• hjem
  •  > 
  • Spill
  •  > 
  • Sikker e-post med et webgrensesnitt. Hovedtrekkene til ProtonMail

Sikker e-post med et webgrensesnitt. Hovedtrekkene til ProtonMail

Utviklerne er Cern-ansatte. Og i denne artikkelen vil vi se på et annet prosjekt til dette teamet.

I dag vil du lære alt om beskyttet ProtonMail. Du vil finne ut hvordan det skiller seg fra andre e-posttjenester og hvilke sikkerhetsteknologier det bruker, hvor anonymt det er, hvordan du registrerer deg og hvordan du bruker ProtonMail og mye mer du bør vite om det. Vel, la oss gå!

Sikker post ProtonMail

  • Forord
  • Muligheter
  • Registrering
  • Bruk
  • ProtonMail til Tor
  • ProtonMail virus
  • Protonpost i TV-serien Mr.Robot
  • Intervju med en av skaperne
  • Konklusjon, evaluering og anmeldelser av ProtonMail

Prosjektet har pågått siden 2013. Fra 2013 til 2014 var det i teststadiet. Skaperne av tjenesten er CERN-ansatte (European Organization for Nuclear Research) Andy Yen, Jason Stockman og Wei Sun (det er tydelig hvorfor det heter Proton Mail). Kontorer og servere er lokalisert i Sveits i Genève.

ProtonMail-post skiller seg fra andre e-posttjenester i evnen til å kryptere meldinger før de sendes til serveren. Hele krypterings-/dekrypteringsprosessen foregår direkte i nettleseren, og kun krypterte data lagres på tjenesteserveren. Ifølge forfatterne av tjenesten vil de selv i retten ikke kunne dekryptere brukermeldinger.

Som standard bruker tjenesten ett passord for tilgang, men det er mulig å bruke to passord, noe som forbedrer e-postsikkerheten. Proton Mail bruker en kombinasjon av to krypteringsløsninger: offentlig nøkkelkryptering (RSA) og symmetrisk kryptering(AES).

  • Den første er for brukeridentifikasjon (passord).
  • Den andre er for å dekryptere dataene som er lagret på serveren (postbokspassord).

Brukerens første passord lagres på ProtonMail-servere (brukeren kan endre det når som helst), mens det andre passordet kun er kjent for brukeren selv, dette er grunnen til at tjenesten ikke gir mulighet til å endre eller gjenopprette dette passordet .

I tillegg gir Proton mail muligheten til å angi en utløpsdato for lagringsperioden for brev, hvoretter meldingene vil bli gjenstand for selvdestruksjon.

Det er både gratis og flere betalte versjoner med et større spekter av funksjonalitet, men med samme beskyttelsesnivå. Jeg vil merke meg at betaling ikke påvirker beskyttelsesnivået på noen måte, men bare legger til tilleggsfunksjoner.

For brukere gratis versjon ProtonMail har ikke tofaktorautentisering.

dette øyeblikket grensesnitt postvesen oversatt til: engelsk (hoved), fransk, italiensk, polsk. Dessverre er det ikke noe russisk språk ennå.

Oppdatert 07.08.2017. Lagt til russisk språk (takk til abonnenten Andrey Eremeev for informasjonen).

Kryptering i ProtonMail

Brev mellom brukere av Proton-posttjenesten krypteres automatisk. En ProtonMail-e-postmelding sendt til en adressat ved hjelp av tjenesten til andre leverandører kan krypteres etter klientens skjønn eller sendes ukryptert.

Transport Layer Security (TLS)-protokollen brukes for å sikre sikkerhet og kryptering av all kommunikasjon mellom ProtonMail og brukere av andre tjenester.


Kryptering bruker AES-256-algoritmen med et passord som må være kjent for både mottaker og avsender. I e-post, mottatt av adressaten, er det en lenke som leder til ProtonMail-serveren. Etter å ha klikket på lenken, skriver mottakeren inn et passord, som lar dem lese eller svare på meldingen.

