ProtonMail

ProPrivacy.com skóre
9.3 z 10

zhrnutie

Keď som prvýkrát preskúmal ProtonMail pred rokom, bola to veľmi nováčiková služba stále vo svojej alfa fáze vývoja. Už vtedy som si myslel, že má veľký sľub, pokiaľ sú jeho obmedzenia úplne pochopené. Od tej doby ProtonMail predstavil mnoho nových funkcií, vrátane prémiových účtov, schopnosť posielať zašifrované e-maily používateľom, ktorí nie sú členmi ProtonMail, mobilné aplikácie a (a čo je najdôležitejšie), stal sa úplne otvoreným zdrojom..

Mnoho aspektov tejto služby sa však nezmenilo. Tento článok je skôr rozšírenou a revidovanou verziou mojej pôvodnej recenzie, než aby som znovu objavil koleso..

Rýchle štatistiky

  • Krajina
    švajčiarsko

Čo je ProtonMail?

ProtonMail je webmailová služba zameraná na ochranu súkromia, ktorá je navrhnutá tak, aby poskytovala funkčnosť a jednoduchosť používania služieb, ako je napríklad Gmail, ale ktorá je bezpečná a nevykonáva špionáž v komunikácii svojich používateľov, aby ich prehodila, alebo aby ich odovzdala NSA.


Bol vyvinutý tímom výskumných študentov z MIT a Harvardu, na čele s kandidátom na doktorát Harvard PhD a výskumníkom CERN Andym Yenom, a spočiatku sa stal crowdfundedom veľmi úspešnej kampane IndieGoGo..

Poradovník

Záujem o ProtonMail je vysoký a snaží sa vyhovieť novým používateľom, čo vedie k vytvoreniu čakacej listiny pred aktiváciou účtov. Tento dosť frustrujúci problém má radšej prednosť (tiež veľmi dobrej) Tutanote, ktorá nemá taký čakací zoznam.

Čakacia doba našťastie teraz klesla z 8 mesiacov (!), Ktoré mi trvalo, kým som dostal pozvanie pred rokom, na približne 2 týždne (podľa predbežných správ). Môže to však zostať problémom pre tých netrpezlivejších z vás.

Aktualizácia: ProtonMail otvoril svoje predplatné všetkým iba 2 dni po uverejnení tejto recenzie.

Ceny a plány

Jedným z najdôležitejších udalostí je zavedenie prémiových plánov. Veľmi použiteľná bezplatná úroveň stále existuje (a ProtonMail sľúbil, že bude vždy existovať), ale prémiové plány pridávajú niektoré veľmi užitočné funkcie, ako napríklad vlastné domény a webové adresy, plus zvýšené úložisko a správy za deň..

Program ProtonMail Plus začína na 5 $ mesačne (alebo 4 doláre mesačne, ak sa vypláca ročne), ale dá sa ďalej prispôsobiť. Program ProtonMail Visionary začína na 30 dolárov mesačne a je jednoznačne určený pre podniky.

ProtonMail stanovovanie cien 2

Vlastné domény - ak máte svoje vlastné doménové meno, môžete ho použiť na odosielanie a prijímanie šifrovaných správ pomocou vášho účtu ProtonMail (napríklad na [chránený e-mail]).

ProtonMail Addresses - Toto je počet adries @ protonmail.ch alebo @ protonmail.com, ktoré môžete mať. ProtonMail plánuje v nasledujúcom vydaní pridať funkcie triedenia.

Nové kľúče sa generujú pre každú novú vlastnú doménu alebo alias ProtonMail.

Pre príležitostných používateľov bude bezplatná služba pravdepodobne viac ako postačujúca, ale pre energetických používateľov sú prémiové doplnky vítaným doplnkom a sú vynikajúcim spôsobom, ako pomôcť s financovaním služby (pamätajte, ProtonMail nezarába peniaze prostredníctvom reklamy alebo predaja vašich údajov inzerentom !).

