ScryptMail


ScryptMail уходит из бизнеса. 31 января 2020 года служба электронной почты будет закрыта, а 31 марта 2020 года будут удалены все базы данных..

Хорошей новостью является то, что существует множество альтернатив ScryptMail. Пожалуйста, посмотрите нашу лучшую безопасную статью об услугах электронной почты для получения списка альтернатив..

ScryptMail - это провайдер электронной почты, разработанный Сергеем Крутовым, консультантом по защите данных в Спокане, штат Вашингтон. Фирма утверждает, что обеспечивает надежную защиту электронной почты, которая включает в себя шифрование в состоянии покоя и зашифрованные метаданные (претензию мы поставим под сомнение позже). Этот небольшой независимый сервис звучит интересно, поэтому мы подумали, что сделаем это быстрее.

ProPrivacy.com Гол
5 из 10

Резюме

Быть базирующимся в США является проблемой, потому что США являются домом для АНБ, ЦРУ, кляпов и ордеров. Американская база - это всегда хорошая причина, чтобы держаться подальше от любой службы, которая утверждает, что обеспечивает конфиденциальность, потому что трудно проверить, действительно ли они обеспечивают конфиденциальность и безопасность, на которые они претендуют (и даже если они намерены - их могут заставить запустить шпионить за пользователями в тайне в любое время).

Кроме того, хотя код службы размещен на Github, в ней отсутствует документация и отсутствует файл лицензии. Таким образом, это не совсем открытый исходный код. Несмотря на это, поместить код на Github лучше, чем хранить его под замком. С другой стороны, он, по-видимому, не подвергался сторонним проверкам.

На первый взгляд, у почтового провайдера ScryptMail, похоже, много полезных функций. В нашем обзоре scryptmail мы подробно рассмотрим некоторые из его претензий - чтобы узнать, стоит ли тратить время и деньги.

Сколько стоит ScryptMail?

ScryptMail - это недорогой почтовый сервис, которым можно пользоваться бесплатно. Бесплатно пользователи получают доступ к 300 Мб хранилища электронной почты. Пользователи могут выбрать «пополнить» свой счет с помощью PayPal или Bitcoin..

Как только деньги будут добавлены на баланс их учетной записи, пользователь может выбрать отдельные обновления, такие как настраиваемые домены, псевдонимы, более надежное шифрование ключа PGP и различные другие функции..

Они оплачиваются индивидуально и по разумным ценам. Тем не менее, учитывая, что можно получить полнофункциональных провайдеров защищенной электронной почты всего за 1 евро в месяц (например, Tutanota или Posteo), оплачивая эту услугу, это будет довольно дорого, если вы начнете использовать многочисленные функции..

Особенности ScryptMail

  • Доступна бесплатная учетная запись электронной почты
  • Запеченный в шифровании PGP
  • ПИН зашифрованные письма
  • Шифрование в покое
  • Папка для спама
  • контакты
  • Псевдонимы (только платные)
  • Пользовательские домены (только платные)
  • Двухфакторная аутентификация
  • Фильтрация почты
  • Функция черного списка

Конфиденциальность

Быть базирующимся в США всегда считается проблемой, когда речь заходит о конфиденциальности. Американским фирмам могут быть вручены ордера и заказы, которые вынуждают их шпионить за своими пользователями от имени правительства. Если фирма нарушит приказ о кляпе (что заставляет ее держать это наблюдение в секрете), сотрудники фирмы могут быть привлечены к ответственности и приговорены к тюремному заключению.

Зеркало службы веб-почты ScryptMail доступно в глубокой сети через Tor; что отлично подходит для людей, которые хотят зарегистрироваться и получить доступ к своей электронной почте анонимно. Для людей, не готовых прыгнуть в недоумение Интернета, клиент веб-почты, очень похожий на тот, который предоставляется многими другими почтовыми клиентами, доступен в вашем браузере через Интернет..

Политика конфиденциальности показывает, что фирма хранит некоторые журналы подключений: время последнего входа в систему, IP-адрес, пользовательский агент и вызов API. Однако после этого политика вводит в заблуждение: «У нас нет возможности сопоставить IP-адрес с определенной учетной записью пользователя». Это представляется прямым противоречием.

В дополнение к этой проблеме, ScryptMail имеет ордер на канарейку и отчет о прозрачности, который некоторое время не обновлялся. По-видимому, устаревший ордер на канарейку, который остается нетронутым с 2016 года, свидетельствует о том, что компании был выдан ордер. Одного этого достаточно для того, чтобы держаться подальше от сервиса. Отчет о прозрачности гласит:

  • У нас было 8 запросов от правоохранительных органов для доступа к файлу журнала в течение определенного времени для определенных пользователей
  • 8 запросов на время доступа и IP были удовлетворены

Хорошая новость (если это можно так назвать) заключается в том, что отчет о прозрачности показывает, что фирма действительно собирает журналы подключений, включая IP-адреса пользователей. Таким образом, у нас нет выбора, кроме как строго отговорить потребителей от использования этого VPN.

Безопасность

Все взаимодействие с серверами ScryptMail происходит через TLS / SSL (HTTPS), и фирма заявляет, что внедряет HSTS для смягчения атак на человека в середине, а также закрепления сертификатов (для противодействия имитации атакующими). Тем не менее, тесты, проведенные Qualys SSL Labs, показывают, что фирма набирает только B за силу своей реализации SSL (поскольку цепочка сертификатов сервера является неполной). Это плохой результат, который предполагает, что фирма фактически не внедряет HSTS.