Hovedtrekkene til ProtonMail:

  • Funksjonaliteten er laget i JavaScript. Åpne API Nei.
  • Tjenesten fungerer vellykket med det kyrilliske alfabetet.
  • Tjenesten inkluderer muligheten til å opprette ditt eget domene (kun for betalte kontoer)
  • Investeringer i e-post er kryptert sammen med teksten i brevet.
  • Klientapplikasjoner for mobile enheter: Android og iOS.

Faktisk er det ikke noe vanskelig med å registrere Proton-post; du trenger ikke engang å dvele ved det. Men fortsatt for de som ikke vet engelske språk, skal jeg fortelle deg raskt.

ProtonMail virus

I noen tilfeller bruker løsepengevareforfattere Proton-e-post for å kommunisere med offeret. Ganske ofte kommer du over adressen. Dette faktum har ingenting med utviklerne å gjøre.

Konklusjon

Dette er en av få fortsatt gratis sikre e-posttjenester. Sikkerhetsmessig er det bedre enn de fleste e-posttjenester, men med tanke på anonymitet er ikke alt så rosenrødt. Bruker JavaScript reduserer all anonymitet til null. Som ikke bare kan avanonymisere, men i noen tilfeller føre til andre scenarier.


Et annet poeng jeg ikke likte var bekreftelse på registrering ved hjelp av en telefon eller annen e-post. Selvfølgelig er det ingen som tvinger deg til å bruke din ekte e-post for å bekrefte eller vise din ekte nummer, kan du bruke eller, enda bedre, noen venstre postkasse på noen VFEmail for eksempel.

Hva er bedre ProtonMail eller GPG/PGP?

Jeg ville brukt den på den gamle måten.

Er ProtonMail verdt å bruke?

Hvis du ikke kan eller ikke vil konfigurere PGP-kryptering selv, er det greit. Protonpost er på mange måter mer pålitelig enn vanlige posttjenester.

I hvilke tilfeller bør du ikke bruke Proton-post?

Jeg ville nok ikke anbefalt det denne tjenesten utelukkende for de som post er hovedverktøyet for, og som ikke trenger et spesielt nivå av postbeskyttelse. Fordi gratis konto du vil helt klart savne det, og prisene er det betalte tjenester etter våre standarder er de ikke i det hele tatt demokratiske.

Ulemper med ProtonMail

  • Det er ikke noe russisk språk.
  • Bruker JavaScript.
  • Ingen åpen API.
  • Støtter ikke tilgang via IMAP og POP (sikkerhetsmessig er dette et pluss).
  • Kan ikke eksportere PGP-nøkler.
  • Ikke den beste organiseringen av brev (Gmail er mer praktisk).
  • Nei (Gmail har det).

Fordeler med ProtonMail

  • Sikker post.
  • Gratis sikker post.
  • Åpen kilde.
  • Sende passordbeskyttede meldinger.
  • Tjenesten støtter arbeid med det kyrilliske alfabetet.
  • Opprett ditt eget domene (kun betalt versjon).
  • E-postklienter for Android og iOS.

Og endelig. Mine venner. Personvern på nett er din rett. Jeg forstår ikke hvorfor vanlige folk De anser det ikke som skammelig å låse hus og leiligheter. Og dette faktum vekker ikke mistenksomhet blant myndighetene: "hvis den er låst, betyr det at noe ulovlig foregår på innsiden." Men på nettet er det en forferdelig synd, "hvis du er låst, betyr det at du er en galning, en terrorist og en skurk."

Du kan finne alt annet materiale om temaet anonymitet og nettsikkerhet selv ved å bruke nettstedsøkeskjemaet. Det var alt for i dag. Jeg ønsker deg sikkerhet både online og offline. Lykke til, venner!

Intervju med Proton mail utvikler (engelsk). Slå på russiske undertekster!

Evaluering av anonym post ProtonMail

Vår vurdering

ProtonMail - sikker post. På noen måter er det bedre enn vanlig, men på noen måter er det verre. Generelt ser gutta fra Cern ganske overbevisende ut når det kommer til sikkerhet.

