ProtonMail-arvostelu

ProtonMail


ProPrivacy.com Pisteet
9,3 10: stä

Yhteenveto

Kun tarkistin ProtonMailia ensimmäistä kertaa yli vuosi sitten, se oli todellakin aloittelevaa palvelua vielä alfa-kehitysvaiheessaan. Jo tuolloin ajattelin, että sillä oli suuri lupaus, kunhan sen rajoitukset ymmärrettiin täysin. Sittemmin ProtonMail on tuonut markkinoille monia uusia ominaisuuksia, kuten premium-tilit, mahdollisuuden lähettää salattuja sähköposteja muille kuin ProtonMail-käyttäjille, mobiilisovelluksia ja (ja mikä tärkeintä kaikesta) siitä on tullut täysin avoin lähdekoodi.

Palvelun monet näkökohdat eivät kuitenkaan ole muuttuneet, joten tämä artikkeli on pyörän keksimisen sijasta alkuperäisen tarkistuksen laajennettu ja muutettu versio..

Pikatilastot

  • Maa
    Sveitsi

Mikä on ProtonMail?

ProtonMail on yksityisyyteen keskittyvä verkkopostipalvelu, joka on suunniteltu tarjoamaan Gmailin kaltaisten palveluiden toimivuutta ja helppokäyttöisyyttä, mutta joka on suojattu ja ei vakoita käyttäjien viestintää heittääkseen heille tavaroita tai luovuttaakseen niitä NSA.

Sen on kehittänyt MIT: n ja Harvardin tutkijaopiskelijoiden ryhmä, jota johtaa Harvardin tohtorikoulutettava ehdokas ja CERN-tutkija Andy Yen, ja se oli alun perin joukkorahoitettu villin onnistuneen IndieGoGo-kampanjan avulla..

Odotuslista

Kiinnostus ProtonMailiin on ollut suurta, ja se on kamppaillut uusien käyttäjien vastaanottamiseksi, minkä seurauksena odotuslista on luotu ennen tilien aktivointia. Tämä melko turhauttava aihe on valinnut sen sijaan Tutanotan (myös erittäin hyvän), jolla ei ole tällaista odotuslistaa.

Onneksi odotusajat ovat nyt pudonneet kahdeksasta kuukaudesta (!), Joka kului minulta kutsun vastaanottamiseen yli vuosi sitten, noin 2 viikkoon (anekdoottisten raporttien mukaan). Tämä voi kuitenkin pysyä ongelmana kärsimättömimmille teistä.

Päivitys: ProtonMail on avannut tilauksen kaikille vain 2 päivän kuluttua tämän katsauksen julkaisemisesta.

Hinnoittelu ja suunnitelmat

Yksi tärkeimmistä kehityksistä on palkkiojärjestelmien käyttöönotto. Erittäin käyttökelpoinen ilmainen taso on edelleen olemassa (ja ProtonMail on luvannut sen jatkuvan jatkuvana), mutta premium-suunnitelmat lisäävät joitain erittäin hyödyllisiä ominaisuuksia, kuten mukautettuja verkkotunnuksia ja verkko-osoitteita, sekä lisääntynyttä tallennustilaa ja viestejä päivässä.

ProtonMail Plus -suunnitelma alkaa 5 dollaria kuukaudessa (tai 4 dollaria kuukaudessa, jos maksetaan vuosittain), mutta sitä voidaan mukauttaa edelleen. ProtonMail Visionary -suunnitelma alkaa 30 dollarista kuukaudessa, ja se on selvästi tarkoitettu yrityksille.

ProtonMail hinnoittelu 2

Muokatut verkkotunnukset - Jos sinulla on oma verkkotunnuksesi, voit käyttää tätä lähettämään ja vastaanottamaan salattuja viestejä ProtonMail-tililläsi (esimerkiksi osoitteessa [sähköpostin suojattu]).

ProtonMail-osoitteet - tämä on käytettävissä olevien @ protonmail.ch- tai @ protonmail.com-osoitteiden lukumäärä. ProtonMail aikoo lisätä lajitteluominaisuuksia näihin tulevaan julkaisuun.

Uudet avaimet luodaan jokaiselle uudelle mukautetulle toimialueelle tai ProtonMail-aliakselle.

