Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Серверы Gmail и 3DES
Google сообщает, что после 30 мая 2025 года “системы, использующие шифр 3DES для SMTP-соединений, не смогут доставлять электронную почту на аккаунты Gmail”. Про 3DES и SMTP-соединения – это буквально так и написано в исходном сообщении (“systems using 3DES for SMTP connections”). Но, насколько можно судить по прочим деталям, имеется в виду всё же TLS, а не непосредственно SMTP.
3DES – это схема использования очень старого симметричного шифра DES с подмешиванием дополнительных ключей, что повышает общую оценку стойкости до 112 бит (оригинальный DES – это 56 бит максимум; практически ничего, по современным меркам). Естественно, схема эта устаревшая, и безальтернативное её использование в 2025 году выглядит странно. Каких-то суперэффективных атак, полностью убивающих 3DES, пока не публиковалось, но 112 бит – это всего лишь 112 бит. И тем не менее, в почтовой системе может быть применена реализация TLS на уровне “хоть какой-то”, это всё равно лучше, чем передача в открытом виде.
С другой стороны – насколько это вообще критично для электронной почты, с точки зрения входных почтовых релеев сервиса Google? TLS для SMTP нужен, кто бы сомневался. Но, во-первых, то, что почту на сервер Gmail кто-то принёс через TLS, совсем не означает, что эта почта и на предыдущих этапах ходила только в защищённом виде. Во-вторых, сообщения всё равно обрабатываются в открытом виде на стороне Google. Тут важен баланс рисков. Так что единственная причина, которую можно придумать, это то, что исключается необходимость поддерживать устаревшие реализации элементов TLS на стороне Google, тем самым оптимизируется технологический стек. Это весьма логично. Однако те, кто не сумел поправить на своей стороне, больше не смогут доставлять почту в Gmail. То есть, теперь доставка почты отключается даже не только по наличию TLS (без TLS Gmail и так уже не принимает сообщения; точнее – не всегда принимает), но по наличию устаревшего шифра. Строгость растёт.
Есть и иной аспект. Если посмотреть на опубликованный список шифров, которые поддерживаются в конфигурации TLS на почтовых серверах Gmail, то станет ясно, что там, за вычетом 3DES, остаётся только AES и ChaCha20. При этом, если не использовать TLS 1.3, то остаётся единственный вариант – AES.
Адрес записки: https://dxdt.ru/2025/05/11/15551/
Похожие записки:
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Техническое: обновления на тестовом сервере TLS 1.3
- Twitter за стеной регистрации
- TLS 1.3 и постквантовые криптосистемы
- Логи Certificate Transparency и "таймшардинг"
- Забавные капчи
- Реплика: о языках программирования, из практики
- Kyber768 и TLS-серверы Google
- Реплика: преодоление air gap
- Обобщение ИИ и "кнопки на пульте"
- Gofetch как уязвимость
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 11th May 2025, 18:32 // Читатель beldmit написал:
Я с трудом представляю (точнее, вообще не представляю) себе живую систему, которая поддерживает DES, не поддерживает AES, и поддерживает прочие стандарты, необходимые для общения с GMail (DKIM, DMARC). Так что не растёт тут строгость
2 <t> // 11th May 2025, 19:59 // Александр Венедюхин:
Это должна быть очень редкая система, согласен. Но, как оказывается, чего только не случается в мире почтовых серверов. Не далее чем в прошлом году ко мне обратились с просьбой помочь разобраться, почему некоторая “корпоративная почта” не принимается на Gmail. Сказали, что это не особо пользователя (единственного) той почты беспокоит, потому что всё равно приспособились уже отправлять на Gmail письма с Gmail, но с копией на “корпоративный ящик”. “Но, мало ли, может – и вы поможете чем-то”. Я попросил написать мне письмо с той почты. Написали. Я посмотрел в логи сервера и увидел, что письмо принёс релей с IP-адресом некоторого древнего российского хостинг-провайдера (типа, скажем, забытого осколка “Демоса”), и этот релей не умеет в TLS совсем. Поэтому и Gmail с ним не разговаривал. Так что я уже не удивлюсь, если у кого-то найдётся почтовик только с 3DES в TLS.
Кстати, к DKIM/DMARC и пр. Gmail относится довольно мягко: обычно, достаточно SPF-записи, чтобы почта доходила. Но вот без TLS – не принимают строго.
3 <t> // 11th May 2025, 20:42 // Читатель beldmit написал:
Ну вот систему вообще без TLS я представить могу. А систему с TLS и без AES – не очень.
Написать комментарий