ProtonMail


ProPrivacy.com ציון
9.3 מתוך 10

סיכום

כשבדקתי לראשונה את ProtonMail לפני למעלה משנה, זה היה שירות מאוד פעיל עדיין בשלב ההתפתחות שלו. כבר אז חשבתי שיש לה הבטחה גדולה כל עוד מגבלותיה הובנו במלואן. מאז הציג ProtonMail תכונות חדשות רבות, כולל חשבונות פרמיום, היכולת לשלוח אימיילים מוצפנים למשתמשים שאינם ProtonMail, אפליקציות סלולריות, (ואולי החשוב מכל) היא הפכה למקור פתוח לחלוטין..

עם זאת, היבטים רבים של השירות לא השתנו, ולכן במקום להמציא את הגלגל מחדש, מאמר זה הנו גרסה מורחבת ומתוקנת של הביקורת המקורית שלי.

סטטיסטיקות מהירות

  • מדינה
    שוויץ

מה זה ProtonMail?

ProtonMail הוא שירות דואר אלקטרוני ממוקד פרטיות, המיועד לספק פונקציונליות וקלות שימוש בשירותים כמו ג'ימייל, אך הוא מאובטח ואינו מרגל אחר התקשורת של משתמשיה כדי להלקות אותם או למסור אותם NSA.

זה פותח על ידי צוות סטודנטים למחקר מ- MIT והרווארד, בראשות המועמד לתואר שלישי בהרווארד וחוקר ה- CERN, אנדי ין, והתחיל בהמון המימון על ידי קמפיין IndieGoGo מצליח להפליא..

רשימת המתנה

ההתעניינות ב- ProtonMail הייתה גבוהה והיא התקשתה להכיל משתמשים חדשים, והתוצאה הייתה רשימת המתנה לפני הפעלת חשבונות. בנושא המתסכל הזה יש רבים שבוחרים בתותנוטה (גם טובה מאוד) במקום, שאין לו רשימת המתנה כזו.

למרבה המזל, זמני ההמתנה צנחו כעת משמונה החודשים (!) שלקח לי לקבל הזמנה לפני למעלה משנה, לסביבות שבועיים (לפי דיווחים אנקדוטליים). עם זאת, יתכן שזה יישאר נושא עבור חסר סבלנות יותר מכם שם בחוץ.

עדכון: יומיים בלבד לאחר פרסום הביקורת הזו, ProtonMail פתחה את המנוי לכולם.

תמחור ותוכניות

אחד ההתפתחויות החשובות ביותר הוא הכנסת תכניות פרמיה. הרובד החופשי מאוד שמיש עדיין קיים (ו- ProtonMail הבטיח שהוא תמיד ימשיך להתקיים), אבל תוכניות פרימיום מוסיפות כמה תכונות שימושיות מאוד, כמו תחומים מותאמים אישית וכתובות אינטרנט, בתוספת אחסון והודעות מוגברות ליום..

תוכנית ProtonMail Plus מתחילה ב- $ 5 לחודש (או 4 $ לחודש אם היא משולמת מדי שנה), אך ניתן להתאים אותה בהמשך. התוכנית Visionary של ProtonMail מתחילה ב -30 דולר לחודש והיא מיועדת בבירור לעסקים.

תמחור ProtonMail 2

דומיינים מותאמים אישית - אם יש לך שם דומיין משלך, אתה יכול להשתמש בזה כדי לשלוח ולקבל הודעות מוצפנות באמצעות חשבון ProtonMail שלך (לדוגמה ב [מוגן בדוא"ל]).

כתובות ProtonMail - זהו מספר הכתובות של @ protonmail.ch או @ protonmail.com שיכולות להיות לך. ProtonMail מתכנן להוסיף תכונות מיון עבור אלה במהדורה עתידית.

מפתחות חדשים נוצרים עבור כל דומיין מותאם אישית חדש או כינוי ProtonMail.

עבור משתמשים מזדמנים, השירות החינמי ככל הנראה יהיה די והותר, אך עבור משתמשי כוח התוספות המובחרות מהוות תוספת מבורכת, והן דרך מצוינת לעזור במימון השירות (זכרו, ProtonMail לא עושה כסף באמצעות פרסום או מכירת הנתונים שלכם למפרסמים. !).

