ProtonMail

ProPrivacy.com Skor
9.3 dari 10

Ringkasan

Ketika saya pertama kali mengulas ProtonMail lebih dari setahun yang lalu, itu adalah layanan yang masih sangat baru dalam tahap pengembangannya. Bahkan saat itu, saya pikir itu memiliki janji besar selama keterbatasannya dipahami sepenuhnya. Sejak itu ProtonMail telah memperkenalkan banyak fitur baru, termasuk akun premium, kemampuan untuk mengirim email terenkripsi ke pengguna non-ProtonMail, aplikasi seluler, dan (mungkin yang paling penting dari semuanya) telah menjadi open source sepenuhnya..

Namun, banyak aspek layanan tidak berubah, jadi alih-alih menciptakan kembali roda, artikel ini adalah versi yang diperluas dan direvisi dari ulasan asli saya..

Statistik Cepat

  • Negara
    Swiss

Apa itu ProtonMail?

ProtonMail adalah layanan webmail yang berfokus pada privasi yang dirancang untuk menyediakan fungsionalitas dan kemudahan penggunaan layanan seperti Gmail, tetapi yang aman dan tidak memata-matai komunikasi penggunanya untuk mencambuk barang-barang mereka, atau untuk menyerahkannya kepada NSA.


Ini telah dikembangkan oleh tim mahasiswa riset dari MIT dan Harvard, dipimpin oleh kandidat Harvard PhD dan peneliti CERN Andy Yen, dan pada awalnya di-crowdfunding oleh kampanye IndieGoGo yang sangat sukses..

Daftar tunggu

Minat terhadap ProtonMail tinggi, dan telah berjuang untuk mengakomodasi pengguna baru, menghasilkan daftar tunggu sebelum akun diaktifkan. Masalah yang agak membuat frustrasi ini adalah karena banyak yang memilih Tutanota (juga sangat bagus), yang tidak memiliki daftar tunggu seperti itu.

Untungnya, waktu tunggu sekarang telah turun dari 8 bulan (!) Yang saya perlukan untuk menerima undangan lebih dari setahun yang lalu, menjadi sekitar 2 minggu (menurut laporan anekdotal). Namun, ini bisa tetap menjadi masalah bagi Anda yang lebih tidak sabar di luar sana.

Pembaruan: Hanya 2 hari setelah menerbitkan ulasan ini, ProtonMail telah membuka langganannya untuk semua.

Harga dan Paket

Salah satu perkembangan paling penting adalah pengenalan rencana premium. Tier gratis yang sangat bisa digunakan masih ada (dan ProtonMail telah berjanji akan selalu ada), tetapi paket premium menambahkan beberapa fitur yang sangat berguna, seperti domain khusus dan alamat web, ditambah peningkatan penyimpanan dan pesan per hari.

Paket ProtonMail Plus dimulai dari $ 5 per bulan (atau $ 4 per bulan jika dibayar tahunan), tetapi dapat disesuaikan lebih lanjut. Paket Visioner ProtonMail mulai dari $ 30 per bulan, dan jelas ditujukan untuk bisnis.

Harga ProtonMail 2

Domain Khusus - jika Anda memiliki nama domain Anda sendiri, Anda dapat menggunakan ini untuk mengirim dan menerima pesan terenkripsi menggunakan akun ProtonMail Anda (misalnya di [dilindungi email]).

Alamat ProtonMail - ini adalah jumlah alamat @ protonmail.ch atau @ protonmail.com yang dapat Anda miliki. ProtonMail berencana untuk menambahkan fitur penyortiran untuk ini di rilis mendatang.

Kunci baru dihasilkan untuk setiap domain kustom baru atau alias ProtonMail.

