Hushmail

Hushmail - это поставщик защищенной электронной почты, принадлежащий компании Hush Communications Ltd, которая базируется в Ванкувере, Канада. Однако эта фирма является дочерней компанией Hush Communications Corporation, фирмы, базирующейся в штате Делавэр, США. Поставщик электронной почты был запущен еще в 1999 году, и с тех пор он стал популярным сервисом для потребителей, желающих отправлять безопасные зашифрованные электронные письма..

ProPrivacy.com Гол
8 из 10

Резюме

Хотя Hushmail имеет хорошую репутацию в сфере обеспечения безопасности электронной почты, находиться в Канаде далеко от идеала. Это связано с тем, что страна является частью ПЯТИ ГЛАЗ и имеет множество законов, которые нарушают неприкосновенность частной жизни людей, включая законопроект C-11, который заставляет интернет-провайдеров осуществлять обязательное хранение данных. Связи с материнской компанией в США также ставят вопросы о возможности использования ордеров и заказов на квитанции для извлечения данных в США со своих международных серверов..

Кроме того, Hushmail является проприетарным приложением с закрытым исходным кодом, что означает, что, хотя шифрование PGP используется для обеспечения безопасности электронной почты, было проверено, а программное обеспечение Hushmail - нет. В зависимости от вашей модели угроз, эти факторы могут оттолкнуть некоторых людей от обслуживания.


Быстрая статистика

  • Страна
    Канада

Сколько стоит Hushmail?

Hushmail предоставляет бесплатную пробную версию, которая позволяет пользователям почувствовать свои услуги, не тратя ни копейки. Бесплатно пользователи получают 15 Мб памяти и один адрес электронной почты..

Премиум стоит $ 49,98 и позволяет людям использовать неограниченное количество псевдонимов и 10 Гб памяти. Сервис также поставляется с функцией безопасных форм.

Hushmail Премиум плата

Для тех, кто требует использования собственного домена: вам нужно раскошелиться на более дорогой «бизнес» аккаунт. Это стоит $ 5,99 в месяц ($ 71,88 в год) на пользователя.

Характеристики

По сравнению со многими почтовыми провайдерами, Hushmail немного скуден в плане возможностей. Если вы переходите с Google, потеря календаря, хранилища (через диск) и электронных таблиц может стать шоком. Однако, если вам нужны только безопасные почтовые сервисы, Hushmail может быть достаточно.

Также стоит отметить, что если хотите, ниже представлен полный набор функций, доступных на платной платформе:

  • 10 ГБ памяти
  • Неограниченные псевдонимы
  • Поддержка IMAP, POP
  • Импорт контактов через CSV
  • Папка спама / нежелательной
  • Шифрование OpenPGP
  • Двухэтапная проверка (SMS, электронная почта или приложение)
  • Функция безопасных форм
  • совместимый с iPhone

Конфиденциальность

После того, как Microsoft проиграла дело Microsoft Corp. против США, верховный суд США установил, что американские корпорации обязаны извлекать данные со своих международных серверов при получении ордера от властей США. Для Hushmail, которая является дочерней компанией американской компании, это вызывает озабоченность по поводу конфиденциальности в связи с возможностью кляпных заказов.

Эти опасения дополняют тот факт, что Hushmail базируется в Канаде, которая, как известно, сотрудничает с другими странами ПЯТЬ ГЛАЗ для осуществления надзора. В целом, это ставит вопрос о конфиденциальности в отношении конфиденциальности, которую вы можете получить при использовании Hushmail, особенно учитывая закрытую природу платформы..

Более того, чтобы открыть учетную запись Hushmail, вам необходимо согласиться на некоторую обработку личных данных. Фирма также сообщает пользователям, что они будут подчиняться властям, если им будет предоставлен законный ордер на это. На данный момент стоит отметить, что на рынке нет журналов поставщиков электронной почты, которые позволили бы вам зарегистрироваться, не передавая личные данные или адрес электронной почты..

Hushmail создать аккаунт

Сбор личных данных Hushmail подробно описан в его политике конфиденциальности следующим образом:

«В рамках процесса создания учетной записи ваш IP-адрес будет записан. Мы можем также попросить вас предоставить другую информацию, такую ​​как номер телефона. Мы используем эту информацию для анализа тенденций рынка, сбора широкой демографической информации и предотвращения злоупотреблений нашими услугами. Мы не будем передавать эту информацию третьим лицам ».