Bruker vurdering: 4,04 (25 vurderinger)

Som du sikkert vet, er de store e-postleverandørene mer pålitelige. E-posten din kan sees av for eksempel Google-ansatte eller offentlige tjenestemenn, og hvis det er en lokal tjeneste, kan du være trygg på at en av dine landsmenn vil se den. Hver dag. Bare for moro skyld.

Kontekstuell annonsering, som Google har satt opp lenge uten et stikk av samvittighet, og som Yandex nylig har begynt å sette opp, er også ganske irriterende. Spesielt når du går inn i boksen etter en måned eller to med fravær og ser alt dette. Etter å ha sett på "tilbudene anbefalt til meg" (på hvilket grunnlag ble de anbefalt og hvorfor spesifikt til meg?), tok jeg en avgjørelse som jeg ikke har angret på på 3 måneder nå.

Takk til den flotte Snowden for rettidig informasjon, farvel mylaru og yand, jeg skal til Proton!

Jeg kaller posten det kan ikke skannes- "E-post 2.0". Og uten å nøle prøver jeg å infisere deg med ønsket om sikkerhet og konfidensialitet. – det er mildt sagt!

Sikkerhet? Paranoid sikkerhet!!!

La oss ta en titt på hva du vil bli møtt med hvis du følger rådene og vil ha en Proton-boks. Du må komme opp med og huske 2 passord: det første passordet vil bli oppgitt for autorisasjon på siden, men vil IKKE gi tilgang til postkassen din. For å se postkassen trenger du et ekstra passord, som også tjener til å dekryptere bokstaver. Krypteringsoperasjonen utføres på klientsiden, og allerede krypterte data sendes til serveren, noe som eliminerer MITM-angrepet. Det er ingen nøkler til postkassen din på serverne, så selv om folk med skulderstropper kommer på besøk, vil tjenesteansatte kun kunne gi ut krypterte data.

Arkitekturen er slik takket være bruken åpen kilde front-end kryptering, som betyr datakryptering på brukersiden. Du kan bli kjent med OpenPGPjs-bibliotekene som brukes av tjenesten på denne Github-siden.

I ende-til-ende-kryptering endepunkter Dette: avsender og tiltenkt enhet mottaker. Meldingen krypteres lokalt på avsenderens enhet og kan da kun dekrypteres på mottakerens enhet. "Ende-til-ende-kryptering" kalles vanligvis "klientside-kryptering" eller "nulltoleranse", på grunn av det faktum at meldingen behandles ved hjelp av sluttenheter til brukere i stedet for sentraliserte servere. For ende-til-ende-kryptering brukes 2 algoritmer: symmetrisk Og asymmetrisk.

Jeg lærte om e-posttjenesten Proton fra en gammel artikkel på nettstedet. Etter å ha tenkt seg om hemmelige agenter, etter å ha gledet seg" kontekstuell annonsering", skremt over de langt fra isolerte tilfellene av arrestasjoner av amerikanske borgere (om enn ikke de mest eksemplariske menneskene), bestemte jeg meg: verken ukrainske systemadministratorer, eller russiske hackere, eller Barack O og Vladimir P ... ikke engang Hennes Majestet Elizabeth 2.0 ... vil ikke lenger kunne lese min personlig korrespondanse… Aldri. Ingen steder. Aldri. Paranoia. Paranoia!!!111…

Blant de mange "godbitene" som e-post tiltrekker brukere med, er det verdt å fremheve:

  • Gratis (og ingen SMS)
  • Frihet fra EU-lovgivning som forplikter frigjøring av brukerinformasjon (Sveits er ikke en del av EU)
  • Frihet fra lignende amerikansk lovgivning
  • Frihet fra myndighetene i Sveits selv - lokale lover beskytter immunitet servere og uten en spesiell "pine in the ass" har en eller annen regjeringsbastard ingen rett til og med se på dem.
  • Alle servere er lokalisert i Sveits, prosessen med å forbedre teknologien er hele tiden i gang: legge til minne, funksjoner
  • Når du logger inn, må du skrive inn 2 passord (det andre passordet aktiveres automatisk hvis du lukker en fane eller setter den bærbare datamaskinen i hvilemodus)
  • Full kontroll over private nøkler er under utvikling
  • Kryptering av e-poster - e-poster mellom Proton-brukere er kryptert som standard, og når de sendes til tredjeparts e-posttjenester, kan de passordbeskyttes. Da mottar ikke mottakeren selve brevet, men en lenke til Proton-nettstedet, hvor han kan skrive inn et passord (du oppgir passordet ved en annen kommunikasjonsmetode) og få tilgang til innholdet, inkludert vedlegg.
  • Hvis du har mistet passordet til postkassen, er det ikke lenger mulig å gjenopprette det. Det er mulig å tilbakestille passordet ditt, men da vil du miste e-postene dine for alltid. Ikke glem passordene dine!

