ProtonMail

ProPrivacy.com резултат
9.3 от 10

резюме

Когато за първи път прегледах ProtonMail преди повече от година, той беше много нова услуга, все още в своята алфа фаза на развитие. Още тогава реших, че има голямо обещание, стига напълно да се разберат ограниченията му. Оттогава ProtonMail въведе много нови функции, включително премиум акаунти, възможност за изпращане на криптирани имейли до потребители, които не са ProtonMail, мобилни приложения и (може би най-важното от всичко), тя се превърна в напълно отворен код.

Много аспекти на услугата обаче не са се променили, така че вместо да изобретявате колелото, тази статия е разширена и преработена версия на оригиналния ми преглед.

Бързи статистики

  • Страна
    Швейцария

Какво е ProtonMail?

ProtonMail е фокусирана върху поверителността услуга за уеб поща, предназначена да осигури функционалността и лекотата на използване на услуги като Gmail, но която е защитена и не шпионира комуникациите на своите потребители с цел да ги разхвърля или да предаде на НСА.


Той е разработен от екип студенти от MIT и Харвард, начело с доктора на Харвард и изследовател от ЦЕРН Анди Йен, и първоначално е финансиран от изключително успешна кампания IndieGoGo.

Списък на чакащи

Интересът към ProtonMail е голям и той се бори да побере нови потребители, което води до списък с чакащи преди активирането на акаунти. Този доста смущаващ проблем има много, които предпочитат вместо това (също много добър) Tutanota, който няма такъв списък с чакащи.

За щастие, чакащите сега са спаднали от 8-те месеца (!), Които ми отнеха да получа покана преди една година, до около 2 седмици (според анекдотични сведения). Това обаче може да остане проблем за по-нетърпеливите от вас.

Актуализация: Само 2 дни след публикуването на този отзив, ProtonMail отвори абонамента си за всички.

Цени и планове

Едно от най-важните развития е въвеждането на премиум планове. Много използваемият безплатен слой все още съществува (и ProtonMail обеща, че винаги ще продължи да съществува), но премиум плановете добавят някои много полезни функции, като персонализирани домейни и уеб адреси, плюс увеличено съхранение и съобщения на ден.

Планът ProtonMail Plus започва от $ 5 на месец (или $ 4 на месец, ако се плаща годишно), но може да бъде персонализиран допълнително. Визионерният план на ProtonMail започва от 30 долара на месец и е ясно предназначен за бизнеса.

Цени за ProtonMail 2

Персонализирани домейни - ако имате собствено име на домейн, можете да използвате това, за да изпращате и получавате криптирани съобщения, използвайки вашия акаунт в ProtonMail (например на [защитен имейл]).

Адреси на ProtonMail - това е броят на адресите @ protonmail.ch или @ protonmail.com, които можете да имате. ProtonMail планира да добави функции за сортиране за тях в бъдеща версия.

Генерират се нови ключове за всеки нов персонализиран домейн или псевдоним ProtonMail.

За случайни потребители безплатната услуга вероятно ще бъде повече от достатъчна, но за енергийните потребители премиум екстрите правят добре дошли и са отличен начин да помогнат за финансирането на услугата (не забравяйте, ProtonMail не прави пари чрез реклама или продажба на вашите данни на рекламодатели !).

Характеристика

  • Криптирани имейли от край до край
  • Може да изпраща криптирани имейли до потребители, които не са ProtonMail
  • Самоунищожаващи се имейли
  • Подобрен уеб интерфейс с съобщения за плъзгане и пускане, мениджър на контакти, регистрационни файлове и др
  • Приложения за Android и iOS
  • Базирано в Швейцария (повече за това по-късно)
  • Напълно отворен код
  • Експортиране на публичен ключ (за изпращане на други потребители на PGP и ръчна проверка на съобщенията)

Швейцария

Това, че ProtonMail работи извън Швейцария, е голяма тежест за много потребители, тъй като Швейцария е извън юрисдикцията на САЩ и ЕС и има репутация на много силни закони за поверителност. Насоките за надзор трябва да се получават от съдилищата и без да се налага да се уведомяват целите на правомощията, техническото прихващане на електронни комуникации е разрешено само по отношение на доставчиците на интернет услуги, а не на „обикновените“ доставчици на интернет приложения (като имейл услуги) и т.н..