Vlastnosti

  • End-to-end šifrované e-maily
  • Môže odosielať šifrované e-maily používateľom, ktorí nie sú členmi spoločnosti ProtonMail
  • Samodeštruktívne e-maily
  • Vylepšené webové rozhranie pomocou správ drag and drop, správcu kontaktov, protokolov autentifikácie a ďalších
  • Aplikácie pre Android a iOS
  • Sídli vo Švajčiarsku (viac o tom neskôr)
  • Úplne otvorený zdroj
  • Export verejného kľúča (na odoslanie iným používateľom PGP a manuálne overenie správ)

švajčiarsko

To, že ProtonMail funguje mimo Švajčiarska, je veľkým lákadlom pre mnohých používateľov, keďže Švajčiarsko je mimo jurisdikcie USA a EÚ a má povesť veľmi prísnych zákonov o ochrane súkromia. Smernice o dohľade sa musia získavať prostredníctvom súdov a bez toho, aby sa stanovili ciele týkajúce sa dohodovacích kompetencií, technické odpočúvanie elektronických komunikácií je povolené iba s ohľadom na poskytovateľov internetových služieb ISP, a nie „iba“ poskytovateľov internetových aplikácií (napríklad e-mailové služby) atď..

To, či je táto povesť úplne odôvodnená, však nie je také jasné. Často sa napríklad hovorí, že švajčiarske orgány nemajú záujem o spoluprácu so Spojenými štátmi a ich spojencami, ale keďže americkí daňoví podvodníci skrývajú svoje bohatstvo na švajčiarskych bankových účtoch zistených v roku 2013, nie je tomu tak vždy. Victor Vital, súdny právnik v Barnes & Thornburg, povedal Wiredovi,

„Zdá sa, že si ľudia myslia, že právne predpisy o ochrane údajov v Európe alebo v zahraničí spôsobujú problémy alebo by boli prekážkou, ale to jednoducho tak nie je, pretože podľa týchto zmlúv sa krajiny zaväzujú spolupracovať čo najširšie a čo najviac.“

Ešte znepokojivejšie je, že nové silné zákony o dohľade (Nachrichtendienstgesetzt (NDG) „BÜPF“) švajčiarska vláda presadzuje po minuloročných teroristických útokoch v Paríži, čím sa výrazne rozšíria právomoci štátu v oblasti dohľadu..

Vďaka švajčiarskemu systému demokracie je NDG pozastavená, kým sa v nej v júni neuskutoční národné referendum, a spoločnosť ProtonMail bola známa tým, že viedla kampaň za zvýšenie 70 000 podpisov potrebných na dosiahnutie tohto cieľa. BÜPF je „pripravený na hlasovanie na jarnom zasadnutí Parlamentu, ale môže byť revidovaný alebo oneskorený“.

Preto si myslím, že je spravodlivé tvrdiť, že situácia je vo vzduchu veľmi vysoká, hoci ProtonMail tvrdí, že na ňu nebude mať vplyv zákon NDG, aj keď je schválený referendom..

súkromia

Účty ProtonMail sú chránené dvoma heslami, z ktorých prvé sa používa na overenie totožnosti používateľa a na získanie správneho účtu (a ktoré ProtonMail uchováva kópiu) a druhé uchováva iba používateľ a používa sa na dešifrovanie svojej poštovej schránky. , Ako Micah Lee, technolog z Interceptu, ktorý sa zameriava na poznámky o súkromí a kryptografii,

„Je skutočne pekné, že majú dve sady hesiel. Prihlasovacie heslo sa dostane na server. Takto dokážete, že vaše používateľské meno je skutočne vaše. Druhé je heslo do poštovej schránky, ktoré sa nikdy nedostane na server ProtonMail. Druhé heslo sa spustí vo vašom prehliadači a tam dešifruje vaše správy. “

Pošta je uložená šifrovaná na serveroch ProtonMail, takže pracovníci ProtonMail k nim nemajú prístup a samotné servery „využívajú plne šifrované pevné disky s viacerými vrstvami hesiel, takže ochrana údajov je zachovaná, aj keď je náš hardvér zabavený“.

