ProtonMail


ProPrivacy.com Markah
9.3 daripada 10

Ringkasan

Apabila saya mula-mula mengkaji ProtonMail lebih setahun lalu, ia adalah perkhidmatan yang masih lagi dalam fasa pembangunan alpha. Malah ketika itu, saya fikir ia mempunyai janji besar selagi batasannya difahami sepenuhnya. Sejak itu ProtonMail telah memperkenalkan banyak ciri baru, termasuk akaun premium, keupayaan untuk menghantar e-mel yang disulitkan kepada pengguna bukan ProtonMail, aplikasi mudah alih, dan (mungkin yang paling penting dari semua) ia telah menjadi sumber terbuka sepenuhnya.

Banyak aspek perkhidmatan itu, bagaimanapun, tidak berubah, jadi daripada mencipta semula roda, artikel ini adalah versi diperluas dan disemak semula dari tinjauan asal saya.

Statistik Pantas

  • Negara
    Switzerland

Apakah ProtonMail??

ProtonMail adalah perkhidmatan webmail yang diperuntukkan secara privasi yang direka untuk menyediakan fungsi dan kemudahan penggunaan perkhidmatan seperti Gmail, tetapi yang selamat dan tidak mengintip komunikasi penggunanya untuk menyerang mereka, atau menyerahkan kepada NSA.

Ia telah dibangunkan oleh satu pasukan penyelidik dari MIT dan Harvard, yang diketuai oleh calon Harvard PhD dan penyelidik CERN Andy Yen, dan pada mulanya terpenuhi oleh kempen IndieGoGo yang sangat berjaya.

Senarai menunggu

Kepentingan dalam ProtonMail telah tinggi, dan ia telah berjuang untuk menampung pengguna baru, menyebabkan senarai menunggu sebelum akaun diaktifkan. Masalah yang agak mengecewakan ini telah banyak memilih untuk Tutanota (juga sangat baik) sebaliknya, yang tidak mempunyai senarai menunggu sedemikian.

Nasib baik, masa menunggu sekarang telah jatuh dari 8 bulan (!) Yang memerlukan saya menerima jemputan lebih setahun yang lalu, sekitar 2 minggu (mengikut laporan anekdotal). Walau bagaimanapun, ini mungkin menjadi isu yang lebih tidak sabar bagi anda di luar sana.

Kemas kini: Hanya 2 hari selepas menerbitkan ulasan ini, ProtonMail telah membuka langganannya kepada semua.

Harga dan Rancangan

Salah satu perkembangan yang paling penting ialah pengenalan rancangan premium. Tahap bebas yang boleh digunakan masih wujud (dan ProtonMail telah menjanjikan ia akan terus wujud), tetapi pelan premium menambah beberapa ciri yang sangat berguna, seperti domain dan alamat web adat, ditambah penyimpanan dan mesej setiap hari.

Pelan ProtonMail Plus bermula pada $ 5 sebulan (atau $ 4 sebulan jika dibayar setiap tahun), tetapi boleh disesuaikan dengan lebih lanjut. Pelan Visionary ProtonMail bermula pada $ 30 sebulan, dan jelas dimaksudkan untuk perniagaan.

Harga ProtonMail 2

Domain Tersuai - jika anda mempunyai nama domain anda sendiri, anda boleh menggunakannya untuk menghantar dan menerima mesej yang disulitkan menggunakan akaun ProtonMail anda (contohnya di [dilindungi email]).

Alamat ProtonMail - ini adalah bilangan @ protonmail.ch atau alamat @ protonmail.com yang boleh anda miliki. ProtonMail merancang untuk menambah ciri penyusun untuk ini dalam pelepasan masa depan.

Kekunci baharu dijana untuk setiap domain tersuai baru atau alias ProtonMail.