Дали тази репутация е напълно оправдана обаче, не е толкова ясно. Често се казва, например, че швейцарските власти нямат интерес да си сътрудничат със САЩ и техните съюзници, но тъй като избягващите данъци от САЩ съхраняват богатството си в банкови сметки в Швейцария, открити през 2013 г., това не винаги е така. Виктор Витал, съдебен адвокат в Барнс & Thornburg, каза това на Wired,

„Хората изглежда смятат, че законите за поверителност на данните в Европа или в чужди държави създават проблеми или биха били пречка, но това не е точно така, тъй като съгласно тези договори държавите се задължават да си сътрудничат максимално широко и максимално.“

Още по-притеснителното е, че мощните нови закони за надзор (Nachrichtendienstgesetzt (NDG) „BÜPF) се принуждават от швейцарското правителство след терористичните атаки в Париж от миналата година, което значително ще разшири правомощията на държавата за надзор..

Благодарение на швейцарската система на демокрация, NDG е задържан, докато през юни не се проведе национален референдум, а ProtonMail бе забележителен по време на кампанията за събиране на 70 000 подписа, необходими за постигането на това. BÜPF е „готов за гласуване на пролетната сесия на Парламента, но може да бъде преразгледан или отложен“.

Смятам, че е справедливо да се каже, че ситуацията е много във въздуха, въпреки че ProtonMail твърди, че няма да бъде засегната от закона за NDG, дори ако е приет от референдума.

поверителност

Профилите на ProtonMail са защитени от две пароли, първата от които се използва за удостоверяване на потребителя и извличане на правилния акаунт (и който ProtonMail съхранява копие), а втората се съхранява само от потребителя и се използва за декриптиране на пощенската им кутия , Както Мика Лий, технолог от Intercept, който се фокусира върху неприкосновеността на личния живот и криптографията,

„Всъщност е наистина хубаво, че имат два набора пароли. Паролата за вход се изпраща до сървъра и така доказвате, че потребителското ви име всъщност е ваше. И второто е паролата за пощенската кутия, която никога не се изпраща до сървъра на ProtonMail. Втората парола работи в браузъра ви и дешифрира съобщенията ви там. "

Пощата се съхранява криптирана на сървърите на ProtonMail, така че служителите на ProtonMail нямат достъп до тях и самите тези сървъри „използват напълно криптирани твърди дискове с множество слоеве парола, така че сигурността на данните се запазва, дори ако хардуерът ни е конфискуван“.

Всички съобщения, изпратени между членовете на ProtonMail, са кодирани. Съобщенията до не-ProtonMail членове също могат да бъдат изпращани шифровани или могат да се изпращат нешифровани чрез обикновен имейл.

Според ProtonMail не се запазват метаданни и те не регистрират свързването на IP-потребителите (въпреки че технически нищо не му пречи да направи това). Както ProtonMail също изтъква, тъй като съобщенията са криптирани, няма начин да ги сканира, за да предостави насочена реклама.

Актуализация: Основен проблем, който пропуснах при първоначалното писане на този отзив (поради факта, че използвах съществуващия си акаунт в ProtonMail), е че ProtonMail сега иска проверка от човека (често чрез SMS), докато се регистрира за нов акаунт.

Това в много отношения е доста разбираемо (и евентуално необходимо) предпазно средство, за да се предотврати злоупотребата с услугата от спамери и спам ботове, но това напълно подкопава всякакви представи за анонимност. Потребителите, които не са доволни от предоставянето на имейл или телефонен номер, могат да избегнат това чрез надграждане до премиум акаунт (който може да бъде платен за анонимно използване на биткойни).

Техническа сигурност

ProtonMail използва криптиране от край до край за криптирани съобщения, използвайки „защитени реализации“ на библиотеките с отворен код AES, RSA и OpenPGP (TLS 1.0, AES-128 CBC, ръкостискане на DHE RSA и hash аутентификация на SHA3).

Това е наред, въпреки че TL 1.0 е малко остарял и повечето експерти смятат AES-256 за по-сигурен от AES-128 (това обаче е открито за дебат, тъй като AES-128 има по-силен ключов график).