Registrering i ProtonMail

Først, la oss be om en "invitasjon" for oss selv ved å klikke på "Registrer deg" på hovedsiden til tjenesten.

Vi velger hva slags e-post vi vil ha, går deretter inn i vår nåværende postkasse og "Be om invitasjon". Så snart du er invitert (innen en måned), vil du kunne gå til kontoret ditt.

Nå må du skrive inn passordet til postkassen:

Hvordan ser posten ut fra innsiden?

Venstre Meny, ovenfor Søk, din epost, knapper " Rapporter en feil», « Innstillinger", og" Gå ut" For å komme i gang kan du klikke på " Innstillinger» og se hva som er der.

Det er mulig å endre påloggingspassordet, passordet på postkassen, Alias ​​​​- dvs. Alias ​​​​(nederst til høyre), signatur osv. Det er ingen nøkkelhåndtering ennå, men det er planlagt i nær fremtid.

Det er ingen innebygde temaer, det er mulig å sette inn tredjepartskode CSS-temaer på eget ansvar. Bruk av kryptert post innebærer å forlate noen ringeklokker til fordel for sikkerhet.

Nå som vi har gravd i innstillingene, kan vi grave i postkassen. Alt her er standard, men det har sine fordeler. For det første alt som egentlig er nødvendig for full kommunikasjon og arbeid, oppført i menyen til venstre. Det er en knapp der Skriv", Og innboks, Og kontaktliste, Og kurv, og antallet av ikke alle innkommende bokstaver vises, men bare uleste:

Det er ikke klart hvorfor så mangfoldig sortering er nødvendig, men den er tilgjengelig:

Du kan også markere nødvendige bokstaver fargede merker.

Og her er hvordan kontaktlisten ser ut (uten grønt):

Generelt, som en person som har prøvd nesten alle populære e-posttjenester, kan jeg konkludere: å jobbe med denne e-posten er det mest praktiske (spesielt for elskere av minimalisme), og viktigst av alt, det er tryggere.

Hvorfor er det viktig?

Dette er viktig for alle, ikke bare brukere av kryptovaluta, hackere eller avanserte programmerere. Vær oppmerksom på at det er umulig å kjøpe eller selge Bitcoin i dag uten å bruke post, og hva kan vi si om den totale "tilkoblingen" til e-post for alle Internett-tjenester generelt, inkludert butikker, banker, mobiloperatører og så videre.

I tillegg kan regjeringsbeslutninger fattet i dag ikke annet enn å alarmere paranoid sinn. Tilgi meg, jeg kan bare ikke tro at hver person i landet er en potensiell terrorist, en narkotikaforhandler eller en fan av barnepornografi...

Fra firmabloggen:

«Vi vil gjerne avslutte med noen tanker om personvern og overvåking generelt. Noen hevder at hvis du IKKE er kriminell, så er det ikke behov for privatliv. Til disse kritikerne stiller vi ganske enkelt spørsmålet: Betyr dette at bare kriminelle har gardiner på vinduene?

Hvorfor har du ikke brukt dette før?

Selv om teknologien har eksistert i flere tiår, har ende-til-ende-kryptering ikke vært utbredt av flere grunner. For det første er støtte for kryptering mot interessene til sentraliserte tjenesteleverandører som drar nytte av reklame og invasjon av brukernes personvern. For det andre har ende-til-ende-kryptering tradisjonelt vært vanskelig å bruke, selv for teknologikyndige mennesker. Behovet for å utveksle private og offentlige nøkler i e-posttjenesten bremset utviklingen. Betydningen av ende-til-ende-kryptering vil imidlertid bare øke etter hvert som statlige overvåkingsteknologier utvikler seg.

