ScryptMail anmeldelse

ScryptMail

ScryptMail går ud af drift. Den 31. januar 2020 lukkes e-mail-tjenester, og de sletter alle databaser den 31. marts 2020.

Den gode nyhed er, at der er masser af alternativer til ScryptMail. Se vores bedste sikre e-mail-artikel for en liste over alternativer.

ScryptMail er en e-mail-udbyder, der blev udviklet af Sergei Krutov, en konsulent for databeskyttelse med base i Spokane, Washington. Virksomheden hævder at give stærk e-mail-sikkerhed, der inkluderer kryptering i hvile og krypterede metadata (et krav, vi vil stille spørgsmålstegn ved senere). Denne lille uafhængige service lyder interessant, så vi troede, at vi ville sætte den igennem dens tempo.

ProPrivacy.com score
5 ud af 10

Resumé

At være baseret i USA er et problem, fordi USA er hjemsted for NSA, CIA, gag ordrer og warrants. En amerikansk base er altid en god grund til at holde sig væk fra enhver service, der hævder at give privatliv, fordi det er svært at verificere, at de virkelig leverer det privatliv og sikkerhed, de hævder (og selvom de agter at - de kunne blive tvunget til at starte snooping på brugere i hemmelighed til enhver tid).

Selvom koden for tjenesten er placeret på Github, mangler den endvidere dokumentation og inkluderer ingen licensfil. Således er det ikke sandt fuldstændig open source. På trods af dette er det bedre at sætte koden på Github end at holde den skjult væk under lås og nøgle. På den anden side ser det ikke ud til at have gennemgået nogen tredjepartsrevisioner.

På overfladen ser ScryptMail e-mailudbyder ud til at have en masse stærke funktioner. I vores scryptmail-gennemgang tager vi en detaljeret gennemgang af nogle af dens krav - for at se, om det er værd at bruge din tid og penge.

Hvor meget koster ScryptMail?

ScryptMail er en billig e-mail-tjeneste, der kan bruges gratis. Gratis får brugerne adgang til 300 Mb e-mail-opbevaring. Brugere kan vælge at "genopfylde" deres konto med saldo med enten PayPal eller Bitcoin.

Når der er tilføjet penge til saldoen på deres konto, kan brugeren vælge individuelle opgraderinger, såsom brugerdefinerede domæner, aliaser, stærkere PGP-nøglekryptering og forskellige andre funktioner.

Disse opkræves individuelt og er rimeligt prissat. Dog overvejer det, at det er muligt at få fuldt udstyrede sikre e-mail-udbydere for kun 1 Euro pr. Måned (f.eks. Tutanota eller Posteo), der betaler for denne service, kommer til at arbejde et dyre touch, hvis du begynder at boltre på adskillige funktioner.

ScryptMail-funktioner

  • Gratis e-mail-konto tilgængelig
  • Bages i PGP-kryptering
  • PIN-krypterede e-mails
  • Kryptering i hvile
  • Spam mappe
  • Kontakter
  • Aliaser (kun betalt)
  • Tilpassede domæner (kun betalt)
  • To-faktor godkendelse
  • E-mail-filtrering
  • Sortlistefunktion

Privatliv

At være baseret i USA betragtes altid som et problem, når det kommer til privatliv. USA-baserede firmaer kan få forkyndt warrants og ordreordrer, der tvinger dem til at begynde at snuppe på deres brugere på regerings vegne. Hvis firmaet bryder en gag-ordre (som tvinger det til at holde denne overvågning hemmelig), kan ansatte ved firmaet blive retsforfulgt og udsættes for fængsel.

Et spejl på ScryptMails webmailtjeneste er tilgængeligt på dybe web via Tor; hvilket er godt for folk, der ønsker at tilmelde sig og få adgang til deres e-mails anonymt. For folk, der ikke er klar til at hoppe ind på internetets underliv, er en webmail-klient, som dem, der leveres af mange andre e-mail-klienter, tilgængelig i din browser via internettet.