Satunnaisille käyttäjille ilmainen palvelu on todennäköisesti enemmän kuin riittävä, mutta energian käyttäjille premium-lisäosat tekevät tervetuliaislisäyksen ja ovat erinomainen tapa auttaa palvelun rahoittamisessa (muista, ProtonMail ei ansaitse rahaa mainostamalla tai myymällä tietojasi mainostajille !).

ominaisuudet

  • Päästä päähän salatut sähköpostit
  • Voi lähettää salattuja sähköposteja muille kuin ProtonMail-käyttäjille
  • Tuhoa sähköpostiviestit
  • Parannettu web-käyttöliittymä vetämällä ja pudottamalla -viesteillä, yhteyshenkilöillä, todennuslokeilla ja muulla
  • Sovellukset Androidille ja iOS: lle
  • Perustuu Sveitsiin (lisää tästä myöhemmin)
  • Täysin avoin lähdekoodi
  • Julkisen avaimen vienti (lähettää muille PGP-käyttäjille ja tarkistaa viestit manuaalisesti)

Sveitsi

ProtonMailin toimiminen Sveitsistä on suuri haitta monille käyttäjille, koska Sveitsi on Yhdysvaltojen ja EU: n lainkäyttövallan ulkopuolella, ja sillä on maine erittäin vahvoista tietosuojalakeista. Valvontadirektiivit on saatava tuomioistuimien välityksellä, eikä tavoitteita ole ilmoitettava ilman, että niillä on mitattavia valtuuksia, sähköisen viestinnän tekninen sieppaaminen on sallittua vain Internet-palveluntarjoajien eikä "pelkkien" Internet-sovellusten tarjoajien (kuten sähköpostipalvelut) jne..

Onko tämä maine täysin perusteltu, ei kuitenkaan ole niin selvää. Usein sanotaan esimerkiksi, että Sveitsin viranomaisilla ei ole intressiä yhteistyöhön Yhdysvaltojen ja sen liittolaisten kanssa, mutta kun Yhdysvaltojen veropettajat kiertävät varallisuutensa Sveitsin pankkitileille vuonna 2013, tämä ei aina ole tapaus. Victor Vital, oikeudenkäynnin lakimies Barnesissa & Thornburg, kertoi Wiredille,

"Ihmiset näyttävät ajattelevan, että tietosuojalakeja Euroopassa tai ulkomailla aiheuttaa ongelmia tai että ne olisivat esteenä, mutta niin ei vain pidä paikkaansa, koska kyseisten sopimusten mukaan maat velvoittavat itsensä toimimaan mahdollisimman laajasti ja mahdollisimman paljon."

Vielä huolestuttavampaa on se, että Sveitsin hallitus vaatii uusia tehokkaita uusia valvontalakeja (NDG) (BDP) (Nachrichtendienstgesetzt, BÜPF) viime vuoden Pariisin terrori-iskujen seurauksena, mikä laajentaa huomattavasti valtion tarkkailuvaltaa..

Sveitsin demokratiajärjestelmän ansiosta NDG on odottanut siihen saakka, kunnes siitä järjestetään kesäkuussa kansallinen kansanäänestys. ProtonMail oli huomattava kampanjoineen kerätäkseen 70 000 allekirjoitusta tämän toteuttamiseksi. BÜPF on "äänestyksessä parlamentin kevään istunnossa, mutta sitä voidaan tarkistaa tai lykätä."

Siksi mielestäni on reilua sanoa, että tilanne on hyvin ilmassa, vaikka ProtonMail väittää, että NDG-laki ei vaikuta siihen, vaikka kansanäänestys hyväksyy sen..

yksityisyys

ProtonMail-tilit on suojattu kahdella salasanalla, joista ensimmäistä käytetään käyttäjän todentamiseen ja oikean tilin noutamiseen (ja josta ProtonMail pitää kopion), ja toista vain käyttäjä pitää, ja sitä käytetään heidän postilaatikonsa salauksen purkamiseen. . Kuten Micah Lee, Haastattelun tekniikka, joka keskittyy yksityisyyteen ja salaustekniikkaan,

”On todella hienoa, että heillä on kaksi salasanaa. Sisäänkirjautumissalasana lähetetään palvelimelle, ja näin voit todistaa, että käyttäjänimesi on todella sinun. Ja toinen on postilaatikon salasana, jota ei koskaan lähetetä ProtonMailin palvelimelle. Toinen salasana toimii selaimessa ja salauksen purkaa viestit siellä. ”

Posti varastoidaan salattuina ProtonMailin palvelimilla, joten ProtonMailin henkilökunnalla ei ole pääsyä niihin, ja nämä palvelimet itse "käyttävät täysin salattuja kiintolevyjä, joissa on useita salasanan kerroksia, joten tietoturva säilyy, vaikka laitteistommekin tarttuisiinkin".