Å, "terrorister", mener jeg.

Det er imidlertid verdt å huske at ukrypterte eller ikke-passordbeskyttede e-poster du sender til andre e-posttjenester kan bli fanget opp! Paranoid trygt Internett til deg!

Via e-post deler vi personlige hemmeligheter, driver forretningsforhandlinger og gjør mange andre ting. Men de fleste e-poster sendes i ren tekst og lagres i et format som er lett å lese. Krypterte tjenester har mer høy level personvern. Brevene dine blir kryptert både under overføring og på serveren, og ingen bortsett fra deg og mottakeren(e) vil kunne lese dem.

Hvilken post er best og tryggest?

Det er krypterte utsendelser forskjellige typer. Noen fungerer helt i nettleseren, andre er en skrivebordsapplikasjon, og andre kobler seg til eksisterende e-post og skaper et ekstra sikkerhetsnivå i den. La oss finne ut hva E-post det tryggeste.

Hushmail er en av de mest kjente krypterte e-posttjenestene. Her lagres posten din i kryptert form og dekrypteres først når du logger inn med passordet ditt. Mellom kontoer i Hushmail dekrypteres e-post og krypteres automatisk. Når du sender et brev til en annen avsender, kan du bruke Hemmelig spørsmål, som mottakeren må svare på for å dekryptere meldingen.

Ved å trykke på lenken skal mottakeren svare på spørsmålet, og dersom svaret er riktig åpnes brevet.

Men det er verdt å merke seg en detalj. I 2007 ga Hushmail ut korrespondanse fra tre e-postkontoer Etter nemndas avgjørelse. Hvordan gjorde han dette hvis all post er kryptert? Faktum er at systemet fanger opp brukerpassord. I et åpenhjertig intervju med Wired Teknisk sjef Hushmail Brian Smith sa: "Hushmail hjelper deg med å unngå vanlig statlig overvåking som Carnivore og beskytter mot hackere, men det er ikke egnet for å beskytte data hvis du er engasjert i kriminell aktivitet og har en arrestordre mot deg fra en kanadisk domstol." Så det kan definitivt ikke betraktes som den sikreste e-posten.

Noen bruker ikke Hushmail nettopp på grunn av dette, men vi legger merke til at enhver annen tjeneste kan, under press fra utsiden, en dag endre systemet for å fange opp krypteringsnøkkelen din. Den eneste løsningen i i dette tilfellet– Enigmail eller lignende program på gjør-det-selv-nivå. Men selv med slike programmer kan myndigheter i de fleste land fortsatt tvinge deg til å gi fra deg krypteringsnøkkelen.

VaultletMail, en del av VaultletSuite, er et skrivebordsprogram i stedet for et nettleserbasert. Hvis to brukere bruker VaultletMail, er meldinger mellom dem alltid fullstendig kryptert. Hvis du ønsker å sende et brev til en annen posttjeneste, kan du bruke SpecialDelivery-systemet.

Med SpecialDelivery kan du lage en sikker passordfrase, som mottakeren din vil dekryptere alle meldinger mottatt fra deg via VaultletMail.

Hvilke tilleggsfunksjoner har VaultletMail?

VaultletMail har mange funksjoner. Det beskytter mottakeren mot å videresende, kopiere, skrive ut og sitere brev. Du kan angi tiden etter at meldingen din skal selvdestrueres i mottakerens VaultletMail. Du kan til og med sende e-post med anonyme adresser, og dermed tillate dem ikke å gjenkjenne sendingen.

Enigmail er gratis utvidelse Til Mozilla Thunderbird. Det finnes lignende plugins for andre populære e-postprogrammer. For å jobbe med Enigmail, må du installere riktig utvidelse i Thunderbird og GNU Privacy Guard-programmet i operativsystemet.