Všetky správy odoslané medzi členmi ProtonMailu sú šifrované. Správy členom, ktorí nie sú členmi ProtonMailu, je možné posielať aj šifrované alebo môžu byť posielané nezašifrované prostredníctvom bežného e-mailu s jednoduchým textom..

Podľa ProtonMail sa neuchovávajú žiadne metaúdaje a nezaznamenáva sa z nich pripojenie používateľov IP (aj keď to z technického hľadiska nič nebráni). ProtonMail tiež poukazuje na to, že pretože správy sú šifrované, neexistuje spôsob, ako ich naskenovať, aby sa dosiahla cielená reklama..

Aktualizácia: Hlavným problémom, ktorý som pri úvodnom písaní tohto prehľadu zmeškal (vzhľadom na to, že som použil svoj existujúci účet ProtonMail), je skutočnosť, že ProtonMail teraz žiada o ľudské overenie (často prostredníctvom SMS) pri registrácii na nový účet..

Toto je v mnohých ohľadoch celkom zrozumiteľné (a možno potrebné) preventívne opatrenie, aby sa zabránilo zneužívaniu služby spamermi a spambotmi, ale úplne to podkopáva akékoľvek názory na anonymitu. Používatelia, ktorí nie sú spokojní s poskytnutím e-mailu alebo telefónneho čísla, sa môžu vyhnúť inovácii na prémiový účet (za bitcoiny sa môžu platiť anonymne).

Technické zabezpečenie

ProtonMail používa šifrovanie typu end-to-end pre šifrované správy pomocou „zabezpečených implementácií“ knižníc AES, RSA a OpenPGP s otvoreným zdrojom (TLS 1.0, AES-128 CBC, DHE RSA handshake a SHA3 hash autentifikácia).

Je to v poriadku, hoci TL 1.0 je trochu zastaraný a väčšina expertov považuje AES-256 za bezpečnejšie ako AES-128 (je to však otvorené pre diskusiu, pretože AES-128 má silnejší kľúčový rozvrh).

šifrovaná chránené-vysvetlenie

SSL certifikáty sú teraz podpísané spoločnosťou QuoVadis Trustlink Schweiz AG,

„Medzi pokročilé funkcie nášho nového certifikátu patria Extended Validation (EV), 4096-bitové RSA, hash SHA-256 a Transparentnosť certifikátov (CT). Spoločne s QuoVadis budeme aj naďalej zostať na špici technológie certifikátov SSL, aby sme zaistili najvyššiu úroveň bezpečnosti pre používateľov ProtonMailu. “

Veľkým problémom, ktorý sme mali v prípade ProtonMailu, bolo to, že jeho softvér nebol úplne otvorený zdroj, ale všetko sa to zmenilo a teraz je to 100% otvorený zdroj. Na rozdiel od mnohých otvorených zdrojových kódov však ProtonMail's prešiel rozsiahlym auditom tímu známych a rešpektovaných kryptografov, ktorí sa dobrovoľne (bez úhrady) prihlásili na dohľad nad projektom, hľadali zadné vrátka a iné nepríjemnosti..

Zatiaľ je to dobré, ale správy nie sú až také ružové. Ako vysvetľuje Yael Grauer z Wired,

„Jedným z veľkých problémov je, že nie je ľahké zistiť, či sa správa odoslaná inému používateľovi ProtonMailu šifruje do správneho verejného kľúča príjemcu, ktorý je uložený na serveri kľúčov ProtonMail. Napríklad, ak Alice odošle Bobovi správu zašifrovanú do jeho verejného kľúča, je pre každého iného náročnejšie prečítať správu. Ale pretože ProtonMail distribuuje šifrovacie kľúče používateľom, má technickú schopnosť dať Alice okrem Bobových aj svoje vlastné kľúče, a tak šifrovať správy takým spôsobom, ktorý by im umožnil odpočúvanie. “

Toto je slabina zdieľaná spoločnosťou Apple iMessage, ktorá sa však vyriešila v aplikáciách ako Signal overením verejných šifrovacích kľúčov..