Fortrolighedspolitikken afslører, at firmaet gemmer nogle forbindelseslogfiler: Sidste login-tid, IP-adresse, brugeragent og API-opkald. Men forvirrende læser imidlertid politikken derefter: ”Vi har ingen muligheder for at matche en IP til en bestemt brugerkonto.” Disse ser ud til at være en direkte modsigelse.

Ud over dette problem har ScryptMail en rapport om kanarieforsøg og gennemsigtighed, som ikke er blevet opdateret på et stykke tid. En forældet Warrant Canary - der har siddet uberørt siden 2016 - ser ud til at afsløre, at virksomheden har fået tilsendt en warrance. Dette alene er grund nok til at holde sig væk fra tjenesten. Rapporten om gennemsigtighed lyder:

  • Vi havde 8 anmodninger fra retshåndhævelsesbureauer om at få adgang til logfil på det specifikke tidspunkt for bestemte brugere
  • 8 anmodninger om adgangstid og IP blev imødekommet

Den gode nyhed (hvis du kan kalde det det) er, at gennemsigtighedsrapporten afslører, at firmaet faktisk indsamler forbindelseslogfiler inklusive bruger-IP-adresser. Vi har således intet andet valg end at alvorligt afskrække forbrugere fra at bruge denne VPN.

Sikkerhed

Al kommunikation med ScryptMails servere sker via TLS / SSL (HTTPS), og firmaet siger, at det implementerer HSTS for at afbøde mod Man i Mellemangreb, samt certifikatspinding (for at modstå efterligning fra angribere). Test, der køres af Qualys SSL Labs, afslører imidlertid, at firmaet kun scorer en B for styrken af ​​dens SSL-implementering (fordi serverens certifikatkæde er ufuldstændig). Dette er en dårlig score, hvilket antyder, at firmaet ikke implementerer HSTS.

Når det drejer sig om lagring, hævder firmaet, at alle e-mail-data er krypteret i hvile ved hjælp af stærk AES 256-kryptering, og firmaet hævder, at Forward Secrecy implementeres for øget sikkerhed. Alt i alt betyder dette, at firmaet ser ud til at håndtere e-mails på en sikker måde. Der er dog nogle advarsler...

ScryptMail blev kodet af en enkelt udvikler, og siden det blev frigivet i 2014 har udvikleren kun opdateret det en gang i januar 2015. Dette ringer bestemt nogle alarmklokker, og som andre mennesker har påpeget på Reddit og andre steder; det er svært at tro, at en service, der er udviklet af kun én person - og som aldrig bliver opdateret - faktisk er sikker mod hackere eller regeringsintrusion.

Med hensyn til firmaets påstand om, at det krypterer alle metadata, er det værd at bemærke, at selvom kryptering af alle metadata, mens de er i ro, er muligt (så i det mindste ScryptMail ikke kan få adgang til disse oplysninger) - det er ikke muligt at skjule, hvem der sendte en e-mail (og hvornår) fra andre e-mail-udbydere. Metadata skal inkluderes i overskriften på en e-mail for at den kan leveres, og disse data udsættes, når e-mailen sendes over nettet. Således kunne metadata indsamles masse (af efterretningsbureauer eller et MitM-angreb), mens de er i transit.

For dem, der foretrækker at tilføje tofaktorautentisering til deres konto, er funktionen tilgængelig fra indstillingerne og kan indstilles til at arbejde enten med en fysisk Yubikey eller ved hjælp af Google Authenticator.

Brugervenlighed

At starte en ScryptMail-konto er let, og du behøver ikke at udlevere nogen personlige data, hvis du foretrækker det ikke. Dette er fantastisk, fordi vi foretrækker e-mailudbydere, der ikke beder om et telefonnummer eller en tidligere e-mail-adresse til bekræftelse.

