ProtonMail


ProPrivacy.com Pontszám
9.3 tízből

összefoglalás

Amikor egy évvel ezelőtt először áttekintettem a ProtonMail-t, ez nagyon lendületes szolgáltatás volt, még mindig az alfa-fejlesztési szakaszában. Még akkor is azt hittem, hogy nagy ígéret volt, mindaddig, amíg a korlátait teljesen megértették. Azóta a ProtonMail számos új funkciót vezetett be, ideértve a prémium fiókokat is. Titkosított e-maileket küldhet nem ProtonMail felhasználóknak, mobil alkalmazásoknak, és (ami a legfontosabb az egészben) teljesen nyílt forrásúvá vált..

A szolgáltatás sok szempontja azonban nem változott, tehát a cikk újratalálásának helyett ez a cikk az eredeti áttekintés kibővített és módosított változata.

Gyors statisztika

  • Ország
    Svájc

Mi a ProtonMail??

A ProtonMail a magánéletre összpontosító webmail szolgáltatás, amelynek célja a szolgáltatások, például a Gmail, funkcionalitásának és könnyű használatának biztosítása, de biztonságos és nem kémkedett a felhasználók kommunikációján annak érdekében, hogy elbuktassák őket, vagy átadhassák a NSA.

Ezt a MIT és a Harvard kutatói hallgatói csoport fejlesztette ki, a Harvard PhD jelölt és Andy Yen CERN kutató vezetésével. Eredetileg egy vadul sikeres IndieGoGo kampány szorzott össze a finanszírozásban..

Várólista

A ProtonMail iránti érdeklődés óriási, és az új felhasználók befogadására küzdött, és így egy várakozási listát hozott létre a fiókok aktiválása előtt. Ez a meglehetősen frusztráló kérdés sokan úgy döntöttek, hogy a (nagyon jó) Tutanotát választják, amelynek nincs ilyen várakozási listája.

Szerencsére a várakozási idő csökkent az a nyolc hónapból (!), Amelyre egy évvel ezelőtt meghívás érkezése eltelt, kb. 2 hétre (anekdotikus jelentések szerint). Ez azonban továbbra is problémát jelenthet a türelmetlenebbek számára.

Frissítés: Csak két nappal az áttekintés közzététele után a ProtonMail megnyitotta előfizetését mindenkinek.

Árképzés és tervek

Az egyik legfontosabb fejlemény a prémium tervek bevezetése. A nagyon hasznos ingyenes réteg továbbra is létezik (és a ProtonMail megígérte, hogy mindig is fennmarad), de a prémium tervek néhány nagyon hasznos funkciót tartalmaznak, például egyéni tartományokat és webcímeket, valamint megnövelt napi tárhelyet és üzeneteket..

A ProtonMail Plus terv havonta 5 dollár (vagy havonta 4 dollár, ha évente fizetik), de tovább testreszabható. A ProtonMail Visionary terv havonta 30 dollárral kezdődik, és egyértelműen a vállalkozások számára szól.

ProtonMail árképzés 2

Egyéni domainek - Ha van saját domain neved, akkor ezt használhatja titkosított üzenetek küldésére és fogadására a ProtonMail-fiókjával (például az [e-mail védett] oldalon).

ProtonMail címek - Ez a @ protonmail.ch vagy @ protonmail.com címek száma lehet. A ProtonMail válogatási funkciókat tervez hozzá egy jövőbeli kiadáshoz.

Minden új egyedi domainhez vagy ProtonMail álnévhez új kulcsokat generálunk.

Alkalmi felhasználók számára az ingyenes szolgáltatás valószínűleg több mint elegendő, de az energiafelhasználók számára a prémium extrák üdvözlő kiegészítést jelentenek, és kiváló módon segítik a szolgáltatás finanszírozását (ne feledje, hogy a ProtonMail nem keres pénzt reklámozása vagy adatainak a hirdetőknek történő eladása révén. !).

