Recensione ScryptMail

ScryptMail


ScryptMail non funziona più. Il 31 gennaio 2020 il servizio di posta elettronica verrà chiuso e verranno eliminati tutti i database il 31 marzo 2020.

La buona notizia è che ci sono molte alternative a ScryptMail. Consulta il nostro miglior articolo sui servizi di posta elettronica sicuri per un elenco di alternative.

ScryptMail è un provider di posta elettronica sviluppato da Sergei Krutov, un consulente per la protezione dei dati con sede a Spokane, Washington. L'azienda afferma di fornire una solida sicurezza della posta elettronica che includa la crittografia a riposo e metadati crittografati (un reclamo che chiameremo in questione in seguito). Questo piccolo servizio indipendente sembra interessante, quindi abbiamo pensato di metterlo alla prova.

ProPrivacy.com Punto
5 su 10

Sommario

Essere con sede negli Stati Uniti è una preoccupazione perché gli Stati Uniti ospitano NSA, CIA, ordini di bavaglio e warrant. Una base americana è sempre una buona ragione per stare lontano da qualsiasi servizio che pretenda di fornire privacy perché è difficile verificare che stiano realmente fornendo la privacy e la sicurezza che sostengono (e anche se intendono farlo) potrebbero essere costretti a iniziare curiosare in segreto sugli utenti in qualsiasi momento).

Inoltre, mentre il codice per il servizio è stato inserito su Github manca di documentazione e non include alcun file di licenza. Quindi, non è sinceramente completamente open source. Nonostante ciò, mettere il codice su Github è meglio che tenerlo nascosto sotto chiave. D'altra parte, non sembra aver subito audit di terze parti.

In apparenza, il provider di posta elettronica ScryptMail sembra avere molte funzionalità forti. Nella nostra recensione di scryptmail diamo uno sguardo dettagliato ad alcune delle sue affermazioni - per vedere se vale la pena spendere tempo e denaro.

Quanto costa ScryptMail?

ScryptMail è un servizio di posta elettronica a basso costo, che può essere utilizzato gratuitamente. Gratis, gli utenti ottengono l'accesso a 300 Mb di spazio di archiviazione della posta elettronica. Gli utenti possono scegliere di "riempire" il proprio account con un saldo con PayPal o Bitcoin.

Una volta che il denaro è stato aggiunto al saldo del proprio account, l'utente può optare per singoli aggiornamenti come domini personalizzati, alias, crittografia della chiave PGP più forte e varie altre funzionalità.

Questi sono addebitati singolarmente e hanno un prezzo abbastanza ragionevole. Tuttavia, considerando che è possibile ottenere provider di posta elettronica sicuri con tutte le funzionalità per solo 1 euro al mese (Tutanota o Posteo, ad esempio), pagare per questo servizio comporterà un tocco costoso se inizi a sfruttare numerose funzionalità.

Caratteristiche di ScryptMail

  • Account di posta elettronica gratuito disponibile
  • Cotto in crittografia PGP
  • Email crittografate con PIN
  • Crittografia a riposo
  • Cartella dello spam
  • Contatti
  • Alias ​​(solo a pagamento)
  • Domini personalizzati (solo a pagamento)
  • Autenticazione a due fattori
  • Filtro email
  • Lista nera

vita privata

Essere basati negli Stati Uniti è sempre considerato un problema quando si tratta di privacy. Alle società con sede negli Stati Uniti possono essere serviti warrant e ordini di bavaglio che li costringono a iniziare a curiosare sui loro utenti per conto del governo. Se l'impresa infrange un ordine di bavaglio (che la costringe a mantenere segreta tale sorveglianza), i dipendenti dell'azienda potrebbero essere perseguiti e rischiare il carcere.

Un mirror del servizio di webmail di ScryptMail è disponibile sul deep web tramite Tor; che è ottimo per le persone che vogliono iscriversi e accedere alle loro e-mail in modo anonimo. Per le persone che non sono pronte a saltare nel ventre di Internet, un client di webmail molto simile a quelli forniti da molti altri client di posta elettronica è disponibile nel tuo browser via Internet.

La politica sulla privacy rivela che l'azienda archivia alcuni registri di connessione: ora dell'ultimo accesso, indirizzo IP, agente utente e chiamata API. Confusamente, tuttavia, la politica dice quindi: "Non abbiamo la possibilità di abbinare un IP a un account utente specifico." Questi sembrano essere una contraddizione diretta.

Oltre a questo problema, ScryptMail ha un canarino di garanzia e un rapporto sulla trasparenza che non è stato aggiornato da qualche tempo. Un Warrant Canary obsoleto, rimasto intatto dal 2016, sembra rivelare che la società ha ricevuto un mandato. Questo da solo è una ragione sufficiente per stare lontano dal servizio. Il rapporto sulla trasparenza recita:

  • Abbiamo ricevuto 8 richieste dalle forze dell'ordine per accedere al file di registro per il tempo specifico per determinati utenti
  • Sono state concesse 8 richieste per tempo di accesso e IP

La buona notizia (se così si può chiamare) è che il rapporto sulla trasparenza rivela che l'azienda raccoglie effettivamente i registri delle connessioni inclusi gli indirizzi IP degli utenti. Pertanto non ci resta altra scelta che dissuadere gravemente i consumatori dall'utilizzare questa VPN.

Sicurezza

Tutte le comunicazioni con i server di ScryptMail avvengono tramite TLS / SSL (HTTPS) e la società afferma che implementa HSTS per mitigare gli attacchi Man in the Middle, nonché il pinning dei certificati (per resistere alla rappresentazione da parte degli aggressori). Tuttavia, i test eseguiti dai Qualys SSL Labs rivelano che l'impresa ottiene solo una B per la forza della sua implementazione SSL (perché la catena di certificati del server è incompleta). Questo è un punteggio scarso, che suggerisce che l'impresa non implementa effettivamente l'HSTS.