Ďalším do očí bijúcim problémom je to, že celá kryptografia sa vykonáva v prehliadačoch používateľov pomocou jazyka JavaScript. Je to nevyhnutné na to, aby sa šifrovanie vykonávalo end-to-end (namiesto toho, aby ho vykonával ProtonMail, pričom ProtonMail drží súkromné ​​kľúče), ale kryptografia JavaScript je vo svojej podstate veľmi neistá.

Toto je problém, ktorý by nemal mať vplyv na používateľov mobilných aplikácií, pokiaľ si pamätajú, že majú prístup iba k svojim účtom ProtonMail pomocou mobilnej aplikácie, pretože tieto nepoužívajú pre svoju kryptografiu JavaScript..

Pri odosielaní zašifrovaného e-mailu používateľom, ktorí nie sú používateľmi, je obsah e-mailu a všetky jeho prílohy zašifrované. V hlavičke sú zahrnuté normálne informácie o metaúdajoch e-mailu, vrátane e-mailovej adresy odosielateľa, času prijatia e-mailu a názvu predmetu (čo môže byť samozrejme veľmi zjavné).

Jedným z dôvodov je, že ProtonMail je oveľa bezpečnejší ako „bežné“ webové poštové služby, bude odolný proti paušálnemu dohľadu (aj keď je 100% jasné, že NSA a ďalšie bezpečnostné služby budú účty ProtonMail dôkladne sledovať) a že ProtonMail nebude špehovať. na svoj e-mail, aby ste mohli údaje predať inzerentom.

Tvrdenie spoločnosti ProtonMail, že poskytuje „anonymný e-mail“, by sa však malo brať so zdravou štipkou soli a malo by sa jasne pochopiť, že používanie tejto služby nie je zďaleka tak bezpečné ako používanie samostatného e-mailového klienta s nainštalovaným dobrým doplnkom PGP (pozri časť náš tutoriál o používaní Gpg4win) alebo dokonca prehliadač s nainštalovaným doplnkom, napríklad Mailvelope.

ProtonMail sa používa

Prihlasuje sa

Prihlasovanie vyžaduje zadanie dvoch hesiel...

ProtonMail prihlásenie 1

Heslo vášho účtu, ktoré pozná ProtonMail…

Prihlásenie ProtonMail 2

... a heslo vašej poštovej schránky, ktoré by ste mali poznať iba vy

Rozhranie ProtonMail

Každý, kto pozná služby webmailu, sa bude s ProtonMail okamžite cítiť ako doma. Nové rozhranie 2.0 vyzerá dobre a funguje hladko

ProronMail posiela e-mail

Správy odosielané iným používateľom ProtonMailu sú automaticky šifrované, zatiaľ čo správy posielané používateľom, ktorí nie sú členmi ProtonMailu, môžu byť voliteľne šifrované. Platnosť takýchto správ vyprší (automatická deštrukcia) do 28 dní alebo skôr, ak si to budete chcieť

ProtonMail prijíma zabezpečený e-mail

Príjemca dostane odkaz na zašifrovanú správu (plus nápovedu, ak je použitá). Upozorňujeme, že platnosť tejto správy vyprší po jednej hodine, ale nezabudnite, že žiadne metadáta nie sú skryté

ProtonMail obnoví zabezpečený e-mail 2

… A keď zadajú heslo..

ProtonMail obnoví zabezpečený e-mail 3

... môžu čítať správu

Platnosť ProtonMailu vyprší

Ak platnosť správy vypršala, odkaz zmizol

Mobilný web ProtonMail

Aj keď v súčasnosti nie sú k dispozícii žiadne mobilné aplikácie (v čase písania stále vo verzii Beta), responzívny dizajn webových stránok ProtonMail znamená, že v mobilnom webovom prehliadači vyzerá skvelo.

Ďalšie platformy

Aktualizácia marca 2016: Webové rozhranie je samozrejme k dispozícii na všetkých platformách prostredníctvom vášho bežného prehliadača. ProtonMail teraz vydal aj aplikácie pre Android a iOS.