Etter å ha installert Enigmail i Thunderbird, vil en ny OpenPGP-meny vises med en oppsettveiviser. Denne veiviseren vil lede deg gjennom oppsettsprosessen, inkludert å opprette eller importere en offentlig og privat nøkkel.

Som standard er meldinger kun signert digital signatur, takket være at mottakeren vil kunne fastslå at brevet kom fra deg. For å aktivere kryptering, må du velge alternativet "Krypter denne meldingen" i S/MIME-delen av brevskrivingsvinduet.

Hva er ulempene med denne e-postutvidelsen?

For å korrespondere med andre mennesker, må du bytte nøkler med dem, så oppsettsprosedyren er noe komplisert. Dessverre skjer dette alltid når man jobber med kryptert post. Men det er én fordel: Enigmail kan brukes i kombinasjon med andre e-posttjenester, for eksempel Gmail. Skape ny konto det er ikke nødvendig. Ved å bruke FireGPG, en populær utvidelse for Firefox, kan dette gjøres direkte i nettleseren, men denne utvidelsen støttes ikke lenger og er ikke lenger kompatibel med Gmail.

Vil Yandex og Gmail hjelpe med å svare på spørsmålet om hvilken e-post som er den sikreste?

Hvor mye standard tjenester Er e-poster sikre? Mange stiller dette spørsmålet, så la oss svare på det ved å begynne kort anmeldelse fra russetjenesten.

Over tid har det russiske postvesenet skaffet seg tilstrekkelig vanlig bruker våre sikkerhetstjenester. Yandex identifiserer for eksempel phishing-e-poster på farten, lar deg sette opp tofaktorautentisering og kan også aktivere spesielle passord for tredjepartsapplikasjoner.


Det finnes naturligvis også en besøkslogg, muligheten til å sette hvite IP-adresser for innlogging og mye mer. Men Yandex vet ikke hvordan man krypterer korrespondanse, noe som betyr at det ikke vil være mulig å kalle e-posten den sikreste.

Beskyttelsesmulighetene til den amerikanske posttjenesten er selvfølgelig bredere enn den russiske. Det hele starter med to-trinns (ikke to-faktor) autentisering, og legger til tillatte programmer (ikke bare IP-adresser) for å få tilgang, og fleksibelt oppsett tilgangsmoduser for nettsteder og applikasjoner.


Gmail har imidlertid ikke phishing-varsler og har, som Yandex, ikke muligheten til å kryptere korrespondanse.

Konklusjon

Det er et annet alternativ for å lage din egen sikker post på Internett: ved hjelp av spesielle krypteringsprogrammer trenger du bare å kryptere meldinger og sende dem med vanlig post som vedlegg, som mottakeren deretter må dekryptere.

Selvfølgelig bidrar kryptering til å beskytte personvernet ditt, men det er ikke en universell løsning på myndighetsinngrep og vil ikke gi deg den sikreste e-posten på Internett. Verken Hushmail eller innfødt kryptering i Enigmail. Ofte oppnås koder og passord ikke ved å hacke, men ved å slå dem ut av eieren på en eller annen måte. Og kryptering i dette tilfellet, dessverre, er maktesløs.



  2. Skjult gruvedrift: hvordan beregne uautorisert bruk datamaskin?"

  3. Ransomware-virus: hvordan beskytter du datamaskinen din?

Tjenesten bruker asymmetrisk kryptering(offentlig nøkkelkrypteringssystem) implementert på brukerens nettleserside i JavaScript.

Det er en på Wikipedia, men den er dessverre ganske vanskelig å lese for den gjennomsnittlige brukeren uten spesiell teknisk kunnskap.

Sikkerhet

Om sikkerheten til slike løsninger på brukerens side, når programkode utstedt av tjenesten med hver forespørsel; du kan finne mange diskusjoner og artikler på Internett. For eksempel en artikkel på engelsk http://matasano.com/articles/javascript-cryptography/ fra Matasano security.

En kort oppsummering av alle diskusjoner og tilgjengelig materiale er at tjenesten når som helst kan gi ut modifisert programkode (for eksempel på forespørsel fra rettshåndhevende byråer), som vil sende dem brukerens e-postpassord.