Jellemzők

  • Teljes körű, titkosított e-mailek
  • Titkosított e-maileket küldhet nem ProtonMail felhasználók számára
  • Önpusztító e-mailek
  • Továbbfejlesztett webes felület drag and drop üzenetekkel, névjegykezelővel, hitelesítési naplókkal és egyebekkel
  • Alkalmazások Android és iOS számára
  • Székhely: Svájc (erről később bővebben)
  • Teljesen nyílt forráskódú
  • Nyilvános kulcs exportálása (más PGP felhasználók számára történő küldéshez és az üzenetek kézi ellenőrzéséhez)

Svájc

A ProtonMail Svájcon kívüli működése sok felhasználó számára nagy hátrányt jelent, mivel Svájc az Egyesült Államok és az EU illetékességi területén kívül esik, és elismerten nagyon szigorú adatvédelmi törvényekkel rendelkezik. A felügyeleti irányelveket a bíróságok útján kell megszerezni, és nem kell meghirdető hatáskörrel értesíteni a célokat, az elektronikus kommunikáció műszaki lehallgatása csak az internetszolgáltatók vonatkozásában megengedett, nem pedig a „pusztán” internetes alkalmazásszolgáltatók (például e-mail szolgáltatások) stb..

Annak megítélése azonban, hogy ez a hírnév teljesen igazolható-e, nem egyértelmű. Gyakran mondják például, hogy a svájci hatóságoknak nincs érdeke az USA-val és szövetségeseivel való együttműködés iránt, de mivel az amerikai adócsalók 2013-ban kiderítették a vagyonukat a svájci bankszámlákra, ez nem mindig igaz. Victor Vital, a Barnes egyik ügyvédje & Thornburg, ezt mondta a Wired-nek,

"Úgy tűnik, hogy az emberek úgy vélik, hogy az adatvédelmi törvények Európában vagy külföldön problémákat jelentenek vagy akadályt jelentenek, de éppen nem erről van szó, mivel ezekben a szerződésekben az országok kötelezik magukat arra, hogy a lehető legszélesebb körű és lehető legnagyobb mértékben együttműködjenek."

Még ennél is aggasztóbb az, hogy a svájci kormány kényszeríti az új hatalmas új felügyeleti törvényeket (a Nachrichtendienstgesetzt (NDG) a „BÜPF”) a tavalyi Párizsban elkövetett terrorista támadások nyomán, amelyek jelentősen bővítik az állam felügyeleti hatásköreit..

A demokrácia svájci rendszerének köszönhetően az NDG tartózkodik addig, amíg a júniusban nem tartanak rá népszavazást, és a ProtonMail figyelemre méltóan kampányozott annak érdekében, hogy összegyűjtsék a 70 000 aláírást, amely ehhez szükséges. A BÜPF „szavazásra vár a parlament tavaszi ülésén, de felülvizsgálható vagy késleltethető”.

Ezért azt gondolom, hogy igazságos azt mondani, hogy a helyzet nagyon sok a levegőben, bár a ProtonMail azt állítja, hogy az NDG törvény nem érinti azt, még akkor sem, ha azt a népszavazás elfogadja..

Magánélet

A ProtonMail-fiókokat két jelszó védi, amelyek közül az első a felhasználó hitelesítésére és a helyes fiók lekérésére szolgál (és amelynek a ProtonMail másolatát tartja fenn), a második pedig csak a felhasználó kezeli, és a postaládájuk visszafejtésére szolgál. . Micah Lee, az Intercept technikusa, aki az adatvédelemre és a kriptográfiai megjegyzésekre összpontosít,

„Valójában nagyon jó, hogy két jelszókészletük van. A bejelentkezési jelszót elküldik a szervernek, és így bizonyíthatod, hogy a felhasználóneved valójában a tied. A második a postafiók jelszava, amelyet soha nem küldünk el a ProtonMail szerverére. A második jelszó fut a böngészőben, és visszafejti az üzeneteit. ”

A leveleket a ProtonMail szerverein titkosítva tárolják, így a ProtonMail munkatársai nem férnek hozzá hozzájuk, és ezek a szerverek maguk „teljesen titkosított merevlemezeket használnak több jelszóréteggel, így az adatbiztonság megőrződik még akkor is, ha hardverünket elfoglalták”.

