ScryptMail gjennomgang

ScryptMail

ScryptMail går ut av drift. 31. januar 2020 blir e-posttjenesten lagt ned, og de sletter alle databaser 31. mars 2020.

Den gode nyheten er at det er mange alternativer til ScryptMail. Vennligst se den beste sikre artikkelen for e-posttjenester for en liste over alternativer.

ScryptMail er en e-postleverandør som ble utviklet av Sergei Krutov, en konsulent for databeskyttelse med base i Spokane, Washington. Firmaet hevder å gi sterk e-postsikkerhet som inkluderer kryptering i ro og krypterte metadata (et krav vi vil stille spørsmål ved senere). Denne lille uavhengige tjenesten høres interessant ut, så vi trodde vi ville sette den gjennom tempoene.

ProPrivacy.com Score
5 av 10

Sammendrag

Å være basert i USA er en bekymring fordi USA er hjemsted for NSA, CIA, gag orders og warrants. En amerikansk base er alltid en god grunn til å holde seg borte fra enhver tjeneste som hevder å gi personvern, fordi det er vanskelig å bekrefte at de virkelig gir personvernet og sikkerheten de hevder (og selv om de har tenkt å - kan de bli tvunget til å starte når som helst snupper til brukerne i det skjulte).

Selv om koden for tjenesten er plassert på Github, mangler den i tillegg dokumentasjon og inkluderer ingen lisensfil. Dermed er det ikke sannelig full åpen kildekode. Til tross for dette er det bedre å sette koden på Github enn å holde den gjemt borte under lås og nøkkel. På den annen side ser det ikke ut til å ha gjennomgått noen tredjepartsrevisjoner.

På overflaten ser det ut til at e-postleverandøren for ScryptMail har mange sterke funksjoner. I vår scryptmail-gjennomgang tar vi en detaljert titt på noen av påstandene sine - for å se om det er verdt å bruke tid og penger.

Hvor mye koster ScryptMail?

ScryptMail er en billig e-posttjeneste, som kan brukes gratis. Gratis får brukere tilgang til 300 Mb lagring av e-post. Brukere kan velge å "fylle opp" kontoen sin med saldo med enten PayPal eller Bitcoin.

Når penger er lagt til balansen på kontoen sin, kan brukeren velge individuelle oppgraderinger som tilpassede domener, aliaser, sterkere PGP-nøkkelkryptering og forskjellige andre funksjoner.

Disse blir belastet individuelt og er rimelig. Men med tanke på at det er mulig å få fullverdige sikre e-postleverandører for bare 1 euro per måned (for eksempel Tutanota eller Posteo) som betaler for denne tjenesten kommer til å ordne deg en dyre touch hvis du begynner å boltre deg på en rekke funksjoner.

ScryptMail-funksjoner

  • Gratis e-postkonto tilgjengelig
  • Bakt i PGP-kryptering
  • PIN-kryptert e-post
  • Kryptering i ro
  • Spam-mappe
  • Kontakt
  • Aliaser (kun betalt)
  • Tilpassede domener (kun betalt)
  • To-faktor autentisering
  • E-postfiltrering
  • Svartelistefunksjon

Personvern

Å være basert i USA anses alltid som et problem når det gjelder personvern. USA-baserte firmaer kan få servert warrants og ordre om gag som tvinger dem til å begynne å snuse på sine brukere på regjeringens vegne. Hvis firmaet bryter en knebleordre (som tvinger det til å holde den overvåkningen hemmelig), kan ansatte ved firmaet bli tiltalt og møte fengsel.

Et speil av ScryptMails webmailtjeneste er tilgjengelig på dype nettet via Tor; noe som er flott for folk som ønsker å registrere seg og få tilgang til e-postene deres anonymt. For folk som ikke er klare til å hoppe inn på internett, er en webmail-klient, som de som er levert av mange andre e-postklienter, tilgjengelig i nettleseren din via internett..