מאפיינים

  • דוא"ל מוצפן מקצה לקצה
  • יכול לשלוח דוא"ל מוצפן למשתמשים שאינם ProtonMail
  • דוא"ל להרס עצמי
  • ממשק אינטרנט משופר עם הודעות גרירה ושחרור, מנהל אנשי קשר, יומני אימות ועוד
  • אפליקציות לאנדרואיד ול- iOS
  • מבוסס בשוויץ (עוד על כך בהמשך)
  • קוד פתוח לחלוטין
  • ייצוא מפתח ציבורי (למשלוח למשתמשים אחרים ב- PGP ולאימות הודעות באופן ידני)

שוויץ

כי ProtonMail פועלת מחוץ לשוויץ היא משיכה גדולה עבור משתמשים רבים, מכיוון ששוויץ נמצאת מחוץ לתחום השיפוט של ארה"ב ואיחוד האירופי, ויש לה מוניטין של חוקי פרטיות חזקים מאוד. יש להשיג הנחיות פיקוח דרך בתי המשפט וללא כל התייחסות לסמכויות של איסור פרסום, יש ליישר ייעוד טכני של תקשורת אלקטרונית רק לגבי ספקי שירותי האינטרנט ולא "ספקים" של יישומי אינטרנט (כגון שירותי דואר אלקטרוני) וכו '..

עם זאת, האם המוניטין הזה מוצדק לחלוטין, לא ברור כל כך. לעתים קרובות נאמר, למשל, כי לרשויות השוויצריות אין כל אינטרס לשתף פעולה עם ארה"ב ובעלות בריתה, אך ככל שמשתמשי ארה"ב מחפשים את הונם בחשבונות בנק שוויצרים שהתגלו בשנת 2013, זה לא תמיד המקרה. ויקטור ויטל, עורך דין משפטים בארנס & תורנבורג, אמר לווידר את זה,

"נראה שאנשים חושבים שחוקי פרטיות הנתונים באירופה או במדינות זרות מהווים בעיות או שיהיו מחסום, אבל זה פשוט לא המקרה, מכיוון שעל פי אותם אמנים המדינות מחייבות את עצמן לשתף פעולה בצורה רחבה ככל האפשר."

מדאיג עוד יותר הוא שחוקי המעקב החדשים והחזקים (ה- Nachrichtendienstgesetzt (NDG) "BÜPF) נדחפים על ידי ממשלת שווייץ בעקבות פיגועי הטרור בשנה שעברה בפריס, מה שירחיב מאוד את סמכויות המעקב של המדינה.

בזכות שיטת הדמוקרטיה השוויצרית, ה- NDG נמצא בהמתנה עד שיתקיים בו משאל עם לאומי ביוני, ופרוטון-מייל ציין את המאבק בגיוס 70,000 חתימות הנדרשות כדי להביא לכך. ה- BÜPF "מועמד להצבעה במושב האביב של הפרלמנט, אך עשוי להשתנות או להתעכב."

אני חושב, אם כן, הוגן לומר שהמצב מאוד באוויר, אם כי ProtonMail טוען שהוא לא יושפע מחוק ה- NDG, גם אם יעבור למשאל העם..

פרטיות

חשבונות ProtonMail מוגנים על ידי שתי סיסמאות, כאשר הראשונה שלהן משמשת לאימות המשתמש ושליפת החשבון הנכון (ואילו ProtonMail שומר עותק של), והשנייה נשמרת רק על ידי המשתמש ומשמשת לפענוח תיבת הדואר שלו . כמו מיכה לי, טכנולוג בטקס היירוט המתמקד בתווי פרטיות וקריפטוגרפיה,

"זה באמת ממש נחמד שיש להם שתי קבוצות של סיסמאות. סיסמת ההתחברות נשלחת לשרת וככה אתה מוכיח ששם המשתמש שלך הוא באמת שלך. והשנייה היא סיסמת תיבת הדואר, שלעולם לא תישלח לשרת של ProtonMail. הסיסמה השנייה פועלת בדפדפן ומפענחת את ההודעות שלך שם. "

דואר מאוחסן מוצפן בשרתים של ProtonMail, כך שלצוות ProtonMail אין גישה אליהם, ושרתים אלה עצמם "משתמשים בדיסקים קשיחים מוצפנים לחלוטין עם שכבות רבות של סיסמאות, כך שנשמרת אבטחת נתונים גם אם החומרה שלנו נתפסת."