Кроме того, фирма предупреждает пользователей, что если они решат приобрести подписку, для обработки потребуются следующие данные:

«Имя, учетная запись, которую вы обновляете, домен, который вы хотите использовать для своей электронной почты, альтернативный адрес электронной почты, ваш платежный адрес и данные вашей кредитной карты. Кроме того, мы запишем IP-адрес, с которого производится оплата. Когда мы обрабатываем вашу платежную транзакцию, эта платежная информация будет передана нашему платежному обработчику. Мы используем сторонние PCI-совместимые сервисы для обработки вашей платежной транзакции. Когда мы обрабатываем ваш платеж, мы передаем ваш IP-адрес, город, страну и почтовый индекс сторонней службе по борьбе с мошенничеством, чтобы определить вероятность того, что покупка была мошеннической транзакцией. Мы не храним номер вашей кредитной карты на наших серверах ».

Более того, Hushmail объясняет, что будет собирать данные от вас, когда вы входите в систему и используете ее сервис:

«Информация, которую мы записываем, может включать ваш IP-адрес, тип вашего браузера, язык браузера, дату и время действия, имена пользователей учетной записи, адреса электронной почты отправителя и получателя, имена файлов вложений, темы электронных писем, URL-адреса в теле незашифрованной электронной почты и любую другую информацию, которую мы считаем необходимой для записи в целях поддержания системы и предотвращения злоупотреблений ».

Как видите, фирма собирает и сохраняет все метаданные электронной почты, предположительно, чтобы она могла соответствовать ордерам и запросам правоохранительных органов, если они были представлены им. Итак, есть ли доказательства того, что Хушмаил передал данные властям??

Для начала, Hushmail не предоставляет отчет о прозрачности и не имеет ордера на канарейку, как многие его конкуренты. Это позор, потому что для потребителей невозможно понять количество запросов данных, которые он получает и выполняет. Тем не менее, с помощью небольшого исследования можно найти доказательства распространения Hushmail канадским властям..

В 2007 году Hushmail передал 12 компакт-дисков с электронными письмами, касающимися трех учетных записей Hushmail. Согласно источникам из этого дела, Hushmail предоставил незашифрованные версии зашифрованных электронных писем в открытом тексте, к которым у него не должно было быть доступа из-за сквозного шифрования. Эти данные были переданы федеральным властям США в соответствии с постановлением суда, полученным в соответствии с договором о взаимопомощи между США и Канадой (FVEY). Дело чрезвычайно тревожное и вызывает серьезные сомнения по поводу сервиса и возможности того, что у него будет черный ход..

После этого технический директор Hushmail также признал, что спецслужбы могли взломать зашифрованные электронные письма целевых учетных записей с помощью уязвимостей в приложении браузера Javascript..

Чтобы быть справедливым в Hushmail, это проблема для любого шифрования на основе браузера, которое выполняется с помощью Javascript. По этой причине любой, кто хочет безопасно отправлять и получать зашифрованные по PGP электронные письма без возможности атаки «посредник», которая может привести к скомпрометированным ключам шифрования как в браузерах отправителя, так и в браузерах получателя, - должен выбрать использование электронной почты. Сервис с выделенным клиентом. (Hushmail может быть использован таким образом; если вы доверяете этому.)

С другой стороны, откровенное признание того, что этот эксплойт Java на самом деле эксплуатируется пользователями Hushmail, выходит за рамки простого заявления о том, что это возможно в теории, и является резким напоминанием о том, что ему очень трудно доверять Службы США, которые утверждают, что обеспечивают конфиденциальность.

Наконец, мы ненавидели то, что нам нужно было предоставить номер телефона на этапе подписки, чтобы получить код подтверждения SMS. Необходимость предоставить ваш старый адрес электронной почты и номер телефона слишком агрессивны для нас.