Bagi pengguna kasual, perkhidmatan percuma mungkin lebih daripada mencukupi, tetapi untuk pengguna kuasa tambahan premium membuat tambahan yang mengalu-alukan, dan merupakan cara terbaik untuk membantu membiayai perkhidmatan (ingat, ProtonMail tidak menghasilkan wang melalui iklan atau menjual data anda kepada pengiklan !).

ciri-ciri

  • E-mel yang disulitkan ke akhir-ke-akhir
  • Boleh menghantar e-mel yang disulitkan kepada pengguna bukan ProtonMail
  • E-mel destruktif sendiri
  • Antara muka web yang lebih baik dengan seret dan lepas mesej, pengurus kenalan, log pengesahan dan banyak lagi
  • Apps untuk Android dan iOS
  • Berasaskan di Switzerland (lebih lanjut mengenai ini nanti)
  • Sumber terbuka sepenuhnya
  • Eksport utama awam (untuk menghantar kepada pengguna PGP lain dan untuk mengesahkan mesej secara manual)

Switzerland

Bahawa ProtonMail beroperasi dari Switzerland adalah cabutan besar bagi ramai pengguna, kerana Switzerland berada di luar bidang kuasa AS dan EU, dan mempunyai reputasi untuk undang-undang privasi yang sangat kuat. Arahan pengawasan mesti diperoleh melalui mahkamah dan tanpa sasaran kuasa yang harus diberitahu, pemintasan teknikal komunikasi elektronik hanya dibenarkan berkaitan ISP dan bukan penyedia aplikasi Internet semata-mata (seperti perkhidmatan e-mel), dll..

Sama ada reputasi ini benar-benar wajar, bagaimanapun, tidak begitu jelas. Contohnya, sebagai contoh, pihak berkuasa Swiss tidak mempunyai minat untuk bekerjasama dengan Amerika Syarikat dan sekutu-sekutunya, tetapi sebagai pengeluar cukai AS yang menumpuk kekayaan mereka dalam akaun bank Swiss yang dijumpai pada tahun 2013, ini tidak selalu berlaku. Victor Vital, seorang peguam percubaan di Barnes & Thornburg, memberitahu Wired itu,

"Orang ramai berpendapat bahawa undang-undang privasi data di Eropah atau di negara-negara asing menimbulkan masalah atau akan menjadi penghalang jalan, tetapi itu bukanlah kes itu, kerana di bawah perjanjian itu, negara-negara harus mewajibkan mereka untuk bekerjasama secara meluas dan sebanyak mungkin."

Lebih membimbangkan lagi adalah bahawa undang-undang pengawasan baru yang kuat (Nachrichtendienstgesetzt (NDG) yang "BÜPF" sedang ditolak oleh kerajaan Switzerland berikutan serangan pengganas tahun lalu di Paris, yang akan meluaskan kuasa pengawasan Negara.

Terima kasih kepada sistem demokrasi Switzerland, NDG ditangguhkan sehingga referendum nasional diadakan pada bulan Jun, dan ProtonMail terkenal kerana berkempen untuk menaikkan 70,000 tandatangan yang diperlukan untuk membawa perkara ini. BÜPF adalah "untuk undi dalam sesi musim panas Parlimen, tetapi boleh disemak atau tertunda."

Oleh itu, saya fikir ia adil, untuk mengatakan bahawa keadaan itu sangat di udara, walaupun ProtonMail mendakwa ia tidak akan terjejas oleh undang-undang NDG, walaupun ia diluluskan oleh referendum.

Privasi

Akaun ProtonMail dilindungi oleh dua kata laluan, yang pertama digunakan untuk mengesahkan pengguna dan mengambil semula akaun yang betul (dan mana ProtonMail menyimpan salinan), dan yang kedua disimpan hanya oleh pengguna, dan digunakan untuk mendekripsi peti mel mereka . Sebagai Micah Lee, seorang teknolog di Intercept yang memberi tumpuan kepada nota privasi dan kriptografi,

"Ia benar-benar bagus kerana mereka mempunyai dua set kata laluan. Kata laluan log masuk akan dihantar ke pelayan, dan itulah cara anda membuktikan nama pengguna anda sebenarnya milik anda. Dan yang kedua adalah kata laluan peti mel, yang tidak pernah dihantar ke pelayan ProtonMail. Kata laluan kedua berjalan di pelayar anda dan menyahsulit mesej anda di sana. "

Mel disimpan dienkripsi di pelayan ProtonMail, jadi kakitangan ProtonMail tidak mempunyai akses kepada mereka, dan pelayan ini sendiri "menggunakan cakera keras disulitkan sepenuhnya dengan pelbagai lapisan kata laluan supaya keselamatan data dikekalkan walaupun perkakasan kami disita."