כל ההודעות שנשלחות בין חברי ProtonMail מוצפנות. ניתן לשלוח גם הודעות לחברים שאינם ProtonMail, או לשלוח אותם ללא מוצפנים באמצעות דוא"ל רגיל רגיל..

על פי ProtonMail, שום מטא נתונים לא נשמרים והיא אינה רושמת את התחברות המשתמשים של ה- IP (אם כי טכנית אין שום דבר שמונע ממנה לעשות זאת). כפי שמציין ProtonMail, מכיוון שהודעות מוצפנות, אין דרך לסרוק אותם כדי לספק פרסום ממוקד..

עדכון: נושא מרכזי שפספסתי בו בעת שכתבתי את הביקורת הזו בהתחלה (בשל העובדה שהשתמשתי בחשבון ProtonMail הקיים שלי) הוא ש- ProtonMail מבקש כעת אימות אנושי (לרוב באמצעות SMS) תוך כדי הרשמה לחשבון חדש..

זו במובנים רבים אמצעי זהירות מובן (ואולי גם הכרחי) למניעת ניצול לרעה של השירות על ידי שולחי דואר זבל וספambots, אך הוא מערער לחלוטין את כל רעיונות האנונימיות. משתמשים שאינם מרוצים לספק דוא"ל או מספר טלפון יכולים להימנע מלעשות זאת על ידי שדרוג לחשבון פרמיום (שניתן לשלם עבורו באופן אנונימי באמצעות Bitcoins).

אבטחה טכנית

ProtonMail משתמש בהצפנה מקצה לקצה להודעות מוצפנות, תוך שימוש ב"הטמעות מאובטחות "של ספריות AES, RSA ו- OpenPGP בקוד הפתוח (TLS 1.0, AES-128 CBC, לחיצת יד DHE RSA, ואימות hash SHA3).

זה בסדר, אם כי TL 1.0 מיושן במקצת, ורוב המומחים רואים כי AES-256 הוא יותר בטוח מאשר AES-128 (אולם זה פתוח לדיון, מכיוון של- AES-128 יש לוח זמנים חזק יותר למפתח).

הסבר מוצפן-מוגן

תעודות ה- SSL חתומות כעת על ידי QuoVadis Trustlink Schweiz AG,

התכונות המתקדמות של האישור החדש שלנו כוללות אימות מורחב (EV), 4096 סיביות RSA, Hash של SHA-256 ושקיפות אישורים (CT). יחד עם QuoVadis, אנו נמשיך להישאר בחזית הטכנולוגיה של אישורי SSL כדי להבטיח את רמת האבטחה הגבוהה ביותר עבור משתמשי ProtonMail. "

נושא גדול שהיה לנו עם ProtonMail היה שהתוכנה שלה לא הייתה קוד פתוח מלא, אבל כל זה השתנה, וכעת הוא קוד פתוח במאה אחוז. אולם בניגוד לקוד קוד פתוח בהרבה, ProtonMail's נערך ביקורת נרחבת על ידי צוות קריפטוגרפים ידועים ומוערכים שהתנדבו (ללא תשלום) לפקח על הפרויקט, וחיפשו דלתות אחוריות וטיפולים אחרים..

עד כה כל כך טוב, אבל החדשות לא כל כך ורודות. כפי שמסבירה יעל גראואר מ Wired,

"אחד הנושאים הגדולים הוא שלא קל לדעת אם הודעה שנשלחת למשתמש אחר של ProtonMail מוצפנת למפתח הציבורי הנכון של הנמען, המאוחסן בשרת המפתחות של ProtonMail. לדוגמה, אם אליס שולחת לבוב הודעה המוצפנת למפתח הציבורי שלו, קשה יותר למישהו אחר לקרוא את ההודעה. אבל מכיוון ש- ProtonMail מפיצה את מפתחות ההצפנה למשתמשים, יש לה את היכולת הטכנית לתת לאליס מפתחות משלה בנוסף לשלוחות של בוב, ובכך להצפין את ההודעות באופן שיאפשר לה לצותת. "

זו חולשה שמשותף ל- Apple iMessage, אך נפתרה באפליקציות כמו Signal על ידי אימות מפתחות ההצפנה הציבורית..