Безопасность

Hushmail реализует шифрование для отправки и хранения электронной почты на своих серверах. Тем не менее, любое письмо, отправленное в незашифрованном виде, хранится на незашифрованном сервере Husmail, что означает, что они могут быть скомпрометированы, если фирме будет вручен ордер. Это позор, потому что нет абсолютно никакой причины, почему Hushmail не мог зашифровать все письма, которые находятся в покое; в том числе те, которые были отправлены в незашифрованном виде.

Когда пользователи отправляют электронные письма, используя Hushmail, их реальный IP-адрес удаляется из заголовка и заменяется IP-адресом, принадлежащим Hushmail. Это хорошо для безопасности, потому что получатель никогда не увидит реальный IP-адрес отправителя. Тем не менее, стоит отметить, что Hushmail всегда записывает ваш IP-адрес, когда вы входите в его сервисы; так что данные записываются и могут быть переданы властям позднее.

Хотя Hushmail использует проприетарное программное обеспечение с закрытым исходным кодом, в нем реализованы полностью проверенные стандарты OpenPGP для шифрования электронной почты. Фирма также реализует шифрование Transport Layer Security (TLS / SSL) для всех данных, которые передаются при передаче на ее серверы. Для обеспечения дополнительной безопасности фирма внедряет Hushmail, используя Forward Secrecy, HTTP Strict Transport Security и Pinning Pinning. Шифрование SSL / TLS также используется, когда фирма передает электронную почту между серверами. Эта безопасность должна позволять предотвращать атаки типа «человек посередине».

Что касается шифрования PGP, Hushmail гарантирует, что основная часть и вложения, содержащиеся в электронных письмах, защищены с помощью шифрования OpenPGP. Шифрование OpenPGP доступно через службу веб-почты Hushmail и в приложении для iPhone. Он также доступен при доступе к Hushmail через IMAP или POP3..

Как и в случае с Tutantoa, Hushmail имеет функцию, которая позволяет пользователям отправлять зашифрованные электронные письма пользователям, у которых нет Hushmail (или другой PGP-совместимой учетной записи электронной почты). При отправке зашифрованной электронной почты пользователю, не являющемуся Hushmail, зашифрованная электронная почта сохраняется на серверах Hushmail, и получателю отправляется ссылка для доступа к этой электронной почте, которую можно расшифровать с помощью системы вопросов и ответов, для которой получатель должен знать ответ..

Эта система обычно считается безопасной. Тем не менее, это означает, что вы должны доверять Hushmail, что может вызвать у некоторых потребителей чувство холода. Вам нужно будет сделать это решение называть себя в зависимости от вашей модели угрозы.

Для входа в учетную запись hushmail предлагает пользователям вводить парольную фразу. Фирма заявляет, что эти парольные фразы никогда не хранятся на ее серверах. Вместо этого они превращаются в хэшированное значение, из которого никогда не может быть получена фраза-пароль..

Если пользователи хотят, они также устанавливают двухфакторную аутентификацию в своей учетной записи. Это позволяет им получать код через дополнительную учетную запись электронной почты, через SMS или с помощью приложения для аутентификации. Hushmail предоставляет еще одну меру безопасности, блокируя учетные записи, если в течение короткого времени делается слишком много попыток доступа к учетной записи, это защищает учетные записи от попыток перебора.

В целом, безопасность и шифрование в сервисе Hushmail кажутся хорошими. Хотя по общему признанию, мы видели даже лучшие реализации, которые включают Perfect Forward Secrecy и другие меры безопасности, такие как HSTS, CAA, CSP, MTA-STS и X-XSS.

Простота использования

Получить учетную запись Hushmail так же просто, как зайти на ее сайт и настроить бесплатную электронную почту. Но, к сожалению, вы должны ввести предыдущее электронное письмо и номер телефона, чтобы зарегистрироваться и получить код активации SMS. Это чрезвычайно агрессивно. После ввода SMS-кода вы получаете доступ к своей учетной записи электронной почты..

Пробная версия Hushmail

Бесплатные пользователи получают 25 Мб памяти на одном настроенном е-мейле.

Обновление до премиальной подписки предоставляет пользователям неограниченное количество псевдонимов, псевдонимов и временных адресов электронной почты. Кроме того, пользователи получают 10 ГБ хранилища данных. Премиум-версия также позволяет подписчикам создавать две безопасные веб-формы с помощью перетаскивателя форм..

