ScryptMail Review

ScryptMail

ScryptMail gaat failliet. Op 31 januari 2020 wordt de e-mailservice afgesloten en worden alle databases op 31 maart 2020 verwijderd.

Het goede nieuws is dat er genoeg alternatieven zijn voor ScryptMail. Raadpleeg ons best beveiligde artikel over e-mailservices voor een lijst met alternatieven.

ScryptMail is een e-mailprovider die is ontwikkeld door Sergei Krutov, een consultant voor gegevensbescherming in Spokane, Washington. Het bedrijf claimt een krachtige e-mailbeveiliging te bieden die codering in rust en gecodeerde metadata omvat (een claim die we later in twijfel zullen trekken). Deze kleine onafhankelijke service klinkt interessant, dus we dachten dat we het zouden proberen.

ProPrivacy.com partituur
5 van de 10

Samenvatting

Gevestigd zijn in de VS is een zorg omdat de VS de thuisbasis is van de NSA, CIA, gag-orders en warrants. Een Amerikaanse basis is altijd een goede reden om weg te blijven van elke service die beweert privacy te bieden, omdat het moeilijk is om te verifiëren dat ze echt de privacy en veiligheid bieden die ze beweren (en zelfs als ze van plan zijn - ze kunnen worden gedwongen om te beginnen snuffelen over gebruikers in het geheim op elk gewenst moment).

Hoewel de code voor de service op Github is geplaatst, ontbreekt het bovendien aan documentatie en bevat het geen licentiebestand. Het is dus niet waarheidsgetrouw volledig open source. Desondanks is het beter om de code op Github te plaatsen dan om deze achter slot en grendel te verbergen. Aan de andere kant lijkt het geen audits van derden te hebben ondergaan.

Op het eerste gezicht lijkt ScryptMail e-mailprovider veel sterke functies te hebben. In onze scryptmail-review bekijken we enkele van zijn claims - om te zien of het de moeite waard is om uw tijd en geld door te brengen.

Hoeveel kost ScryptMail?

ScryptMail is een goedkope e-mailservice, die gratis kan worden gebruikt. Gebruikers krijgen gratis toegang tot 300 Mb e-mailopslag. Gebruikers kunnen ervoor kiezen om hun account met saldo te "vullen" met PayPal of Bitcoin.

Zodra geld is toegevoegd aan het saldo van hun account, kan de gebruiker kiezen voor individuele upgrades zoals aangepaste domeinen, aliassen, sterkere PGP-sleutelversleuteling en verschillende andere functies.

Deze worden afzonderlijk in rekening gebracht en zijn redelijk geprijsd. Gezien het feit dat het mogelijk is om volledig beveiligde e-mailproviders te krijgen voor slechts 1 euro per maand (bijvoorbeeld Tutanota of Posteo), zal het betalen voor deze service een beetje duur zijn als je begint met tal van functies.

ScryptMail-functies

  • Gratis e-mailaccount beschikbaar
  • Gebakken in PGP-codering
  • PIN-gecodeerde e-mails
  • Codering in rust
  • Spammap
  • Contacten
  • Aliassen (alleen betaald)
  • Aangepaste domeinen (alleen betaald)
  • Twee-factor authenticatie
  • E-mail filteren
  • Zwarte lijst functie

Privacy

Gevestigd zijn in de VS wordt altijd beschouwd als een probleem als het gaat om privacy. Aan in de VS gevestigde bedrijven kunnen warrants en gag-bevelen worden opgelegd die hen dwingen om namens de overheid te gaan snuffelen tegen hun gebruikers. Als het bedrijf een gag-bevel breekt (waardoor het toezicht moet worden geheimgehouden), kunnen werknemers bij het bedrijf worden vervolgd en in de gevangenis zitten.

Een spiegel van ScryptMail's webmailservice is via Tor beschikbaar op het deep web; wat geweldig is voor mensen die zich willen aanmelden en anoniem toegang willen hebben tot hun e-mails. Voor mensen die niet bereid zijn om in de onderbuik van het internet te springen, is een webmailclient net als die van veel andere e-mailclients beschikbaar in uw browser via internet.