בעיה בולטת נוספת היא שכל הקריפטוגרפיה מתבצעת בדפדפני המשתמשים באמצעות JavaScript. זה חיוני על מנת שההצפנה תבוצע מקצה לקצה (ולא יבוצע על ידי ProtonMail, כאשר ProtonMail מחזיק את המפתחות הפרטיים), אך קריפטוגרפיה של JavaScript אינה מטבעה מאוד לא בטוחה.

זו בעיה שלא אמורה להשפיע על משתמשי האפליקציות לנייד, כל עוד הם זוכרים לגשת רק לחשבונות ProtonMail שלהם באמצעות האפליקציה לנייד, מכיוון שאלו אינם משתמשים ב- JavaScript לצורך הקריפטוגרפיה שלהם..

בעת שליחת דוא"ל מוצפן ללא משתמשים, תוכן הדוא"ל וכל הקבצים המצורפים מוצפנים. מידע על מטא נתונים רגילים בדוא"ל כלול בכותרת, עם זאת, כולל כתובת הדוא"ל של השולח, זמן קבלת הדוא"ל וכותרת הנושא (שיכולה להיות כמובן חושפנית מאוד).

הניתוק כאן הוא ש- ProtonMail מאובטח בהרבה משירותי דואר אלקטרוני "רגילים", יהיה עמיד בפני מעקב שמיכה (אם כי מוגדר במאה אחוז כי ה- NSA ושירותי אבטחה אחרים יפקחו בחוזקה אחר חשבונות ProtonMail), וכי ProtonMail לא ירגל. בדוא"ל שלך כדי למכור את הנתונים שלך למפרסמים.

עם זאת, יש לקחת את טענת ProtonMail כי היא מספקת "דוא"ל אנונימי" עם קמצוץ מלח בריא, ויש להבין בבירור כי השימוש בשירות זה איננו בטוח כמעט כמו שימוש בלקוח דוא"ל עצמאי עם התקנת תוסף PGP טוב (ראה הדרכה שלנו לשימוש ב- Gpg4win), או אפילו בדפדפן עם תוסף כמו למשל מותקנת מסגרת דואר.

ProtonMail בשימוש

כניסה

כניסה מחייבת להזין שתי סיסמאות...

כניסה ל- ProtonMail 1

סיסמת החשבון שלך, הידועה על ידי ProtonMail ...

כניסה ל- ProtonMail 2

... וסיסמת תיבת הדואר שלך, שאותה עליך לדעת רק בעצמך

ProtonMail ממשק wen

כל מי שמכיר את שירותי הדואר האלקטרוני ירגיש בבית בבית עם ProtonMail. ממשק ה- 2.0 החדש נראה טוב, ועובד בצורה חלקה

ProronMail שלח דוא

הודעות שנשלחות למשתמשים אחרים של ProtonMail מוצפנות אוטומטית, ואילו ניתן לשלוח הצפנה של הודעות שנשלחות למשתמשים שאינם ProtonMail. תוקפם של הודעות כאלה יפוג (הרס אוטומטי) בעוד 28 יום, או מוקדם יותר אם תבחרו

ProtonMail מקבלים דוא

הנמען מקבל קישור להודעה המוצפנת (בתוספת הרמז, אם נעשה בו שימוש). שים לב שההודעה הזו תפוג לאחר שעה, אך שים לב שלא מטא נתונים מוסתרים

ProtonMail מקבל דוא

... וכאשר הם מזינים את הסיסמה..

ProtonMail מקבל דוא

... הם יכולים לקרוא את ההודעה

פג תוקף של ProtonMail

אם פג תוקפה של הודעה, הקישור מת

ProtonMail אינטרנט נייד

אף על פי שאין כרגע אפליקציות לנייד זמינות (עדיין בטא בעת כתיבת שורות אלה), עיצוב האתר המגיב של ProtonMail פירושו שהוא נראה נהדר בדפדפן אינטרנט נייד.

פלטפורמות אחרות

עדכון מרץ 2016: ממשק האינטרנט זמין כמובן בכל הפלטפורמות באמצעות הדפדפן הרגיל שלך. ProtonMail פרסמה כעת גם אפליקציות לאנדרואיד ו- iOS.