криптирани-защитен-обяснение

SSL сертификатите вече са подписани от QuoVadis Trustlink Schweiz AG,

„Разширените характеристики на нашия нов сертификат включват разширено валидиране (EV), 4096-битов RSA, хеш на SHA-256 и прозрачност на сертификата (CT). Заедно с QuoVadis, ние ще продължим да оставаме на върха на SSL сертификатната технология, за да гарантираме най-високото ниво на сигурност за потребителите на ProtonMail. “

Голям проблем, който имахме с ProtonMail, беше, че неговият софтуер не е напълно отворен код, но всичко това се промени и той вече е на 100 процента отворен код. За разлика от много отворения код обаче, ProtonMail е подложен на обширен одит от екип от известни и уважавани криптографи, които доброволно (без заплащане) да ръководят проекта, търсейки заден план и други предприятия.

Засега толкова добър, но не всичко е толкова розово. Както обяснява Яел Грауер от Wired,

„Един от големите проблеми е, че не е лесно да се разбере дали съобщението, изпратено до друг потребител на ProtonMail, е криптирано към правилния публичен ключ на получателя, който се съхранява на сървъра на ключовете на ProtonMail. Например, ако Алис изпрати на Боб съобщение, криптирано до неговия публичен ключ, за други хора е по-трудно да прочете съобщението. Но тъй като ProtonMail разпространява ключовете за криптиране на потребителите, той има техническата способност да дава на Alice свои собствени ключове в допълнение към Bob, като по този начин криптира съобщенията по начин, който ще позволи да се подслушва. "

Това е слабост, споделена от Apple iMessage, но която е решена в приложения като Signal чрез проверка на публичните ключове за криптиране.

Друг забележителен проблем е, че цялата криптография се извършва в браузърите на потребителите, използвайки JavaScript. Това е важно, за да може криптирането да се извършва от край до край (вместо да се извършва от ProtonMail, като ProtonMail държи личните ключове), но криптографията на JavaScript по своята същност е много несигурна.

Това е проблем, който не трябва да засяга потребителите на мобилните приложения, стига те да не забравят да имат достъп само до своите акаунти в ProtonMail с помощта на мобилното приложение, тъй като те не използват JavaScript за криптографията си.

Когато изпращате криптиран имейл до не-потребители, съдържанието на имейла и всички прикачени файлове се кодират. Нормалната информация за метаданни за имейл е включена в заглавката, включително включително имейл адреса на изпращача, времето на получаване на имейла и заглавието на темата (което, разбира се, може да бъде много разкриващо).

Преимуществото тук е, че ProtonMail е много по-сигурен от „обикновените“ услуги за уеб поща, ще бъде устойчив на покритието (въпреки че е 100 процента категорично, че NSA и други служби за сигурност ще следят енергично акаунтите на ProtonMail) и че ProtonMail няма да шпионира. на имейла си, за да продадете данните си на рекламодатели.

Твърдението на ProtonMail, че предоставя „анонимен имейл“, трябва да се приема със здравословна щипка сол, и трябва ясно да се разбере, че използването на тази услуга не е толкова сигурно, колкото използването на самостоятелен имейл клиент с инсталиран добър PGP плъгин (вижте нашия урок за използване на Gpg4win) или дори браузър с добавка, като например инсталиран Mailvelope.

ProtonMail се използва

Вписване

Влизането изисква да въведете две пароли...

Вход в ProtonMail 1

Паролата на вашия акаунт, която е известна от ProtonMail ...

Вход в ProtonMail 2

... и паролата за вашата пощенска кутия, която трябва да бъде известна само вие

ProenMail wen интерфейс

Всеки, запознат с услугите на уеб поща, веднага ще се почувства като у дома си с ProtonMail. Новият интерфейс 2.0 изглежда добре и работи безпроблемно

ProronMail изпраща имейл

Съобщенията, изпращани на други потребители на ProtonMail, се кодират автоматично, докато съобщенията, изпратени на потребители, които не са ProtonMail, могат по желание да бъдат криптирани. Такива съобщения ще изтекат (автоматично се унищожат) след 28 дни или по-рано, ако решите

ProtonMail получават сигурен имейл

Получателят получава връзка към криптираното съобщение (плюс намек, ако е използван). Имайте предвид, че това съобщение ще изтече след един час, но също така имайте предвид, че няма метаданни

ProtonMail получава сигурен имейл 2

… И когато въведат паролата..