Semua mesej yang dihantar antara ahli ProtonMail disulitkan. Mesej kepada ahli bukan ProtonMail juga boleh dihantar disulitkan, atau boleh dihantar tanpa diskret melalui e-mel plaintext biasa.

Menurut ProtonMail, tiada metadata disimpan dan ia tidak melekatkan pengguna IP dari menyambung (walaupun secara teknikal tidak ada yang menghalangnya daripada melakukan ini). Sebagai ProtonMail juga menunjukkan, kerana mesej disulitkan, tidak ada cara untuk mengimbasnya untuk menyampaikan iklan yang disasarkan.

Kemas kini: Isu utama yang saya rindukan ketika menulis ulasan ini pada awalnya (disebabkan fakta bahawa saya menggunakan akaun ProtonMail saya yang ada) ialah ProtonMail kini meminta pengesahan manusia (sering melalui SMS) semasa mendaftar untuk akaun baru.

Ini adalah dalam banyak cara yang berhati-hati (dan mungkin perlu) langkah berjaga-jaga untuk mencegah penyalahgunaan perkhidmatan oleh spammer dan spambots, tetapi ia benar-benar melemahkan apa-apa tanggapan yang tidak mahu disebutkan namanya. Pengguna tidak berpuas hati dengan penyediaan e-mel atau nombor telefon yang boleh mengelakkannya dengan menaik taraf ke akaun premium (yang boleh dibayar secara anonymous menggunakan Bitcoins).

Keselamatan teknikal

ProtonMail menggunakan penyulitan akhir-ke-akhir untuk mesej yang disulitkan, menggunakan "pelaksanaan selamat" dari perpustakaan AES, RSA dan OpenPGP sumber terbuka (TLS 1.0, CES AES-128, jabat tangan DHE RSA, dan pengesahan hash SHA3).

Ini adalah baik, walaupun TL 1.0 agak ketinggalan zaman, dan kebanyakan pakar menganggap AES-256 lebih selamat daripada AES-128 (ini terbuka untuk diperdebatkan, bagaimanapun, sebagai AES-128 mempunyai jadual kunci yang lebih kuat).

Penjelasan-dilindungi penjelasan

Sijil SSL kini ditandatangani oleh QuoVadis Trustlink Schweiz AG,

"Ciri lanjutan sijil baru kami termasuk Pengesahan Lanjutan (EV), 4096-bit RSA, SHA-256 hash, dan Transparansi Sijil (CT). Bersama-sama dengan QuoVadis, kami akan terus mengekalkan teknologi sertifikasi SSL untuk memastikan keselamatan tertinggi bagi pengguna ProtonMail. "

Satu isu besar yang kami miliki dengan ProtonMail adalah bahawa perisiannya bukan sumber terbuka sepenuhnya, tetapi ini semua telah berubah, dan kini 100 peratus sumber terbuka. Tidak seperti banyak kod sumber terbuka, bagaimanapun, ProtonMail telah diperiksa secara meluas oleh sekumpulan kriptografi yang terkenal dan dihormati yang menawarkan diri (tanpa bayaran) untuk mengawasi projek itu, mencari backdoors dan nastinesses lain.

Setakat ini begitu baik, tetapi berita itu tidak begitu mewah. Seperti yang dijelaskan oleh Yael Grauer dari Wired,

"Salah satu masalah besar ialah tidak mudah untuk mengetahui sama ada mesej yang dihantar kepada pengguna ProtonMail yang lain telah disulitkan kepada kunci awam yang betul, yang disimpan pada kunci kunci ProtonMail. Contohnya, jika Alice menghantar Bob mesej yang disulitkan ke kunci publiknya, lebih sukar bagi sesiapa sahaja untuk membaca mesej itu. Tetapi sejak ProtonMail mengedarkan kunci penyulitan kepada pengguna, ia mempunyai keupayaan teknikal untuk memberikan kunci sendiri Alice sebagai tambahan kepada Bob, dengan itu menyulitkan mesej dengan cara yang membolehkannya untuk mengadaptasi. "

Ini adalah kelemahan yang dikongsi oleh Apple iMessage, tetapi telah diselesaikan dalam aplikasi seperti Isyarat dengan mengesahkan kunci penyulitan awam.