A ProtonMail tagjai között elküldött összes üzenet titkosítva van. A nem ProtonMail tagoknak küldött üzenetek titkosítva is elküldhetők, vagy titkosítatlan formában, normál szöveges e-mailben is..

A ProtonMail szerint nem tárolnak metaadatokat, és nem naplózza az IP-felhasználók csatlakozását (bár technikailag semmi sem akadályozza meg ezt). Amint a ProtonMail is rámutat, mivel az üzenetek titkosítva vannak, nincs mód arra, hogy átvizsgálja azokat a célzott hirdetések megjelenítéséhez..

Frissítés: Az a fő probléma, amelyről elmulasztottam a felülvizsgálat kezdeti írása során (annak a ténynek köszönhetően, hogy a meglévő ProtonMail-fiókomat használtam) az, hogy a ProtonMail most már emberi ellenőrzést kér (gyakran SMS-ben), miközben új fiókot regisztrál..

Ez sok szempontból meglehetősen érthető (és esetleg szükséges) óvintézkedés annak megakadályozása érdekében, hogy a szolgáltatást a spamküldők és a spamrobotok visszaéljenek, de ez teljesen aláássa az anonimitás fogalmát. Azok a felhasználók, akik nem elégedettek az e-mail vagy telefonszám megadásával, elkerülhetik ezt, prémium szintű fiókra való frissítéssel (amely névtelenül fizethető a Bitcoin használatával).

Műszaki biztonság

A ProtonMail végpontok közötti titkosítást használ a titkosított üzenetekhez, a nyílt forráskódú AES, RSA és OpenPGP könyvtárak „biztonságos implementációi” segítségével (TLS 1.0, AES-128 CBC, DHE RSA kézfogás és SHA3 hash-hitelesítés)..

Ez rendben van, bár a TL 1.0 kissé elavult, és a legtöbb szakértő úgy véli, hogy az AES-256 biztonságosabb, mint az AES-128 (ez azonban megvitatható, mivel az AES-128 erõsebb kulcsrendje van).

titkosított-védett-magyarázat

Az SSL tanúsítványokat most a QuoVadis Trustlink Schweiz AG írta alá,

„Új tanúsítványunk fejlett tulajdonságai közé tartozik a kiterjesztett érvényesítés (EV), a 4096 bites RSA, az SHA-256 kivonat és a tanúsítvány átlátszósága (CT). A QuoVadis-szal együtt továbbra is az SSL tanúsítási technológia élvonalbeli oldalán maradunk, hogy a ProtonMail felhasználók számára a legmagasabb szintű biztonságot biztosítsuk. ”

A ProtonMail kapcsán nagy kérdés az volt, hogy a szoftver nem volt teljesen nyílt forrású, de ez mind megváltozott, és ma 100% -ban nyílt forrású. A sok nyílt forráskóddal ellentétben a ProtonMail-t egy jól ismert és elismert kriptográfusok csapata széles körben ellenőrizte, akik (fizetés ellenében) önként jelentkeztek a projekt felügyeletére, hátsó ajtókat és más rosszindulatokat keresve.

Eddig olyan jó, de a hír nem minden olyan rózsás. Ahogyan Yael Grauer (Wired) magyarázza,

„Az egyik nagy probléma az, hogy nem könnyű megtudni, hogy egy másik ProtonMail felhasználónak elküldött üzenet titkosítva van-e a címzett helyes nyilvános kulcsával, amelyet a ProtonMail kulcsszerverén tárolunk. Például, ha Alice titkosítva küld üzenetet Bobnak a nyilvános kulcsához, senki másnak nehezebb elolvasni az üzenetet. Mivel azonban a ProtonMail a titkosítási kulcsokat eljuttatja a felhasználók számára, technikailag képes arra, hogy Alicenek saját kulcsait is megkapja Bob mellett, így titkosítva az üzeneteket, hogy lehetővé tegyék a hallgatást. "

Ez egy gyengeség, amelyet az Apple iMessage oszt meg, de amelyet az olyan alkalmazásokban, mint például a Signal, a nyilvános titkosítási kulcsok ellenőrzésével oldottak meg..