ProtonMail pre AndroidAplikácia pre Android vyzerá inteligentne a funguje dobre

Výsledky testov ochrany osobných údajov e-mailom

Testoval som ProtonMail pomocou nástroja na ochranu osobných údajov e-mailu, ktorý vyvinul Mike Cardwell.

Výsledky testu ProtonMail

Toto sú rovnaké výsledky, ktoré som dosiahol, keď som testoval takmer pred rokom, a neboli také dobré ako výsledky z Tutanoty ešte vtedy

záver

Mal som rád

  • Oveľa bezpečnejšie ako bežný e-mail
  • E-maily nie sú využívané na reklamné účely
  • Jednoduché použitie a vyzerá skvele
  • Úplne otvorený zdroj
  • Môže odosielať šifrované e-maily používateľom, ktorí nie sú používateľmi
  • Samodeštruktívne e-maily
  • Skutočne užitočné prémiové možnosti (vrátane vlastných domén)

Nebol som si tým istý

  • Nikde nie je tak bezpečné ako „správny“ e-mail PGP
  • Výhody sídla vo Švajčiarsku sú diskutabilné
  • Mobilné aplikácie stále nie sú k dispozícii v obchodoch Apple a Play
  • Overenie pomocou SMS pri registrácii (dá sa vyhnúť aktualizáciou na prémiový účet)

nenávidel som

  • Skreslenie služby ako „anonymného“. To nie je
  • Výsledky testov na ochranu súkromia v e-mailovej schránke
  • Používanie ProtonMailu priťahuje pozornosť (nie jeho chyba, ako taká, ale stojí za zmienku)

Často sa tvrdí, že pokiaľ ide o bezpečnú komunikáciu, zastaralý e-mailový systém je úplne prerušený a ProtonMail to nezmení. Okrem toho je akýkoľvek systém webovej pošty, ktorý implementuje šifrovanie v prehliadači (pomocou JavaScriptu), pravdepodobne v zásade neistý. Ako ProtonMail sám pripúšťa na svojej stránke Model hrozieb,

"Neodporúča sa: Edward Snowden - Ak ste Edward Snowden alebo ďalší Edward Snowden a máte situáciu v živote a smrti, ktorá si vyžaduje súkromie, neodporúčame vám používať ProtonMail. V mimoriadne citlivých situáciách jednoducho nie je dobrý nápad používať e-mail ako prostriedok komunikácie."

ProtonMail je však veľmi ľahko použiteľná webmailová služba (porovnateľná s Gmailom a podobne), ktorá je oveľa bezpečnejšia ako väčšina takýchto webových poštových služieb a ktorá nebude (nemôže) špehovať všetku vašu korešpondenciu s cieľom zacieliť reklamu (napríklad Google). , Microsoft, Apple a kol., Do).

Okrem toho, aj keď nie je pravdepodobné, že bude zabezpečená proti cieleným útokom NSA (a používatelia by si mali byť vedomí toho, že NSA sa pravdepodobne zameria na používateľov služby), ProtonMail pre väčšinu účelov (vrátane vyšetrovaní vnútroštátnymi orgánmi činnými v trestnom konaní) poskytuje vysokú úroveň súkromia a so sídlom vo Švajčiarsku by mala byť odolná voči mnohým legálnym formám útoku.

Pokiaľ ide o použiteľnosť, ProtonMail pridal množstvo funkcií od svojho prvého spustenia, vďaka ktorým je veľmi životaschopnou alternatívou k bežným webmailom a prechod na úplne otvorený zdroj je veľmi vítaný.

Stručne povedané, pokiaľ sa zistia (značné) obmedzenia, používanie ProtonMailu môže byť pozitívnym krokom k zlepšeniu vášho súkromia a odolaniu všeobecnému vládnemu dohľadu. Nečakajte, že vám poskytne skutočnú anonymitu, alebo vás ochráni, ak máte čo do činenia s veľmi nezákonnými.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me