Kaikki ProtonMail-jäsenten välillä lähetetyt viestit ovat salattuja. Muille kuin ProtonMail-jäsenille tarkoitetut viestit voidaan myös lähettää salattuina, tai ne voidaan lähettää salaamattomana tavallisella tavallisella sähköpostiviestillä.

ProtonMailin mukaan metatietoja ei pidetä eikä se kirjaa IP-käyttäjien yhteyksiä (vaikka teknisesti mikään ei estä sitä tekemästä). Kuten ProtonMail myös huomauttaa, koska viestit ovat salattuja, sillä ei ole mitään keinoa skannata niitä kohdistetun mainonnan tuottamiseksi.

Päivitys: Tärkeä ongelma, jonka unohdin kirjoittaessani tätä tarkistusta (johtuen siitä, että käytin olemassa olevaa ProtonMail-tiliäni), on se, että ProtonMail pyytää nyt ihmisen todentamista (usein tekstiviestinä) rekisteröidessään uutta tiliä..

Tämä on monin tavoin varsin ymmärrettävä (ja mahdollisesti välttämätön) varotoimenpide roskapostittajien ja spambotien väärinkäytön estämiseksi, mutta se heikentää täysin nimettömyyden käsityksiä. Käyttäjät, jotka eivät ole tyytyväisiä sähköpostin tai puhelinnumeron toimittamiseen, voivat välttää sen tekemisen päivittämällä premium-tilille (joka voidaan maksaa nimettömästi käyttämällä Bitcoinsia).

Tekninen turvallisuus

ProtonMail käyttää salattuihin viesteihin koodausta päästä päähän käyttämällä avoimen lähdekoodin AES-, RSA- ja OpenPGP-kirjastojen "suojattuja toteutuksia" (TLS 1.0, AES-128 CBC, DHE RSA-kättely ja SHA3-haja-todennus)..

Tämä on ok, vaikka TL 1.0 on jonkin verran vanhentunut, ja useimpien asiantuntijoiden mielestä AES-256 on turvallisempi kuin AES-128 (tästä voi kuitenkin keskustella, koska AES-128: lla on vahvempi avainaikataulu).

salattu suojattu-selitys

SSL-sertifikaatit on nyt allekirjoittanut QuoVadis Trustlink Schweiz AG,

”Uuden varmenteen lisäominaisuuksia ovat laajennettu validointi (EV), 4096-bittinen RSA, SHA-256-hash ja sertifikaattien läpinäkyvyys (CT). Yhdessä QuoVadisin kanssa pysymme edelleen SSL-sertifikaattitekniikan kärjessä varmistaaksemme ProtonMail-käyttäjille korkeimman mahdollisen tietoturvan. "

ProtonMailin kanssa suuri ongelma oli, että sen ohjelmisto ei ollut täysin avoin lähdekoodi, mutta kaikki tämä on muuttunut, ja se on nyt sataprosenttisesti avoin lähdekoodi. Toisin kuin monet avoimen lähdekoodin koodit, ProtonMail'ia on kuitenkin laajasti tarkastanut joukko tunnettuja ja arvostettuja salaustekniikoita, jotka ovat vapaaehtoisesti (maksutta) valvomaan projektia etsien takaovia ja muita ikäviä asioita..

Toistaiseksi niin hyvä, mutta uutiset eivät ole kaikki niin ruusuisia. Kuten Wiredin Yael Grauer selittää,

”Yksi isoista ongelmista on se, että ei ole helppoa tietää, onko toiselle ProtonMail-käyttäjälle lähetetty viesti salattu vastaanottajan oikealle julkiselle avaimelle, joka tallennetaan ProtonMailin avainpalvelimelle. Esimerkiksi, jos Alice lähettää Bobille salatun viestin julkiseen avaimeensa, kenellekään muulle on vaikeampaa lukea viesti. Mutta koska ProtonMail jakaa salausavaimet käyttäjille, sillä on tekninen kyky antaa Alice omat avaimet Bobin ohella, salaa siten viestit siten, että se voi salakuuntua. "

Tämä on Apple iMessagen yhteinen heikkous, joka on ratkaistu Signalin kaltaisissa sovelluksissa tarkistamalla julkiset salausavaimet.