Egy másik szembeszökő probléma az, hogy minden rejtjelezést a felhasználók böngészőjében hajtanak végre a JavaScript használatával. Ez elengedhetetlen ahhoz, hogy a titkosítás végponttól elvégezhető legyen (ahelyett, hogy a ProtonMail hajtaná végre, a ProtonMail a magánkulcsokat tartja), de a JavaScript kriptográfia lényegében nagyon bizonytalan.

Ez egy olyan probléma, amely nem érinti a mobil alkalmazások felhasználóit, mindaddig, amíg nem emlékeznek arra, hogy csak a ProtonMail fiókjaikat érik el a mobilalkalmazással, mivel ezek nem használják a JavaScriptet a kriptográfiahoz.

Amikor titkosított e-mailt küld nem felhasználóknak, az e-mail tartalma és a mellékletek titkosítva vannak. A normál e-mail metaadatok megtalálhatók a fejlécben, ideértve a feladó e-mail címét, az e-mail kézhezvételének idejét és a Tárgy címet (ami természetesen nagyon felfedi).

Itt az az elfogadom, hogy a ProtonMail sokkal biztonságosabb, mint a „szokásos” webmail szolgáltatások, ellenáll a takarékos megfigyelésnek (bár 100% -ban biztos, hogy az NSA és más biztonsági szolgálatok erőteljesen ellenőrzik a ProtonMail fiókokat), és hogy a ProtonMail nem fog kémkedni. az e-mailben annak érdekében, hogy adatait eladhassa a hirdetőknek.

A ProtonMail állítását, miszerint „névtelen e-mailt” biztosít, egészséges csipetnyi sóval kell kezelni, és világosan meg kell érteni, hogy a szolgáltatás használata sehol sem olyan biztonságos, mint egy önálló e-mail kliens használata jó PGP-bővítménnyel (lásd: a Gpg4win használatáról szóló útmutatónk), vagy akár egy böngészőt telepített kiegészítővel, például a Mailvelope-rel.

ProtonMail használatban

Bejelentkezés

A bejelentkezéshez két jelszót kell megadnia...

ProtonMail bejelentkezés 1

Fiókod jelszava, amelyet a ProtonMail ismert…

ProtonMail bejelentkezés 2

… És a postafiók jelszavát, amelyet csak ön tudhat meg

ProtonMail wen felület

Bárki, aki ismeri a webmail szolgáltatásokat, azonnal otthon érezheti magát a ProtonMail használatával. Az új 2.0 felület jól néz ki, és simán működik

ProronMail e-mail küldése

A ProtonMail más felhasználóinak küldött üzenetek automatikusan titkosítva vannak, míg a nem ProtonMail felhasználóknak küldött üzenetek opcionálisan titkosíthatók. Az ilyen üzenetek (automatikus megsemmisítés) 28 nap múlva járnak le, vagy ha úgy dönt, akkor még korábban is

A ProtonMail biztonságos e-mailt kap

A címzett kap egy linket a titkosított üzenethez (plusz a javaslat, ha van). Vegye figyelembe, hogy ez az üzenet egy óra elteltével jár le, de ne feledje, hogy sem a metaadatok nem vannak rejtve

A ProtonMail biztonságos e-mailt kapott 2

… És amikor beírják a jelszót..

A ProtonMail biztonságos e-mailt kap 3

... el tudják olvasni az üzenetet

A ProtonMail lejár

Ha egy üzenet lejárt, akkor a link elhalt

ProtonMail mobil web

Noha jelenleg nem érhető el mobilalkalmazás (a beíráskor még mindig bétaverzióban van), a ProtonMail reagáló webhelyszerkezete azt jelenti, hogy jól néz ki egy mobil webböngészőben

Egyéb platformok

Frissítés 2016. március: A webes felület természetesen minden platformon elérhető a szokásos böngészőn keresztül. A ProtonMail mostantól is kiadott alkalmazásokat Android és iOS számára.