Satu lagi masalah yang menonjol ialah semua kriptografi dilakukan dalam pelayar pengguna menggunakan JavaScript. Ini penting agar enkripsi dapat dilakukan secara hujung-hujung (bukan dilakukan oleh ProtonMail, dengan ProtonMail memegang kunci peribadi), tetapi kriptografi JavaScript sememangnya sangat tidak selamat.

Ini adalah masalah yang tidak boleh menjejaskan pengguna aplikasi mudah alih, selagi mereka masih ingat untuk mengakses akaun ProtonMail mereka menggunakan aplikasi mudah alih, kerana ini tidak menggunakan JavaScript untuk cryptography mereka.

Apabila menghantar e-mel yang disulitkan kepada bukan pengguna, kandungan e-mel dan sebarang lampiran dienkripsikan. Maklumat metadata e-mel biasa dimasukkan ke dalam tajuk, namun, termasuk alamat e-mel penghantar, masa e-mel diterima, dan tajuk Subjek (yang tentunya dapat ditonjolkan).

Takeaway di sini adalah bahawa ProtonMail lebih selamat daripada perkhidmatan webmail biasa, akan tahan pengawasan selimut (walaupun 100 peratus pasti NSA dan perkhidmatan keselamatan lain akan memantau akaun ProtonMail secara bersungguh-sungguh), dan ProtonMail tidak akan mengintip pada e-mel anda untuk menjual data anda kepada pengiklan.

Tuntutan ProtonMail bahawa ia menyediakan "e-mel tanpa nama" harus diambil dengan secubit garam yang sihat, bagaimanapun, dan harus difahami dengan jelas bahawa penggunaan perkhidmatan ini tidak dekat sama dengan menggunakan klien e-mel yang berdiri sendiri dengan plugin PGP yang baik dipasang (lihat tutorial kami menggunakan Gpg4win), atau pelayar dengan add-on seperti Mailvelope dipasang.

ProtonMail digunakan

Masuk

Mendaftar masuk memerlukan anda memasukkan dua kata laluan...

Daftar masuk ProtonMail 1

Kata laluan akaun anda, yang dikenali oleh ProtonMail ...

Daftar masuk ProtonMail 2

... dan kata laluan peti mel anda, yang hanya boleh diketahui sendiri

Antaramuka ProtonMail wen

Sesiapa yang biasa dengan perkhidmatan webmail akan merasa dengan serta-merta di rumah dengan ProtonMail. Antara muka 2.0 yang baru kelihatan bagus, dan berfungsi dengan lancar

ProronMail menghantar e-mel

Mesej yang dihantar kepada pengguna ProtonMail yang lain disulitkan secara automatik, manakala mesej yang dihantar kepada pengguna bukan ProtonMail boleh disulitkan secara pilihan. Mesej sedemikian akan tamat tempoh (penghancuran automatik) dalam 28 hari, atau lebih awal sekiranya anda memilih

ProtonMail menerima e-mel yang selamat

Penerima menerima pautan ke mesej yang disulitkan (tambah petunjuk, jika digunakan). Ambil perhatian bahawa mesej ini akan luput selepas satu jam, tetapi juga ambil perhatian bahawa tiada metadata tersembunyi

ProtonMail recive email yang selamat 2

... dan apabila mereka memasukkan kata laluan..

ProtonMail recive e-mel selamat 3

... mereka boleh membaca mesej itu

ProtonMail tamat

Sekiranya mesej telah tamat tempoh maka pautan itu menjadi mati

ProtonMail web mudah alih

Walaupun tiada aplikasi mudah alih yang tersedia pada masa ini (masih dalam Beta pada masa penulisan), reka bentuk laman web responsif ProtonMail bermaksud bahawa ia kelihatan hebat dalam penyemak imbas web mudah alih

Platform Lain

Kemas kini Mac 2016: Antara muka web, sudah tentu tersedia pada semua platform melalui penyemak imbas biasa anda. ProtonMail kini telah mengeluarkan aplikasi untuk Android dan iOS.