Personvernreglene avslører at firmaet lagrer noen tilkoblingslogger: Siste påloggingstid, IP-adresse, brukeragent og API-samtale. Men forvirrende leser imidlertid policyen: "Vi har ingen muligheter til å matche en IP til en spesifikk brukerkonto." Disse ser ut til å være en direkte motsetning.

I tillegg til dette problemet har ScryptMail en garanti-rapport om kanari og åpenhet som ikke har blitt oppdatert på noen tid. En utdatert Warrant Canary - som har sittet urørt siden 2016 - ser ut til å avsløre at selskapet har fått servert en arrestordre. Dette alene er nok grunn til å holde seg unna tjenesten. Innsynsrapporten lyder:

  • Vi hadde 8 forespørsler fra rettshåndhevelsesbyråer om å få tilgang til loggfilen for den bestemte tiden for bestemte brukere
  • 8 forespørsler om tilgangstid og IP ble innvilget

Den gode nyheten (hvis du kan kalle det det) er at gjennomsiktighetsrapporten viser at firmaet faktisk samler tilkoblingslogger inkludert bruker-IP-adresser. Vi har dermed ikke noe annet valg enn å tvinge forbrukerne fra å bruke denne VPN-en alvorlig.

Sikkerhet

All kommunikasjon med ScryptMails servere skjer via TLS / SSL (HTTPS), og firmaet sier at det implementerer HSTS for å avbøte mot Man i Midt-angrep, samt sertifikatinnspinning (for å motstå etterligning av angripere). Imidlertid viser tester som kjøres av Qualys SSL Labs at firmaet bare scorer en B for styrken i SSL-implementeringen (fordi serverens sertifikatkjede er ufullstendig). Dette er en dårlig poengsum, noe som antyder at firmaet ikke implementerer HSTS.

Når det gjelder lagring, hevder firmaet at all e-postdata er kryptert i ro ved bruk av sterk AES 256-kryptering og firmaet hevder at Forward Secrecy implementeres for økt sikkerhet. Alt i alt betyr dette at firmaet ser ut til å håndtere e-post på en sikker måte. Imidlertid er det noen advarsler...

ScryptMail ble kodet av en enkelt utvikler, og siden den ble utgitt i 2014 har utvikleren bare oppdatert den en gang i januar 2015. Dette ringer definitivt noen alarmklokker, og som andre har påpekt på Reddit og andre steder; det er vanskelig å tro at en tjeneste utviklet av bare én person - og som aldri blir oppdatert - faktisk er sikker mot hackere eller inntrenging fra myndighetene.

Når det gjelder firmaets påstand om at det krypterer alle metadata, er det verdt å merke seg at selv om kryptering av alle metadata mens de er i ro er mulig (slik at ScryptMail i det minste ikke får tilgang til denne informasjonen) - er det ikke mulig å skjule hvem som sendte en e-post (og når) fra andre e-postleverandører. Metadata må inkluderes i overskriften på en e-post for at den skal leveres, og disse dataene blir eksponert når e-posten sendes over nettet. Dermed kan metadata samles masse (av etterretningsbyråer eller et MitM-angrep) mens de er i transitt.

For de som foretrekker å legge til tofaktorautentisering til kontoen sin, er funksjonen tilgjengelig innen innstillinger og kan settes opp til å fungere enten med en fysisk Yubikey eller ved hjelp av Google Authenticator.

Brukervennlighet

Å starte en ScryptMail-konto er enkelt, og du trenger ikke utlevere noen personopplysninger hvis du foretrekker det. Dette er flott, fordi vi foretrekker e-postleverandører som ikke ber om et telefonnummer eller en tidligere e-postadresse for bekreftelse.