В отличие от многих более дешевых поставщиков защищенной электронной почты, представленных на рынке, вы не получаете никаких полезных дополнений, таких как календарь, хранилище (диск), веб-чат, электронные таблицы и т. Д. Однако вы получаете очень важный раздел контактов, который находится в гамбургере. меню в правом верхнем углу веб-интерфейса. И, в отличие от некоторых провайдеров электронной почты, очень легко увидеть, как вы импортируете свои контакты из предыдущей учетной записи электронной почты в формате CSV (vCard недоступна).

Hushmail импорт контактов

Из-за недостатка функций можно сказать, что с этим провайдером электронной почты не так много обучения. Если, конечно, вы не знакомы с обработкой ключей PGP; и тогда вам нужно будет либо провести собственное исследование, либо воспользоваться полезным справочным центром Hushmail (FAQ).

Чтобы отправить электронное письмо не-Hushmail пользователю через PGP, получателю необходимо загрузить свой открытый ключ на серверы Hushmail. В FAQ есть руководство по выполнению этой задачи..

IMAP и PoP доступны для синхронизации между устройствами, и они доступны как для iOS, так и для Android. Также предоставляются руководства по использованию этих полезных функций..

Для тех, кто хочет, IMAP можно использовать для настройки Hushmail для работы с автономным клиентом, таким как Outlook, MacMail или Mozilla Thunderbird. И это повысит безопасность платформы по сравнению с использованием системы веб-почты на основе браузера (и присущих ей уязвимостей JavaScript).

Нам также нравится, что бесплатные пользователи автоматически получают 14-дневную бесплатную пробную версию Premium, что я и использовал для проверки поставщика электронной почты в этом обзоре..

Возможно, самым большим недостатком бесплатного сервиса является то, что учетные записи, которые остаются неактивными в течение более трех недель, автоматически удаляются. Это может разочаровать, если вы отправляетесь в путешествие на продолжительное время и возвращаетесь, чтобы узнать, что ваш аккаунт закрыт, и вы потеряли / пропустили несколько важных писем, которые ожидали.

Конечно, простой ответ на эту проблему - получить подписку. Хотя, учитывая проблемы конфиденциальности, которые мы обнаружили с помощью этой услуги (и относительно высокую цену), мы обычно рекомендуем покупать подписку в другом месте..

Служба поддержки

В дополнение к полезному справочному центру часто задаваемых вопросов - который поставляется с различными руководствами и статьями - как бесплатные, так и премиум-пользователи могут обращаться за поддержкой по электронной почте.

Система тикетов не существует, поэтому вам нужно набраться терпения и дождаться ответа. Служба поддержки доступна только в рабочее время по тихоокеанскому времени США. В дополнение к поддержке по электронной почте пользователи могут получить поддержку по телефону (доступно только для подписчиков Premium).

В целом, поддержка на платформе является адекватной, и мы никогда не оставались в ожидании ответа более одного дня. Однако, учитывая высокую цену (по сравнению с другими услугами), обидно, что Hushmail не имеет функции чата на своем веб-сайте..

Вывод

В целом, мы обнаружили, что сетевое программное обеспечение этого провайдера электронной почты простое в использовании и легко синхронизируется между устройствами. И хотя он может считаться хорошим вариантом для начинающих (с точки зрения простоты использования), он может считаться дорогим по сравнению с другими, более уважаемыми поставщиками электронной почты. Отсутствие функций может также оттолкнуть многих потребителей, учитывая то, что доступно с Mailfence, Posteo и многими другими провайдерами..

Предыдущий случай, когда Hushmail предоставлял властям четкие текстовые копии электронных писем, чрезвычайно важен и может означать, что приложения Hushmail с закрытым исходным кодом находятся в закулисном режиме. Отсутствие функций может также оттолкнуть некоторых людей.

В заключение, мы рекомендуем посмотреть в другом месте. Домашняя база этого провайдера электронной почты в Канаде и ее материнская компания в США оставляют слишком много знаков вопроса о конфиденциальности и безопасности.

Наконец, поскольку можно получить лучшую учетную запись электронной почты менее чем за половину цены - мы рекомендуем поискать альтернативную услугу.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me