Untuk pengguna biasa, layanan gratis kemungkinan akan lebih dari cukup, tetapi untuk pengguna yang berkuasa ekstra premium membuat tambahan selamat datang, dan merupakan cara terbaik untuk membantu mendanai layanan (ingat, ProtonMail tidak menghasilkan uang melalui iklan atau menjual data Anda kepada pengiklan !).

fitur

  • Email terenkripsi ujung ke ujung
  • Dapat mengirim email terenkripsi ke pengguna non-ProtonMail
  • Email penghancuran diri
  • Antarmuka web yang ditingkatkan dengan pesan seret dan jatuhkan, manajer kontak, log otentikasi, dan banyak lagi
  • Aplikasi untuk Android dan iOS
  • Berbasis di Swiss (lebih lanjut tentang ini nanti)
  • Sumber yang sepenuhnya terbuka
  • Ekspor kunci publik (untuk mengirim ke pengguna PGP lain dan untuk memverifikasi pesan secara manual)

Swiss

ProtonMail yang beroperasi di luar Swiss adalah daya tarik besar bagi banyak pengguna, karena Swiss berada di luar yurisdiksi AS dan UE, dan memiliki reputasi untuk undang-undang privasi yang sangat kuat. Arahan pengawasan harus diperoleh melalui pengadilan dan tanpa kekuatan penyumbatan, target harus diberitahukan, intersepsi teknis komunikasi elektronik hanya diizinkan sehubungan dengan ISP dan bukan penyedia aplikasi Internet “semata” (seperti layanan email), dll..

Namun, apakah reputasi ini sepenuhnya dapat dibenarkan, tidak begitu jelas. Sering dikatakan, misalnya, bahwa otoritas Swiss tidak berminat untuk bekerja sama dengan AS dan sekutunya, tetapi ketika penghindar pajak AS menyimpan kekayaan mereka di rekening bank Swiss yang ditemukan pada tahun 2013, hal ini tidak selalu terjadi. Victor Vital, seorang pengacara di Barnes & Thornburg, memberi tahu Wired itu,

"Orang-orang tampaknya berpikir bahwa undang-undang privasi data di Eropa atau di negara-negara asing menimbulkan masalah atau akan menjadi penghalang jalan, tetapi itu bukan masalahnya, karena di bawah perjanjian itu negara-negara mewajibkan diri untuk bekerja sama seluas dan sebanyak mungkin."

Yang lebih mengkhawatirkan lagi adalah bahwa undang-undang pengawasan baru yang kuat (Nachrichtendienstgesetzt (NDG) "BÜPF) sedang didorong oleh pemerintah Swiss setelah serangan teroris tahun lalu di Paris, yang akan sangat memperluas kekuatan pengawasan negara..

Berkat sistem demokrasi Swiss, NDG ditahan sampai referendum nasional diadakan pada bulan Juni, dan ProtonMail terkenal karena berkampanye untuk meningkatkan 70.000 tanda tangan yang diperlukan untuk mewujudkan hal ini. BÜPF "siap untuk pemungutan suara di sesi musim semi Parlemen, tetapi dapat direvisi atau ditunda."

Oleh karena itu, saya pikir adil untuk mengatakan bahwa situasinya sangat tinggi, meskipun ProtonMail mengklaim itu tidak akan terpengaruh oleh hukum NDG, bahkan jika disahkan oleh referendum..

Pribadi

Akun ProtonMail dilindungi oleh dua kata sandi, yang pertama digunakan untuk mengotentikasi pengguna dan mengambil akun yang benar (dan ProtonMail menyimpan salinan), dan yang kedua disimpan hanya oleh pengguna, dan digunakan untuk mendekripsi kotak surat mereka . Seperti Micah Lee, seorang teknolog di Intercept yang berfokus pada privasi dan catatan kriptografi,

“Sebenarnya sangat menyenangkan bahwa mereka memiliki dua set kata sandi. Kata sandi masuk dikirim ke server, dan itulah bagaimana Anda membuktikan bahwa nama pengguna Anda sebenarnya milik Anda. Dan yang kedua adalah kata sandi kotak surat, yang tidak pernah dikirim ke server ProtonMail. Kata sandi kedua berjalan di browser Anda dan mendekripsi pesan Anda di sana. "

Mail disimpan terenkripsi di server ProtonMail, sehingga staf ProtonMail tidak memiliki akses ke sana, dan server ini sendiri "menggunakan hard disk sepenuhnya terenkripsi dengan beberapa lapisan kata sandi sehingga keamanan data tetap dipertahankan bahkan jika perangkat keras kami disita."