ProtonMail-teamet understreker at de er lokalisert i Sveits, hvor jeg, som de skriver, ikke lovlig kan forplikte dem til å installere en bakdør. Full tekst deres forklaringer er tilgjengelige på https://protonmail.ch/blog/switzerland/. Men dette er "i teorien", og "i praksis" er det ingen allment kjente offentlige presedenser ennå.

I alle fall er muligheten til å endre programkoden når som helst fra tjenestens side en svært alvorlig ulempe, siden disse endringene kan være rettet mot spesifikke brukere. I tilfellet hvor kryptografi er implementert i programvareprodukt eller generelt på nivået operativsystem, da er slike oppdateringer rettet mot spesifikke brukere mye mindre sannsynlige og mye vanskeligere å implementere. Selv om det, som du vet, ikke er 100 % sikre løsninger, men vi må tilstrebe høyest mulig sikkerhetsnivå som kreves i en gitt situasjon.

Utførbar Javascript-kode på nettlesersiden kan være utsatt for XSS-angrep. Når det gjelder ProtonMail, som all annen webmail, kan du sende et spesiallaget brev som omgår den innebygde beskyttelsen mot XSS-angrep og utfører ondsinnet kode som skal ha tilgang til e-postpassord bruker eller vil ganske enkelt avskjære det dekrypterte innholdet i meldinger.

ProtonMail er avhengig av js-xss-biblioteket for å beskytte mot XSS-angrep. Men i tillegg til å filtrere innholdet i brevet, finnes det også serviceposthoder, som på lignende måte kan utformes på en spesiell måte ved sending av brev fra tredjepartstjenester ProtonMail-bruker. Alle ProtonMail-kontoer har muligheten til å motta e-post fra tredjepartstjenester og kan ikke deaktiveres i kontoinnstillingene.

I begynnelsen av juni ble det funnet en sårbarhet i ProtonMail-tjenesten som tillater utførelse av vilkårlig JavaScript-kode på datamaskinen til en intetanende bruker og få full tilgang til postkassen hans.

Denne sårbarheten ble oppdaget av Mike Cardwell og rapportert til ProtonMail-teamet. Etter å ha fikset sikkerhetsproblemet publiserte han informasjon om det på ycombinator.com. ProtonMail plasserte navnet hans i takkelisten på nettstedet - https://protonmail.ch/blog/protonmail-security-contributors/, som bekrefter dette faktum.

dette problemet ProtonMails sikkerhet er allerede fikset, men hvor mange flere slike muligheter er det for hackere å implementere nettlesersidekryptering i JavaScript?

Lignende prosjekter

Mailpile er et åpen kildekode-prosjekt som utvikler seg aktivt, er en nettpostklient (ligner på ProtonMail som kjører i en nettleser i JavaScript), som skal gjøre tilgjengelig bruk kryptografi for brukere uten spesielle tekniske ferdigheter.

Separat bør det bemerkes unik mulighet av dette prosjektet- støtte for fullstendig søk av krypterte meldinger. På https://www.mailpile.is/faq/ skriver de at det opprettes en indeks, og innholdet i indeksen lagres i form av hashes.

Det er ikke spesifisert om dette er vanlige MD5/SHA-hasher eller MAC-hasher. Når det gjelder vanlige hasher denne avgjørelsen søk kan være ekstremt utrygt på grunn av muligheten til å bestemme hvilken nøkkelord funnet i chifferteksten ved å telle ordhasj ved hjelp av ordboken. Sikkerhet er svært avhengig av implementeringen av denne metoden.

Lavaboom er en sikker nettposttjeneste som ligner på ProtonMail. Kryptografi er implementert i JavaScript, koden kjøres i en nettleser.

Scramble er åpen kildekode, implementert på grunnlag av OpenPGPjs (ligner på ProtonMail), men det er et relativt ungt prosjekt og utvikler seg ikke så raskt. Jeg inkluderte det i denne listen for å gi et mer fullstendig bilde av de tilgjengelige tjenestene på markedet.

OpenMailBox - kryptering er implementert ved hjelp av OpenPGP-plugin for Roundcube-nettpostklientprosjektet. Privat nøkkel vil bli lagret i nettleserens lokale lagring.