Aplikasi Android ProtonMailAplikasi Android kelihatan pintar dan berfungsi dengan baik

Keputusan Penguji Privasi E-mel

Saya menguji ProtonMail menggunakan alat Penguji Privasi E-mel yang dibangunkan oleh Mike Cardwell.

Keputusan ujian ProtonMail

Ini adalah hasil yang sama yang saya dapati ketika saya diuji hampir setahun yang lalu, dan tidak semudah yang berasal dari Tutanota pada masa itu

Kesimpulannya

Saya suka

  • Lebih selamat daripada e-mel biasa
  • E-mel tidak diperiksa untuk tujuan pengiklanan
  • Mudah digunakan dan kelihatan hebat
  • Sumber terbuka sepenuhnya
  • Boleh menghantar e-mel yang disulitkan kepada bukan pengguna
  • E-mel destruktif sendiri
  • Pilihan premium yang benar-benar berguna (termasuk domain sendiri)

Saya tidak begitu pasti

  • Tidak ada tempat sebagai selamat sebagai e-mel "betul" PGP
  • Faedah yang berpangkalan di Switzerland boleh dibahaskan
  • Apl mudah alih masih tidak tersedia di Apple dan Play Store
  • Pengesahan SMS pada pendaftaran (boleh dielakkan dengan menaik taraf ke akaun premium)

Saya benci

  • Kesalahan perkhidmatan sebagai "tanpa nama". Ianya bukan
  • Hasil Ujian Privasi E-mel tidak semestinya
  • Menggunakan ProtonMail akan menarik perhatian (bukan kesalahannya, seolah-olah, tetapi diperhatikan)

Sudah tentu berhujah bahawa apabila ia berhubung dengan komunikasi yang selamat, sistem e-mel yang lapuk telah rosak sepenuhnya, dan ProtonMail tidak akan mengubahnya. Selain itu, sebarang sistem e-mel yang melaksanakan penyulitan dalam penyemak imbas (menggunakan JavaScript) juga mungkin tidak berasas. Memandangkan ProtonMail sendiri mengakui pada halaman Model Ancamannya,

"TIDAK DIPERLUKAN: Edward Snowden - Jika anda adalah Edward Snowden, atau Edward Snowden yang akan datang, dan mempunyai situasi kehidupan dan kematian yang memerlukan privasi, kami tidak akan mengesyorkan menggunakan ProtonMail. Untuk situasi yang sangat sensitif, ia bukanlah idea yang baik untuk menggunakan e-mel sebagai medium untuk komunikasi."

Walau bagaimanapun, ProtonMail adalah perkhidmatan webmail yang sangat mudah digunakan (setanding dengan Gmail dan sebagainya) yang jauh lebih selamat daripada kebanyakan perkhidmatan mel web seperti ini, dan yang tidak (tidak boleh) mengintip pada semua surat-menyurat anda untuk menargetkan pengiklanan (seperti Google , Microsoft, Apple, et al.).

Tambahan pula, walaupun ia tidak mungkin selamat daripada serangan NSA yang disasarkan (dan pengguna perlu sedar bahawa NSA mungkin akan mensasarkan pengguna perkhidmatan), ProtonMail untuk kebanyakan tujuan (termasuk penyiasatan oleh badan penguatkuasaan undang-undang kebangsaan) menyediakan tahap privasi yang tinggi , dan berpangkalan di Switzerland, ia harus berdaya tahan terhadap pelbagai bentuk serangan undang-undang.

Dari segi kebolehgunaan, ProtonMail telah menambahkan satu tan ciri sejak ia mula-mula mula menjadikannya alternatif yang sangat berdaya maju untuk perkhidmatan webmail utama, dan langkah ke sumber terbuka sepenuhnya sangat dialu-alukan.

Ringkasnya, selagi batasannya (cukup besar) diakui, menggunakan ProtonMail boleh menjadi langkah positif ke arah meningkatkan privasi anda dan menahan pengawasan kerajaan selimut. Hanya jangan mengharapkan ia untuk memberikan nama tidak asli, atau untuk melindungi anda jika anda terpulang kepada apa-apa yang sangat menyalahi undang-undang.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me