Semua pesan yang dikirim antara anggota ProtonMail dienkripsi. Pesan untuk anggota non-ProtonMail juga dapat dikirim terenkripsi, atau dapat dikirim tidak terenkripsi melalui email plaintext biasa.

Menurut ProtonMail, tidak ada metadata yang disimpan dan tidak mencatat koneksi IP pengguna (meskipun secara teknis tidak ada yang mencegahnya melakukan hal ini). Sebagaimana ProtonMail juga tunjukkan, karena pesan dienkripsi, tidak ada cara untuk memindai mereka untuk mengirimkan iklan yang ditargetkan.

Pembaruan: Masalah utama yang saya lewatkan saat awalnya menulis tinjauan ini (karena saya menggunakan akun ProtonMail yang ada) adalah bahwa ProtonMail sekarang meminta verifikasi manusia (seringkali melalui SMS) saat mendaftar untuk akun baru.

Ini dalam banyak hal merupakan tindakan pencegahan yang cukup dimengerti (dan mungkin perlu) untuk mencegah layanan disalahgunakan oleh spammer dan spambot, tetapi itu benar-benar melemahkan gagasan anonimitas. Pengguna yang tidak senang memberikan email atau nomor telepon dapat menghindari melakukannya dengan meningkatkan ke akun premium (yang dapat dibayar secara anonim menggunakan Bitcoin).

Keamanan teknis

ProtonMail menggunakan enkripsi ujung-ke-ujung untuk pesan terenkripsi, menggunakan "implementasi aman" dari perpustakaan open source AES, RSA, dan OpenPGP (TLS 1.0, AES-128 CBC, handshake DHE RSA, dan otentikasi hash SHA3).

Ini tidak apa-apa, meskipun TL 1.0 agak ketinggalan jaman, dan sebagian besar ahli menganggap AES-256 lebih aman daripada AES-128 (namun ini terbuka untuk diperdebatkan, karena AES-128 memiliki jadwal kunci yang lebih kuat).

penjelasan terenkripsi-dilindungi

Sertifikat SSL sekarang ditandatangani oleh QuoVadis Trustlink Schweiz AG,

“Fitur-fitur canggih dari sertifikat baru kami meliputi Extended Validation (EV), RSA 4096-bit, hash SHA-256, dan Certificate Transparency (CT). Bersama dengan QuoVadis, kami akan terus berada di ujung tombak teknologi sertifikat SSL untuk memastikan tingkat keamanan tertinggi bagi pengguna ProtonMail. "

Masalah besar yang kami miliki dengan ProtonMail adalah perangkat lunaknya tidak sepenuhnya open source, tetapi ini semua telah berubah, dan sekarang 100% open source. Tidak seperti banyak kode sumber terbuka, ProtonMail telah diaudit secara luas oleh tim kriptografer terkenal dan disegani yang mengajukan diri (tanpa bayaran) untuk mengawasi proyek, mencari jalan belakang dan hal-hal buruk lainnya..

Sejauh ini bagus, tapi beritanya tidak begitu cerah. Seperti yang dijelaskan Yael Grauer dari Wired,

“Salah satu masalah besar adalah tidak mudah untuk mengetahui apakah pesan yang dikirim ke pengguna ProtonMail lain sedang dienkripsi ke kunci publik penerima yang benar, yang disimpan di server kunci ProtonMail. Misalnya, jika Alice mengirim pesan kepada Bob yang dienkripsi ke kunci publiknya, sulit bagi siapa pun untuk membaca pesan itu. Tetapi karena ProtonMail mendistribusikan kunci enkripsi kepada pengguna, ia memiliki kemampuan teknis untuk memberikan Alice sendiri kunci selain Bob, sehingga mengenkripsi pesan dengan cara yang memungkinkannya untuk menguping. "

Ini adalah kelemahan yang dibagikan oleh Apple iMessage, tetapi telah dipecahkan di aplikasi seperti Signal dengan memverifikasi kunci enkripsi publik.