Opprett en konto

Når kontoen din er opprettet, blir du bedt om å laste ned det hemmelige symbolet for kontoen din. Det hemmelige tokenet beskrives av ScryptMail som det "ultimate verktøyet for kontoen din" fordi det kan brukes til å tilbakestille passordet eller den hemmelige frasen som brukes til å logge på. Det er imidlertid verdt å merke seg at det i tillegg til tokenet er nødvendig for å ha passord eller hemmelig setning også (så husk å ikke lagre disse sammen!)

skjerm som viser kontoen opprettet

Med tilgang til webmail gitt, bestemte vi oss for å sjekke hvor enkelt det er å importere kontakter. Dessverre kunne vi ikke finne noen måte å importere kontakter på med en CSV-fil, noe som betyr at du må legge til kontakter manuelt - en etter en.

Neste bestemte vi oss for å sende e-post med kryptering. Vi kan enkelt finne PIN-krypteringsmetoden (som krever at du deler passordet utenfor ScryptMail med avsenderen på en privat måte).

pin krypteringsmetode i scryptmail

Å sette opp webmailen for å sende PGP-krypterte e-poster er imidlertid slett ikke åpenbart. Etter hvert kunne vi konstatere at for å sende PGP-krypterte e-postmeldinger, må du opprette en kontakt for mottakeren og legge til den offentlige nøkkelen fra kontaktene.

scryptmail-kontakter-menyen

Etter det kan du opprette en e-post og en grønn hengelås vises som standard som viser at e-posten er beskyttet med PGP. PGP-tastene dine er tilgjengelige ved å navigere til Meny > innstillinger > PGP-nøkkel. Her kan du få tilgang til PGP-nøkkelen og be om å oppdatere den. Du kan også kopiere inn eksisterende nøkler hvis du allerede har dem.

PGP-nøkler i krypteringspost

Aliaser er bare tilgjengelig hvis du betaler for tjenesten, det samme gjelder tilpassede domener. Å ha muligheten til å oppgradere til disse funksjonene er imidlertid nyttig for alle som spesielt liker å bruke ScryptMail. Totalt sett fant vi dette en enkel e-postklient å bruke, så lenge du er ganske teknisk erfaren og ikke har noe imot å grave deg rundt i klienten å finne ut av deg selv.

Kundeservice

Alle som ønsker hjelp, har muligheten til å lese gjennom Blogg- og FAQ-delen på nettstedet. Selv om guidene er informative, er det vanskelig å finne noen nyttige opplæringsprogrammer om å sette opp PGP-kryptering eller sende PGP-krypterte e-poster, for eksempel. I tillegg lider innholdet av ikke å ha blitt skrevet av en innfødt engelsk.

Vi mailet støtte for litt informasjon om dette og noen få andre ting. Vi fikk imidlertid ingen billetter for å gi oss beskjed om at e-posten var mottatt. Dessuten kom det aldri noe svar (vi hadde ventet tre dager i skrivende stund).

Av denne grunn oppfordres alle som er nybegynnere til å bruke sikre e-postklienter, å søke andre steder hvis de kommer til å trenge hjelp til å sette opp eller bruke tjenesten. Det ser ut til at SyncMail er helt ubemannet.

ScryptMail Konklusjon

Totalt sett fant vi denne e-postkontoen ganske enkel å bruke, spesielt for alle som har erfaring med å bruke PGP og krypterte e-postleverandører. Mangelen på IMAP og POP er definitivt en ulempe som vil sette mange forbrukere av, og manglende evne til å importere kontakter via CSV er ekstremt irriterende.

Gratis denne e-postkontoen vil sannsynligvis anbefales hvis den ikke var for den utdaterte garantikanaren og bekymringer rundt det faktum at den ser ut til å være forlatt av utvikleren. Innsynsrapporten og personvernreglene vekker også bekymringer, og det samme gjelder basen i USA (som vi frykter er blitt kompromittert av myndighetene).

Totalt sett føler vi oss ikke komfortable med å anbefale denne tjenesten på grunn av personvernproblemer, og av denne grunn anbefaler vi generelt å lete andre steder.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me