer dieser einen SSL/SSH-connection)

Das lässt sich dann auch per Tunnel aushebeln - ist aber schon etwas mit Nerd-Faktor, geht aber problemlos

Rodknocker:
Ich weiß. Hier aber evtl. ebenfalls am Horizont denkbares Thema, wenn er was GANZ Sicheres will...

Ich weiß. Ich auch.
Und zwar deshalb: und . Da gäbe es also was.

Wahnsinn super interessante Feedback von euch!
Ich werde mir ausserdem auch die letzte Link die denke ich sind für google anwender sehr interessant.

Dank 1000