Masalah mencolok lainnya adalah bahwa semua kriptografi dilakukan di dalam browser pengguna menggunakan JavaScript. Ini penting agar enkripsi dilakukan secara end-to-end (daripada dilakukan oleh ProtonMail, dengan ProtonMail memegang kunci privat), tetapi kriptografi JavaScript secara inheren sangat tidak aman.

Ini adalah masalah yang seharusnya tidak memengaruhi pengguna aplikasi seluler, selama mereka ingat untuk hanya mengakses akun ProtonMail mereka menggunakan aplikasi seluler, karena ini tidak menggunakan JavaScript untuk kriptografi mereka.

Saat mengirim email terenkripsi ke non-pengguna, konten email dan lampiran apa pun dienkripsi. Namun, informasi metadata email normal dimasukkan dalam tajuk, termasuk alamat email pengirim, waktu email diterima, dan judul Subjek (yang tentu saja bisa sangat terbuka).

Yang dapat diambil di sini adalah bahwa ProtonMail jauh lebih aman daripada layanan webmail "biasa", akan tahan terhadap pengawasan menyeluruh (meskipun 100 persen pasti bahwa NSA dan layanan keamanan lainnya akan memantau akun ProtonMail dengan kuat), dan bahwa ProtonMail tidak akan memata-matai di email Anda untuk menjual data Anda ke pengiklan.

Klaim ProtonMail bahwa ia menyediakan "email anonim" harus diambil dengan sedikit garam yang sehat, dan harus dipahami dengan jelas bahwa menggunakan layanan ini sama sekali tidak seaman menggunakan klien email mandiri dengan plugin PGP yang baik diinstal (lihat tutorial kami tentang menggunakan Gpg4win), atau bahkan browser dengan add-on seperti Mailvelope diinstal.

ProtonMail sedang digunakan

Masuk

Masuk mengharuskan Anda memasukkan dua kata sandi...

Masuk ProtonMail 1

Kata sandi akun Anda, yang dikenal oleh ProtonMail ...

Masuk ProtonMail 2

... dan kata sandi kotak surat Anda, yang seharusnya hanya diketahui oleh Anda sendiri

Antarmuka ProtonMail

Siapa pun yang akrab dengan layanan webmail akan langsung merasa betah dengan ProtonMail. Antarmuka 2.0 yang baru terlihat bagus, dan bekerja dengan lancar

ProronMail mengirim email

Pesan yang dikirim ke pengguna ProtonMail lainnya dienkripsi secara otomatis, sementara pesan yang dikirim ke pengguna non-ProtonMail dapat dienkripsi secara opsional. Pesan seperti itu akan kedaluwarsa (penghancuran otomatis) dalam 28 hari, atau lebih awal jika Anda memilih

ProtonMail menerima email aman

Penerima menerima tautan ke pesan terenkripsi (ditambah petunjuk, jika digunakan). Perhatikan bahwa pesan ini akan kedaluwarsa setelah satu jam, tetapi juga perhatikan bahwa tidak ada metadata yang disembunyikan

ProtonMail menerima email aman 2

... dan ketika mereka memasukkan kata sandi..

ProtonMail menerima surel aman 3

... mereka dapat membaca pesannya

ProtonMail kedaluwarsa

Jika pesan telah kedaluwarsa maka tautannya menjadi mati

Web seluler ProtonMail

Meskipun tidak ada aplikasi seluler yang saat ini tersedia (masih dalam Beta pada saat penulisan), desain situs web ProtonMail yang responsif berarti aplikasi itu tampak hebat di peramban web seluler

Platform lainnya

Pembaruan Maret 2016: Antarmuka web, tentu saja tersedia di semua platform melalui browser biasa. ProtonMail kini juga telah merilis aplikasi untuk Android dan iOS.