Uit het privacybeleid blijkt dat het bedrijf enkele verbindingslogboeken opslaat: laatste inlogtijd, IP-adres, user-agent en API-aanroep. Het beleid luidt echter verwarrend: "We kunnen een IP niet koppelen aan een specifiek gebruikersaccount." Dit lijkt een directe tegenspraak.

Naast dit probleem heeft ScryptMail een kanarie- en transparantierapport dat niet al enige tijd is bijgewerkt. Een verouderd Warrant Canary - dat sinds 2016 onaangeroerd is gebleven - lijkt te onthullen dat het bedrijf een warrant heeft gekregen. Dit alleen al is voldoende reden om weg te blijven van de service. Het transparantieverslag luidt:

  • We hadden 8 verzoeken van wetshandhavingsinstanties om voor bepaalde gebruikers toegang te krijgen tot het logbestand
  • Er zijn 8 verzoeken om toegangstijd en IP ingewilligd

Het goede nieuws (als je het zo kunt noemen) is dat uit het transparantierapport blijkt dat het bedrijf inderdaad verbindingslogboeken verzamelt, inclusief IP-adressen van gebruikers. We hebben dus geen andere keuze dan consumenten ernstig te ontmoedigen om deze VPN te gebruiken.

Veiligheid

Alle communicatie met de servers van ScryptMail gebeurt via TLS / SSL (HTTPS), en het bedrijf zegt dat het HSTS implementeert om aanvallen tegen Man in the Middle te verzachten, evenals certificaatpinning (om imitatie door aanvallers te weerstaan). Uit tests van Qualys SSL Labs blijkt echter dat het bedrijf alleen een B scoort voor de sterkte van zijn SSL-implementatie (omdat de certificaatketen van de server onvolledig is). Dit is een slechte score, wat erop wijst dat het bedrijf HSTS niet daadwerkelijk implementeert.

Wat de opslag betreft, beweert het bedrijf dat alle e-mailgegevens in rust worden gecodeerd met behulp van sterke AES 256-codering en beweert het bedrijf dat Forward Secrecy is geïmplementeerd voor extra beveiliging. Al met al betekent dit dat het bedrijf e-mails op een veilige manier lijkt te behandelen. Er zijn echter enkele kanttekeningen...

ScryptMail werd gecodeerd door een enkele ontwikkelaar, en sinds de release in 2014 heeft de ontwikkelaar het slechts één keer bijgewerkt in januari 2015. Dit geeft zeker een aantal alarmbellen aan, en zoals andere mensen op Reddit en elders hebben opgemerkt; het is moeilijk te geloven dat een service die door slechts één persoon is ontwikkeld - en die nooit wordt bijgewerkt - in feite veilig is tegen hackers of inbraak door de overheid.

Wat betreft de bewering van het bedrijf dat het alle metadata codeert, is het vermeldenswaard dat hoewel het coderen van alle metadata terwijl het in rust is mogelijk is (zodat ScryptMail tenminste geen toegang heeft tot die informatie) - het niet mogelijk is te verbergen wie een e-mail (en wanneer) van andere e-mailproviders. Metagegevens moeten worden opgenomen in de koptekst van een e-mail voordat deze kan worden afgeleverd, en deze gegevens worden zichtbaar wanneer de e-mail over het net wordt verzonden. Zo kunnen metadata tijdens het transport massaal worden verzameld (door inlichtingendiensten of een MitM-aanval).

Voor degenen die liever tweefactorauthenticatie aan hun account toevoegen, is de functie beschikbaar vanuit de instellingen en kan worden ingesteld om te werken met een fysieke Yubikey of met Google Authenticator.