Unseen - bruker sin egen implementering, det er en utvekslingstjeneste tekstmeldinger og taleanrop. Kunder tilgjengelig for mobile plattformer og stasjonære datamaskiner.

Unseen brukes også av Roundcube med OpenPGP-plugin.
Når det gjelder stasjonære klienter, så jeg på versjonen for Ubuntu og Mac. Dette er native wrapper-applikasjoner med et "nettsted" innebygd.

Hva å gjøre?

Bruk egen søknad for arbeid med post (e-postklient), bruk av velkjente kryptografiimplementeringer og et nummer spesielle restriksjoner av sikkerhetsmessige årsaker (for eksempel å ikke kunne motta e-post fra tredjeparts ressurser for å minimere antall mulige angrep) er den beste løsningen.

Hvem kan implementere bruk av kryptografi med offentlige nøkler i en tilgjengelig (enkel) form for vanlige brukere som bruker kjente e-postklienter (Apple Mail, Microsoft Outlook, innebygd i mobilt OS e-postklienter og andre), vil han vinne brukernes kjærlighet og vil selvfølgelig bli mest vellykket tjeneste! Legg til merkelapper

Denne uken fullførte vi testing av den nye sikre postapplikasjon ProtonMail og nå den endelige versjonen er tilgjengelig for brukere. Takket være ende-til-ende-kryptering vil verken angripere, etterretningsbyråer eller tjenesteutviklerne selv kunne få tilgang til innholdet i sendte meldinger.

ProtonMail-post er utstyrt ende-til-ende kryptering, det vil si at langs hele veien fra avsender til mottaker, er meldingen kryptert. Verken Proton Technologies eller myndighetene kan dekode dem hvis de ønsker det, siden bare brukerne har krypteringsnøklene. For kryptering bruker selskapet åpne teknologier AES, RSA og OpenPGP.

I tillegg er ProtonMails servere plassert utenfor jurisdiksjonen til USA og EU, som har fått et dårlig rykte for personvern de siste årene. De holder til i Sveits, som har strengere lover på dette området.

Som medgründer Andy Jena sa, er sterk kryptering og personvern av stor økonomisk og sosial betydning. " Denne teknologien beskytter ikke bare dissidenter og aktivister, men er det også nøkkelfaktor i å sikre sikkerheten til verdens digitale infrastruktur», er Ian selvsikker.


ProtonMail ble grunnlagt i 2014 etter at verden ble sjokkert over Edward Snowdens avsløringer. Da det ble kjent om amerikanske og andre etterretningstjenesters totale overvåking av vanlige borgere, oppsto behovet for å skape sikre kommunikasjonsmidler som ville tillate utveksling av informasjon uten frykt for avlytting.

Å registrere seg hos ProtonMail er gratis og prosessen tar ikke mer enn to minutter. Hvis brukeren ikke har nok grunnleggende 500 MB lagringsplass, kan han søke om betalt abonnement. I tillegg Kredittkort og PayPal, tjenesten støtter betalinger i bitcoins.

Ifølge Ian har selskapets manglende tilgang til kundekommunikasjon veldig viktig, som bevist av den nåværende situasjonen med Apple og FBI. "Dessverre vil Apple sannsynligvis tape i retten fordi FBI valgte saken svært nøye. Men Apple er ikke Lavabit, og ved å la verdens største teknologiselskap stå på siden av personvernet, har hele personvernrettighetsbevegelsen fått en mektig alliert,” sa Yen.

ProtonMail er kompatibel med andre e-posttjenester. Meldinger mellom applikasjonsbrukere sendes kryptert som standard. Hvis eieren av en ProtonMail-postkasse ønsker å sende en kryptert melding til en bruker av en annen posttjeneste, må han bruke forhåndskrypteringsfunksjonen og angi et passord. Mottakeren vil motta en lenke til en kryptert melding som ligger på ProtonMail-serveren.

Du kan laste ned ProtonMail gratis, mobil klient tilgjengelig for alle enheter med iOS 8.0 og nyere.