אפליקציית אנדרואיד ProtonMailאפליקציית אנדרואיד נראית חכמה ועובדת טוב

תוצאות בודק פרטיות בדוא"ל

בדקתי את ProtonMail באמצעות הכלי Tester Privacy Tester שפותח על ידי מייק קארדוול.

תוצאות בדיקת ProtonMail

אלה אותן תוצאות שהשגתי כשבדקתי לפני כמעט שנה, ולא היו טובות כמו אלה מתותנוטה גם אז

סיכום

אהבתי

  • הרבה יותר מאובטח מאשר דוא"ל רגיל
  • אימיילים אינם מורגלים למטרות פרסום
  • קל לשימוש ונראה נהדר
  • קוד פתוח לחלוטין
  • יכול לשלוח אימיילים מוצפנים ללא משתמשים
  • דוא"ל להרס עצמי
  • אפשרויות פרימיום מועילות באמת (כולל דומיינים משלך)

לא הייתי כל כך בטוח לגבי

  • בשום מקום לא מאובטח כמו דוא"ל PGP "נכון"
  • היתרונות של הימצאותה בשוויץ ניתנים לוויכוח
  • אפליקציות לנייד עדיין אינן זמינות בחנויות Apple ו- Play
  • אימות SMS בהרשמה (ניתן להימנע משדרוג לחשבון פרמיום)

שנאתי

  • מצג שווא של השירות כ"אלמוני ". זה לא
  • תוצאות בודק פרטיות בדוא"ל לא מרהיבות
  • השימוש ב- ProtonMail ימשוך תשומת לב (לא אשמתו, כשלעצמה, אך ראוי לציין)

לעתים קרובות נטען כי בכל הקשור לתקשורת מאובטחת, מערכת הדואר האלקטרוני המיושנת מקולקלת לחלוטין, ו- ProtonMail לא מתכוון לשנות זאת. יתרה מזאת, כל מערכת דואר אלקטרוני המיישמת הצפנה בדפדפן (באמצעות JavaScript) היא ככל הנראה לא בטוחה מיסודה. כפי ש- ProtonMail עצמה מודה בדף ה- Threat Model שלה,

"לא הומלצו: אדוארד סנודן - אם אתה אדוארד סנודן, או אדוארד סנודן הבא, ויש לך מצב חיים ומוות הדורש פרטיות, אנו לא ממליצים להשתמש בפרוטונמייל. במצבים רגישים במיוחד, פשוט לא כדאי להשתמש בדוא"ל כמדיום לתקשורת."

עם זאת, ProtonMail הוא שירות דוא"ל קל מאוד לשימוש (בשווה ל- Gmail וכדומה) שהוא הרבה יותר מאובטח מרוב שירותי הדואר האלקטרוני, ואשר לא (לא יכול) לרגל את כל ההתכתבויות שלך כדי למקד לפרסום (כמו גוגל , מיקרוסופט, אפל ואח 'לעשות).

יתרה מזאת, למרות שלא סביר שיהיה בטוח מפני התקפות NSA ממוקדות (והמשתמשים צריכים להיות מודעים לכך ש- NSA יתכן ככל הנראה למשתמשים בשירות), ProtonMail לרוב המטרות (כולל חקירות על ידי גורמי אכיפת החוק הלאומיים) מספקת רמה גבוהה של פרטיות בהיותו מבוסס בשוויץ, זה אמור להיות עמיד בפני צורות תקיפה רבות ומגוונות.

מבחינת השימושיות, ProtonMail הוסיפה טונה של תכונות מאז שהתחילה לראשונה שהופכות אותה לחלופה מאוד בת קיימא לשירותי הדואר האלקטרוני המיינסטרימי, והמעבר למקור פתוח לחלוטין מוזמן מאוד.

בקיצור, כל עוד מוכרות המגבלות (הניכרות) השימוש בפרוטון-מייל יכול להיות צעד חיובי לשיפור פרטיותך והתנגדות למעקב השלטון הסמיך. רק אל תצפו שהיא תספק אנונימיות אמיתית, או שתגן עליכם אם אתם עומדים בדבר בלתי חוקי מאוד.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me