Makkelijk te gebruiken

Het starten van een ScryptMail-account is eenvoudig en u hoeft geen persoonlijke gegevens te overhandigen als u dat liever niet doet. Dit is geweldig, omdat we e-mailproviders verkiezen die niet om een ​​telefoonnummer of een eerder e-mailadres vragen voor verificatie.

account aanmaken

Met uw account aangemaakt, wordt u gevraagd om het geheime token voor uw account te downloaden. Het geheime token wordt door ScryptMail beschreven als het "ultieme hulpmiddel voor uw account" omdat het kan worden gebruikt om het wachtwoord of de geheime zin die wordt gebruikt om in te loggen opnieuw in te stellen. Het is echter vermeldenswaard dat het naast het token noodzakelijk is om ook het wachtwoord of de geheime zin te hebben (dus bewaar deze niet samen!)

scherm met succesvol aangemaakte account

Nu toegang tot webmail werd verleend, besloten we te controleren hoe gemakkelijk het is om contacten te importeren. Helaas konden we geen manier vinden om contacten te importeren met behulp van een CSV-bestand, wat betekent dat u contacten handmatig moet toevoegen - een voor een.

Vervolgens hebben we besloten om te e-mailen met codering. We kunnen gemakkelijk de PIN-coderingsmethode vinden (waarbij u het wachtwoord buiten ScryptMail op een privé-manier met de afzender moet delen).

pincoderingsmethode in scryptmail

Het instellen van de webmail voor het verzenden van PGP-gecodeerde e-mails is echter helemaal niet vanzelfsprekend. Uiteindelijk hebben we kunnen vaststellen dat om PGP-gecodeerde e-mails te verzenden, u een contactpersoon voor de ontvanger moet maken en hun openbare sleutel vanuit contacten moet toevoegen.

scryptmail contacten menu

Hierna kunt u een e-mail maken en standaard verschijnt een groen hangslot dat onthult dat de e-mail is beveiligd met PGP. Uw PGP-sleutels zijn beschikbaar door naar Menu te navigeren > instellingen > PGP-sleutel. Hier hebt u toegang tot uw PGP-sleutel en kunt u vragen deze te vernieuwen. U kunt ook bestaande sleutels kopiëren als u deze al hebt.

PGP-sleutels in scrypt-mail

Aliassen zijn alleen beschikbaar als u voor de service betaalt, hetzelfde geldt voor aangepaste domeinen. De optie om naar deze functies te upgraden is echter handig voor iedereen die vooral graag ScryptMail gebruikt. Over het algemeen vonden we dit een gemakkelijke e-mailclient om te gebruiken, zolang je behoorlijk technisch onderlegd bent en het niet erg vindt om in de client rond te graven.

Klantenservice

Iedereen die hulp nodig heeft, heeft de mogelijkheid om het blog- en FAQ-gedeelte van zijn website te lezen. Hoewel de handleidingen informatief zijn, is het moeilijk om bijvoorbeeld handige tutorials te vinden over het instellen van PGP-codering of het verzenden van PGP-gecodeerde e-mails. Bovendien lijdt de inhoud niet door een Engelstalige spreker.

We hebben ondersteuning per e-mail gestuurd voor wat informatie hierover en een paar andere dingen. We hebben echter geen ticket ontvangen om ons te laten weten dat de e-mail is ontvangen. Wat meer is, er kwam nooit een antwoord (we hadden drie dagen gewacht op het moment van schrijven).

Om deze reden wordt iedereen die een beginner is in het gebruik van beveiligde e-mailclients, geadviseerd om ergens anders te zoeken als ze hulp nodig hebben bij het opzetten of gebruiken van de service. Het lijkt erop dat SyncMail volledig onbemand is.

ScryptMail Conclusie

Over het algemeen vonden we dit e-mailaccount redelijk eenvoudig te gebruiken, met name voor iedereen die ervaring heeft met het gebruik van PGP en gecodeerde e-mailproviders. Het ontbreken van IMAP en POP is absoluut een nadeel dat veel consumenten zal afschrikken, en het onvermogen om contacten via CSV te importeren is zeer vervelend.

Dit e-mailaccount zou waarschijnlijk gratis worden aanbevolen als het niet voor de verouderde warrant kanarie en zorgen is over het feit dat het lijkt te zijn verlaten door de ontwikkelaar. Het transparantieverslag en het privacybeleid geven ook aanleiding tot bezorgdheid, net als de basis in de VS (waarvan we vrezen dat de autoriteiten er inbreuk op hebben gemaakt).

Over het algemeen voelen we ons niet comfortabel om deze service aan te bevelen vanwege de privacykwesties en om deze reden raden we over het algemeen aan om ergens anders te zoeken.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me