Toinen räikeä ongelma on, että kaikki salaus suoritetaan käyttäjien selaimissa JavaScriptin avulla. Tämä on välttämätöntä, jotta salaus voidaan suorittaa päästä päähän (ProtonMail ei suorita sen sijaan, että ProtonMail pitäisi yksityisiä avaimia), mutta JavaScriptin salaus on luonnostaan ​​erittäin epävarma.

Tämä on ongelma, jonka ei pitäisi vaikuttaa mobiilisovellusten käyttäjiin, kunhan he muistavat käyttää vain ProtonMail-tiliään mobiilisovelluksella, koska nämä eivät käytä JavaScriptiä salaustekniikassaan.

Kun lähetät salatun sähköpostin muille kuin käyttäjille, sähköpostin sisältö ja kaikki liitteet salataan. Tavalliset sähköpostin metatiedot sisältyvät otsikkoon, mukaan lukien lähettäjän sähköpostiosoite, sähköpostin vastaanottamisen aika ja Aiheen otsikko (joka voi tietenkin olla hyvin paljastava).

Tässä tapahtuu, että ProtonMail on paljon turvallisempi kuin “tavalliset” verkkopostipalvelut, ja se kestää yleistä valvontaa (vaikkakin on täysin varmaa, että NSA ja muut turvallisuuspalvelut seuraavat ProtonMail-tilejä voimakkaasti) ja että ProtonMail ei vakoo. sähköpostissasi, jotta voit myydä tietosi mainostajille.

ProtonMailin väite, että se tarjoaa ”nimettömän sähköpostin”, olisi kuitenkin otettava terveellä ripauksella suolaa, ja olisi ymmärrettävä selvästi, että tämän palvelun käyttäminen ei ole läheskään yhtä turvallista kuin itsenäisen sähköpostiohjelman käyttäminen, johon on asennettu hyvä PGP-laajennus (katso opetusohjelmamme Gpg4winin käytöstä) tai jopa selain, johon on asennettu lisäosa, kuten Mailvelope.

ProtonMail käytössä

Sisäänkirjautuminen

Sisäänkirjautuminen edellyttää kahden salasanan syöttämistä...

ProtonMail-sisäänkirjautuminen 1

Tilisi salasana, jonka ProtonMail tuntee…

ProtonMail-sisäänkirjautuminen 2

… Ja postilaatikkosi salasana, jonka vain sinun tulee tietää

ProtonMail wen-käyttöliittymä

Jokainen verkkopostipalveluihin perehtynyt tuntee olonsa kotoisaksi ProtonMailin kanssa. Uusi 2.0-käyttöliittymä näyttää hyvältä ja toimii sujuvasti

ProronMail lähetä sähköpostia

Muille ProtonMail-käyttäjille lähetetyt viestit salataan automaattisesti, kun taas muille kuin ProtonMail-käyttäjille lähetetyt viestit voidaan valinnaisesti salata. Tällaiset viestit vanhenevat (tuhoa automaattisesti) 28 päivässä tai aikaisemmin, jos valitset

ProtonMail vastaanottaa suojattua sähköpostia

Vastaanottaja vastaanottaa linkin salattuun viestiin (sekä vihje, jos sitä käytetään). Huomaa, että tämä viesti vanhenee tunnin kuluttua, mutta huomaa myös, että metatietoja ei ole piilotettu

ProtonMail vastaanottaa suojatun sähköpostin 2

… Ja kun he kirjoittavat salasanan..

ProtonMail vastaanottaa suojatun sähköpostin 3

… He osaavat lukea viestin

ProtonMail vanhenee

Jos viesti on vanhentunut, linkki on kuollut

ProtonMail-mobiiliverkko

Vaikka mobiilisovelluksia ei ole tällä hetkellä saatavana (vielä beta-versiossa kirjoittamisen ajankohtana), ProtonMailin reagoiva verkkosivuston suunnittelu tarkoittaa, että se näyttää hyvältä mobiililaitteessa

Muut alustat

Päivitä maaliskuu 2016: Verkkokäyttöliittymä on tietysti saatavana kaikilla alustoilla tavallisen selaimesi kautta. ProtonMail on nyt julkaissut myös sovelluksia Androidille ja iOS: lle.