Что касается хранилища, фирма утверждает, что все данные электронной почты зашифрованы в состоянии покоя с использованием надежного шифрования AES 256, а фирма заявляет, что Forward Secrecy реализован для дополнительной безопасности. В общем, это означает, что фирма, кажется, обрабатывает электронные письма безопасным способом. Тем не менее, есть некоторые оговорки...

ScryptMail был написан одним разработчиком, и, поскольку он был выпущен в 2014 году, разработчик обновил его только один раз в январе 2015 года. Это определенно вызывает тревогу, и, как другие люди указывали на Reddit и в других местах; Трудно поверить, что служба, разработанная одним человеком, и которая никогда не обновляется, на самом деле защищена от хакеров или вторжения правительства..

Что касается заявления фирмы о том, что она шифрует все метаданные, то стоит отметить, что, хотя шифрование всех метаданных, когда они находятся в состоянии покоя, возможно (так что, по крайней мере, ScryptMail не может получить доступ к этой информации) - невозможно скрыть, кто отправил электронная почта (и когда) от других поставщиков электронной почты. Метаданные должны быть включены в заголовок электронного письма для его доставки, и эти данные предоставляются, когда электронное письмо отправляется через сеть. Таким образом, метаданные могут собираться в массовом порядке (спецслужбами или MitM-атакой) во время транзита..

Для тех, кто предпочитает добавлять двухфакторную аутентификацию в свою учетную запись, эта функция доступна в настройках и может быть настроена для работы с физическим Yubikey или с использованием Google Authenticator..

Простота использования

Создать учетную запись ScryptMail легко, и вам не нужно передавать какие-либо личные данные, если вы этого не хотите. Это здорово, потому что мы предпочитаем провайдеров электронной почты, которые не запрашивают номер телефона или предыдущий адрес электронной почты для проверки.

завести аккаунт

После создания учетной записи вам будет предложено загрузить секретный токен для вашей учетной записи. Секретный токен описывается ScryptMail как «основной инструмент для вашей учетной записи», поскольку его можно использовать для сброса пароля или секретной фразы, которая используется для входа в систему. Однако стоит отметить, что в дополнение к токену это необходимо также иметь пароль или секретную фразу (поэтому не храните их вместе!)

экран, показывающий, что аккаунт успешно создан

Получив доступ к веб-почте, мы решили проверить, насколько просто импортировать контакты. К сожалению, мы не смогли найти способ импортировать контакты с помощью файла CSV, а это значит, что вам нужно будет добавить контакты вручную - один за другим.

Далее мы решили написать письмо с шифрованием. Мы могли бы легко найти метод шифрования PIN-кода (который требует, чтобы вы передавали пароль за пределами ScryptMail отправителю каким-то личным способом).

метод пин-шифрования в scryptmail

Однако настройка веб-почты для отправки зашифрованных электронных писем PGP совсем не очевидна. В итоге мы смогли убедиться, что для отправки зашифрованных электронных писем PGP необходимо создать контакт для получателя и добавить его открытый ключ из контактов..

меню контактов scryptmail

После этого вы можете создать электронное письмо, и по умолчанию появится зеленый замок, который показывает, что электронная почта защищена PGP. Ваши ключи PGP доступны, перейдя в Меню > настройки > Ключ PGP. Здесь вы можете получить доступ к своему ключу PGP и попросить обновить его, а также скопировать ранее существующие ключи, если они у вас уже есть..

PGP ключи в письме Scrypt

Псевдонимы доступны только в том случае, если вы платите за услугу, то же самое можно сказать и о пользовательских доменах. Однако возможность обновления до этих функций удобна для всех, кому особенно нравится использовать ScryptMail. В целом мы сочли этот почтовый клиент простым в использовании, если вы достаточно разбираетесь в технологиях и не возражаете покопаться в клиенте, который сам придумает.

Служба поддержки

Любой, кто хочет получить помощь, имеет возможность прочитать раздел блога и часто задаваемых вопросов на своем веб-сайте. Однако, хотя руководства являются информативными, трудно найти какие-либо полезные учебные пособия по настройке шифрования PGP или отправке писем, зашифрованных PGP, например. Кроме того, контент страдает от того, что не был написан носителем английского языка.

Мы получили поддержку по электронной почте для получения информации об этом и некоторых других вещах. Однако мы не получили никакого билета, чтобы сообщить нам, что электронное письмо было получено. Более того, ответа не последовало (мы ждали три дня на момент написания).

По этой причине всем, кто является новичком в использовании защищенных почтовых клиентов, рекомендуется поискать в другом месте, если им понадобится какая-либо помощь в настройке или использовании службы. Похоже, что SyncMail полностью беспилотный.

ScryptMail Заключение

В целом мы посчитали эту учетную запись электронной почты довольно простой в использовании, особенно для тех, кто имеет опыт использования PGP и провайдеров зашифрованной электронной почты. Отсутствие IMAP и POP определенно является недостатком, который оттолкнет многих потребителей, а невозможность импортировать контакты через CSV крайне раздражает.

Эта учетная запись электронной почты, вероятно, будет бесплатной, если она не предназначена для устаревшей канарейки с ордером и из-за опасений, связанных с тем фактом, что ее разработчик, похоже, отказался от нее. Отчет о прозрачности и политика конфиденциальности также вызывают озабоченность, как и его база в США (которая, как мы опасаемся, была скомпрометирована властями).

В целом, мы не чувствуем себя комфортно, рекомендуя эту услугу из-за проблем с конфиденциальностью, и по этой причине мы обычно рекомендуем искать в другом месте..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me