ProtonMail получава сигурен имейл 3

... те могат да прочетат съобщението

Срокът на действие на ProtonMail изтича

Ако съобщението е изтекло, връзката става мъртва

ProtonMail мобилна мрежа

Въпреки че в момента няма налични мобилни приложения (все още в Beta по време на писането), отзивчивият дизайн на уебсайта на ProtonMail означава, че изглежда страхотно в мобилен уеб браузър

Други платформи

Актуализиране на март 2016 г.: Разбира се, уеб интерфейсът е достъпен на всички платформи чрез обикновен браузър. ProtonMail вече пусна и приложения за Android и iOS.

Приложение за ProtonMail AndroidПриложението за Android изглежда умно и работи добре

Резултати от тестера за поверителност по имейл

Тествах ProtonMail с помощта на инструмента за тестване на поверителност по електронната поща, разработен от Майк Каруел.

Резултати от теста на ProtonMail

Това са същите резултати, които постигнах, когато тествах преди почти една година, и не бяха толкова добри, колкото тези от Tutanota дори тогава

заключение

Харесвах

  • Много по-сигурен от обикновения имейл
  • Имейлите не са шпионирани за рекламни цели
  • Лесен за използване и изглежда страхотно
  • Напълно отворен код
  • Може да изпраща криптирани имейли на не-потребители
  • Самоунищожаващи се имейли
  • Истински полезни премиум опции (включително собствени домейни)

Не бях толкова сигурен

  • Никъде не е толкова сигурен, колкото "правилния" PGP имейл
  • Ползите от това да бъдете базирани в Швейцария са дискусионни
  • Мобилните приложения все още не са налични в магазините на Apple и Play
  • Проверка чрез SMS при регистрация (може да се избегне чрез надстройка до премиум акаунт)

Мразех

  • Погрешно представяне на услугата като „анонимна“. Не е
  • Неспектърни резултати от тестер за поверителност на имейл
  • Използването на ProtonMail ще привлече вниманието (не е негова грешка, само по себе си, но заслужава да се отбележи)

Често се спори, че когато става въпрос за сигурна комуникация, остарялата система за електронна поща е напълно разбита и ProtonMail няма да промени това. Освен това, всяка система за уеб поща, която реализира криптиране в браузъра (използвайки JavaScript), вероятно също е фундаментално несигурна. Както самият ProtonMail признава на страницата си „Threat Model“,

"НЕ ПРЕПОРЪЧВА: Edward Snowden - Ако сте Edward Snowden или следващият Edward Snowden и имате ситуация на живот и смърт, която изисква поверителност, не бихме препоръчали да използвате ProtonMail. За изключително чувствителни ситуации просто не е добра идея да използвате имейла като средство за комуникация."

Въпреки това, ProtonMail е много лесна за използване услуга за уеб поща (наравно с Gmail и подобни), която е много по-сигурна от повечето подобни услуги за уеб поща и която няма (не може) да шпионира цялата ви кореспонденция с цел насочване на реклама (като Google , Microsoft, Apple и др..

Освен това, макар че е малко вероятно да бъде защитен срещу целенасочени атаки на NSA (и потребителите трябва да са наясно, че NSA вероятно ще е насочен към потребителите на услугата), ProtonMail за повечето цели (включително разследвания от националните правоприлагащи органи) осигурява високо ниво на поверителност и се намира в Швейцария, той трябва да е устойчив срещу много легални форми на атака.

По отношение на използваемостта, ProtonMail добави много функции, тъй като за първи път стартира, което го прави много жизнеспособна алтернатива на масовите услуги за уеб поща, а преминаването към напълно отворен код е много добре дошло.

Накратко, стига да бъдат разпознати (значителните) ограничения, използването на ProtonMail може да бъде положителна стъпка към подобряване на вашата поверителност и устояване на правилното наблюдение. Просто не очаквайте, че ще ви осигури истинска анонимност или да ви защити, ако сте решили на нещо много незаконно.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me