ProtonMail Android-sovellusAndroid-sovellus näyttää älykkäältä ja toimii hyvin

Sähköposti Privacy Tester tulokset

Testasin ProtonMailia Mike Cardwellin kehittämällä Email Privacy Tester -työkalulla.

ProtonMail-testitulokset

Nämä ovat samat tulokset, jotka saavutin testaamalla melkein vuosi sitten, eivätkä olleet niin hyviä kuin Tutanotan tulokset jopa tuolloin.

johtopäätös

Pidin

  • Paljon turvallisempaa kuin tavallinen sähköposti
  • Sähköpostia ei vakoiteta mainostarkoituksiin
  • Helppo käyttää ja näyttää hyvältä
  • Täysin avoin lähdekoodi
  • Voi lähettää salattuja sähköposteja käyttäjille, jotka eivät ole käyttäjiä
  • Tuhoa sähköpostiviestit
  • Todella hyödylliset premium-vaihtoehdot (mukaan lukien omat verkkotunnukset)

En ollut niin varma

  • Lähes yhtä turvallinen kuin “oikea” PGP-sähköposti
  • Sveitsissä asuvan edut ovat kiistanalaisia
  • Mobiilisovelluksia ei edelleenkään ole saatavana Apple- ja Play-kaupoissa
  • SMS-vahvistus rekisteröinnin yhteydessä (voidaan välttää päivittämällä premium-tilille)

vihasin

  • Palvelun virheellinen esittäminen "nimettömänä". Se ei ole
  • Epäspesifinen sähköpostiosoitteen testaajan tulokset
  • ProtonMailin käyttö herättää huomion (ei sen syy sinänsä, mutta huomion arvoinen)

Usein väitetään, että turvallisen viestinnän yhteydessä vanhentunut sähköpostijärjestelmä on täysin rikki, eikä ProtonMail aio muuttaa sitä. Lisäksi mikä tahansa verkkopostijärjestelmä, joka toteuttaa salauksen selaimessa (JavaScriptin avulla), on myös todennäköisesti pohjimmiltaan epävarma. Kuten ProtonMail itse myöntää uhkamallisivullaan,

"EI SUOSITELTU: Edward Snowden - Jos olet Edward Snowden tai seuraava Edward Snowden ja sinulla on elämä ja kuolema, joka vaatii yksityisyyttä, emme suosittele ProtonMailin käyttöä. Äärimmäisen herkissä tilanteissa ei yksinkertaisesti ole hyvä idea käyttää sähköpostia viestinnän välineenä."

ProtonMail on kuitenkin erittäin helppokäyttöinen verkkopostipalvelu (samanarvoisesti Gmailissa ja vastaavilla), joka on paljon turvallisempi kuin useimmat sellaiset verkkopostipalvelut ja joka ei (voi) vakoilla kaikkea kirjeenvaihtoasi mainostamisen kohdistamiseksi (kuten Google , Microsoft, Apple, et ai., Do).

Vaikka ProtonMail on todennäköisesti turvattu kohdennettuja NSA-hyökkäyksiä vastaan ​​(ja käyttäjien on oltava tietoisia siitä, että NSA kohdistuu todennäköisesti palvelun käyttäjiin), ProtonMail tarjoaa useimpiin tarkoituksiin (mukaan lukien kansallisten lainvalvontaviranomaisten suorittamat tutkimukset) korkean tason yksityisyyden. Ja koska sen kotipaikka on Sveitsissä, sen pitäisi olla kestävä monia laillisia hyökkäysmuotoja vastaan.

Käytettävyyden kannalta ProtonMail on lisännyt alusta lähtien runsaasti ominaisuuksia, jotka tekevät siitä erittäin kannattavan vaihtoehdon valtavirran verkkopostipalveluille, ja siirtyminen täysin avoimeen lähdekoodiin on erittäin tervetullut.

Lyhyesti sanottuna, niin kauan kuin sen (huomattavat) rajoitukset tunnustetaan, ProtonMailin käyttö voi olla positiivinen askel yksityisyytesi parantamisessa ja vastustaa yleistä valtion valvontaa. Älä vain odota sen tarjoavan aitoa nimettömyyttä tai suojelevan sinua, jos olet tekemisissä mille tahansa erittäin laittomalle.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me