ProtonMail Android alkalmazásAz Android alkalmazás okosnak néz ki, és jól működik

E-mail adatvédelmi tesztelő eredmények

A ProtonMail-t teszteltem a Mike Cardwell által kifejlesztett Email Privacy Tester eszköz segítségével.

ProtonMail teszt eredményei

Ugyanazokat az eredményeket értem el, amikor majdnem egy évvel ezelőtt teszteltem, és még akkor sem voltak olyan jók, mint a Tutanotából.

Következtetés

Kedveltem

  • Sokkal biztonságosabb, mint a szokásos e-mailek
  • Az e-maileket nem kémkedett hirdetési célokra
  • Könnyen kezelhető és jól néz ki
  • Teljesen nyílt forráskódú
  • Titkosított e-maileket küldhet nem felhasználók számára
  • Önpusztító e-mailek
  • Valóban hasznos prémium lehetőségek (beleértve a saját domaineket)

Nem voltam benne annyira biztos

  • Semmi olyan biztonságos, mint a „megfelelő” PGP e-mail
  • A svájci székhely előnyei vitathatók
  • A mobilalkalmazások továbbra sem érhetők el az Apple és a Play Áruházakban
  • SMS ellenőrzés a regisztrációkor (prémium fiókra való frissítéssel elkerülhető)

utáltam

  • A szolgáltatás téves bemutatása „névtelen ”ként. Ez nem
  • Különleges e-mail adatvédelmi tesztelő eredmények
  • A ProtonMail használata felhívja a figyelmet (nem önmagában a hibája, de érdemes megjegyezni)

Gyakran azzal érvelnek, hogy amikor a biztonságos kommunikációról van szó, az elavult e-mail rendszer teljesen megsérült, és a ProtonMail ezt nem fogja megváltoztatni. Ezenkívül minden olyan webes e-mail rendszer, amely titkosítást valósít meg a böngészőben (JavaScript használatával), valószínűleg alapvetően bizonytalan. Amint maga a ProtonMail elismeri a Threat Model oldalon,

"NEM AJÁNLOTT: Edward Snowden - Ha Ön Edward Snowden vagy a következő Edward Snowden, és olyan élet- és halálhelyzete van, amely magánélet megköveteli, akkor nem javasoljuk a ProtonMail használatát. Rendkívül érzékeny helyzetekben egyszerűen nem jó ötlet az e-mailt kommunikációs eszközként használni."

A ProtonMail azonban egy nagyon egyszerűen használható webmail szolgáltatás (hasonlóan a Gmailhez és hasonlókhoz), amely sokkal biztonságosabb, mint a legtöbb ilyen webmail szolgáltatás, és amely nem (nem képes) kémkedni az összes levelezésével a hirdetések célzása érdekében (mint a Google , Microsoft, Apple, et al. Do).

Ezenkívül, bár nem valószínű, hogy biztonságos a célzott NSA támadások ellen (és a felhasználóknak tisztában kell lenniük azzal, hogy az NSA valószínűleg a szolgáltatás felhasználóit célozza meg), a ProtonMail a legtöbb célra (ideértve a nemzeti bűnüldöző szervek által végzett vizsgálatokat is) magas szintű adatvédelmet biztosít. és mivel Svájcban található, ellenállóképesnek kell lennie a támadás számos jogi formája ellen.

A használhatóság szempontjából a ProtonMail az első indulása óta rengeteg funkcióval egészítette ki, amelyek nagyon életképes alternatívává teszik a mainstream webmail szolgáltatásokat, és a teljesen nyílt forráskódra való lépés nagyon örvendetes..

Röviden, mindaddig, amíg elismerik (jelentős) korlátozásait, a ProtonMail használata pozitív lépés lehet az Ön személyes adatainak javítása és az általános takarítás ellen. Csak ne számítson arra, hogy valódi névtelenséget nyújt, vagy megvédi Önt, ha valami nagyon illegálissá vált.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me