Opret en konto

Når din konto er oprettet, bliver du bedt om at downloade det hemmelige token til din konto. Det hemmelige token beskrives af ScryptMail som det "ultimative værktøj til din konto", fordi det kan bruges til at nulstille adgangskoden eller den hemmelige sætning, der bruges til at logge på. Det er dog værd at bemærke, at det ud over tokenet er nødvendigt at have adgangskoden eller den hemmelige sætning også (så sørg for ikke at gemme disse sammen!)

skærm viser konto er oprettet med succes

Med adgang til webmail, besluttede vi at kontrollere, hvor let det er at importere kontakter. Desværre kunne vi ikke finde nogen måde at importere kontakter ved hjælp af en CSV-fil på, hvilket betyder, at du bliver nødt til at tilføje kontakter manuelt - en efter en.

Derefter besluttede vi at e-maile med kryptering. Vi kunne let finde PIN-krypteringsmetoden (som kræver, at du deler adgangskoden uden for ScryptMail med afsenderen på en privat måde).

pin krypteringsmetode i scryptmail

Det er overhovedet ikke indlysende at opsætte webmailen til at sende PGP-krypterede e-mails. Til sidst kunne vi konstatere, at for at sende PGP-krypterede e-mails, skal du oprette en kontakt til modtageren og tilføje deres offentlige nøgle inden for kontakter.

scryptmail kontakter menu

Derefter kan du oprette en e-mail, og en grøn hængelås vises som standard, hvilket afslører, at e-mailen er beskyttet med PGP. Dine PGP-taster er tilgængelige ved at navigere til Menu > Indstillinger > PGP-nøgle. Her kan du få adgang til din PGP-nøgle og bede om at opdatere den, du kan også kopiere i allerede eksisterende nøgler, hvis du allerede har dem.

PGP nøgler i scrypt mail

Aliaser er kun tilgængelige, hvis du betaler for tjenesten, det samme gælder for brugerdefinerede domæner. At have muligheden for at opgradere til disse funktioner er praktisk for enhver, der især kan lide at bruge ScryptMail. Samlet set fandt vi dette en nem e-mail-klient at bruge, så længe du er temmelig teknisk-erfaren og ikke har noget imod at grave dig rundt i klienten med at regne ud selv.

Kunde support

Alle, der ønsker hjælp, har muligheden for at læse gennem Blog og FAQ-afsnittet på sit websted. Selvom hjælpelinjerne er informative, er det svært at finde nogen nyttige tutorials om konfiguration af PGP-kryptering eller afsendelse af PGP-krypterede e-mails, f.eks. Derudover lider indholdet af, at det ikke er blevet skrevet af en indfødt engelsktalende.

Vi mailede support til nogle oplysninger om dette og et par andre ting. Vi modtog dog ingen billet til at fortælle os, at e-mailen var blevet modtaget. Hvad mere er, der kom aldrig noget svar (vi havde ventet tre dage i skrivende stund).

Af denne grund rådes enhver, der er nybegynder til at bruge sikre e-mail-klienter, at søge andre steder, hvis de vil have brug for hjælp til opsætning eller brug af tjenesten. Det ser ud til, at SyncMail er fuldstændig ubemandet.

ScryptMail konklusion

Samlet set fandt vi denne e-mail-konto temmelig let at bruge, især for alle, der har erfaring med at bruge PGP og krypterede e-mail-udbydere. Manglen på IMAP og POP er bestemt en ulempe, der vil udsætte mange forbrugere, og manglende evne til at importere kontakter via CSV er ekstremt irriterende.

Gratis denne e-mail-konto vil sandsynligvis anbefales, hvis den ikke var for den forældede garantikanarie og bekymringer omkring det faktum, at det ser ud til at være forladt af dens udvikler. Gennemsigtighedsrapporten og privatlivspolitikken rejser også bekymringer, ligesom dens base i USA (som vi frygter er blevet kompromitteret af myndighederne).

Generelt har vi det ikke godt med at anbefale denne service på grund af dets personlige problemer, og derfor anbefaler vi generelt at se andre steder.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me