Aplikasi Android ProtonMailAplikasi Android terlihat pintar dan berfungsi dengan baik

Email Penguji Privasi hasil

Saya menguji ProtonMail menggunakan alat Email Privacy Tester yang dikembangkan oleh Mike Cardwell.

Hasil tes ProtonMail

Ini adalah hasil yang sama yang saya raih ketika saya menguji hampir setahun yang lalu, dan tidak sebagus yang dari Tutanota bahkan saat itu

Kesimpulan

Aku suka

  • Jauh lebih aman daripada email biasa
  • Email tidak dimata-matai untuk tujuan periklanan
  • Mudah digunakan dan tampak hebat
  • Sumber yang sepenuhnya terbuka
  • Dapat mengirim email terenkripsi ke non-pengguna
  • Email penghancuran diri
  • Opsi premium yang benar-benar bermanfaat (termasuk domain sendiri)

Saya tidak begitu yakin tentang itu

  • Tidak ada yang seaman email PGP "tepat"
  • Manfaat berbasis di Swiss masih bisa diperdebatkan
  • Aplikasi seluler masih belum tersedia di Apple dan Play Store
  • Verifikasi SMS saat pendaftaran (dapat dihindari dengan meningkatkan ke akun premium)

saya membenci

  • Kesalahan penyajian layanan sebagai "anonim". Ini bukan
  • Hasil Penguji Privasi Email yang tidak spektakuler
  • Menggunakan ProtonMail akan menarik perhatian (bukan salahnya, tetapi juga patut diperhatikan)

Sering diperdebatkan bahwa ketika menyangkut komunikasi yang aman, sistem email yang sudah usang benar-benar rusak, dan ProtonMail tidak akan mengubahnya. Selain itu, sistem webmail apa pun yang mengimplementasikan enkripsi di dalam browser (menggunakan JavaScript) juga kemungkinan besar tidak aman. Sebagai ProtonMail sendiri mengakui pada halaman Model Ancamannya,

"TIDAK DIANJURKAN: Edward Snowden - Jika Anda Edward Snowden, atau Edward Snowden berikutnya, dan memiliki situasi hidup dan mati yang memerlukan privasi, kami tidak akan merekomendasikan menggunakan ProtonMail. Untuk situasi yang sangat sensitif, itu bukan ide yang baik untuk menggunakan email sebagai media komunikasi."

Namun, ProtonMail adalah layanan webmail yang sangat mudah digunakan (setara dengan Gmail dan sejenisnya) yang jauh lebih aman daripada kebanyakan layanan webmail semacam itu, dan yang tidak akan (tidak dapat) memata-matai semua korespondensi Anda untuk menargetkan iklan (seperti Google , Microsoft, Apple, dkk. Lakukan).

Selain itu, walaupun tidak mungkin aman terhadap serangan NSA yang ditargetkan (dan pengguna harus sadar bahwa NSA kemungkinan akan menargetkan pengguna layanan), ProtonMail untuk sebagian besar tujuan (termasuk penyelidikan oleh badan penegak hukum nasional) memberikan tingkat privasi yang tinggi , dan berbasis di Swiss, harus tangguh terhadap banyak bentuk serangan hukum.

Dalam hal kegunaan, ProtonMail telah menambahkan banyak fitur sejak pertama kali dimulai yang menjadikannya alternatif yang sangat layak untuk layanan webmail arus utama, dan pindah ke sumber sepenuhnya terbuka sangat disambut.

Singkatnya, selama itu (banyak) batasan diakui, menggunakan ProtonMail bisa menjadi langkah positif untuk meningkatkan privasi Anda dan menolak pengawasan ketat pemerintah. Hanya saja, jangan berharap itu memberikan anonimitas asli, atau untuk melindungi Anda jika Anda melakukan sesuatu yang sangat ilegal.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me