Per quanto riguarda l'archiviazione, l'azienda afferma che tutti i dati di posta elettronica vengono crittografati a riposo utilizzando la crittografia AES 256 avanzata e l'azienda afferma che Forward Secrecy è implementato per maggiore sicurezza. Tutto sommato, ciò significa che l'impresa sembra gestire le e-mail in modo sicuro. Tuttavia, ci sono alcuni avvertimenti...

ScryptMail è stato codificato da un singolo sviluppatore e, dal momento che è stato rilasciato nel 2014, lo sviluppatore lo ha aggiornato solo una volta nel gennaio 2015. Questo sicuramente suona alcuni campanelli d'allarme, e come altre persone hanno sottolineato su Reddit e altrove; è difficile credere che un servizio sviluppato da una sola persona - e che non viene mai aggiornato - sia effettivamente sicuro contro gli hacker o le intrusioni del governo.

Per quanto riguarda l'affermazione dell'azienda che crittografa tutti i metadati, vale la pena notare che sebbene sia possibile crittografare tutti i metadati mentre è a riposo (in modo che almeno ScryptMail non possa accedere a tali informazioni) - non è possibile nascondere chi ha inviato un e-mail (e quando) da altri provider di posta elettronica. I metadati devono essere inclusi nell'intestazione di un'e-mail affinché vengano recapitati e questi dati vengono esposti quando l'e-mail viene inviata attraverso la rete. Pertanto, i metadati potrebbero essere raccolti in massa (dalle agenzie di intelligence o da un attacco MitM) mentre erano in transito.

Per coloro che preferiscono aggiungere l'autenticazione a due fattori al proprio account, la funzione è disponibile dalle impostazioni e può essere configurata per funzionare con uno Yubikey fisico o utilizzando Google Authenticator.

Facilità d'uso

L'avvio di un account ScryptMail è semplice e non è necessario consegnare alcun dato personale se si preferisce non farlo. Questo è fantastico, perché preferiamo i provider di posta elettronica che non richiedono un numero di telefono o un indirizzo di posta elettronica precedente per la verifica.

crea un account

Con il tuo account creato, ti viene richiesto di scaricare il token segreto per il tuo account. Il token segreto è descritto da ScryptMail come lo "strumento finale per il tuo account" perché può essere utilizzato per reimpostare la password o la frase segreta utilizzata per l'accesso. Tuttavia, vale la pena notare che oltre al token è necessario per avere anche la password o la frase segreta (quindi assicurati di non memorizzarli insieme!)

schermata che mostra l'account creato correttamente

Con l'accesso alla webmail concesso, abbiamo deciso di verificare quanto sia facile importare i contatti. Purtroppo, non siamo riusciti a trovare alcun modo per importare i contatti utilizzando un file CSV, il che significa che dovrai aggiungere i contatti manualmente - uno per uno.

Successivamente abbiamo deciso di inviare un'e-mail con la crittografia. Potremmo facilmente trovare il metodo di crittografia PIN (che richiede di condividere la password al di fuori di ScryptMail con il mittente in qualche modo privato).

metodo di crittografia pin in scryptmail

Tuttavia, la configurazione della webmail per l'invio di e-mail crittografate con PGP non è affatto ovvia. Alla fine, siamo stati in grado di accertare che per inviare e-mail crittografate con PGP è necessario creare un contatto per il destinatario e aggiungere la sua chiave pubblica all'interno dei contatti.

menu contatti scryptmail

Successivamente, è possibile creare un'e-mail e per impostazione predefinita verrà visualizzato un lucchetto verde che rivela che l'e-mail è protetta con PGP. Le chiavi PGP sono disponibili accedendo al menu > impostazioni > Chiave PGP. Qui puoi accedere alla tua chiave PGP e chiedere di aggiornarla, puoi anche copiarla in chiavi preesistenti se le hai già.

Chiavi PGP in scrypt mail

Gli alias sono disponibili solo se paghi per il servizio, lo stesso vale per i domini personalizzati. Tuttavia, avere la possibilità di eseguire l'aggiornamento a queste funzionalità è utile per chiunque ami particolarmente usare ScryptMail. Nel complesso abbiamo trovato questo un client di posta elettronica facile da usare, purché tu sia abbastanza esperto di tecnologia e non ti dispiaccia scavare nel client per capire da solo.

Servizio Clienti

Chiunque desideri aiuto ha la possibilità di leggere la sezione Blog e FAQ del suo sito Web. Tuttavia, mentre le guide sono informative, ad esempio è difficile trovare tutorial utili sull'impostazione della crittografia PGP o sull'invio di e-mail crittografate PGP. Inoltre, il contenuto soffre di non essere stato scritto da un madrelingua inglese.

Abbiamo inviato un'e-mail di supporto per alcune informazioni su questo e alcune altre cose. Tuttavia, non abbiamo ricevuto alcun biglietto per farci sapere che l'e-mail era stata ricevuta. Inoltre, nessuna risposta è mai arrivata (abbiamo aspettato tre giorni al momento della stesura).

Per questo motivo, a chiunque sia alle prime armi nell'uso di client di posta elettronica sicuri viene consigliato di cercare altrove se avranno bisogno di aiuto nell'installazione o nell'uso del servizio. Sembrerebbe che SyncMail sia completamente senza pilota.

Conclusione ScryptMail

Nel complesso, abbiamo trovato questo account e-mail abbastanza facile da usare, in particolare per chiunque abbia esperienza nell'uso di PGP e provider di posta elettronica crittografati. La mancanza di IMAP e POP è sicuramente uno svantaggio che scoraggerà molti consumatori e l'incapacità di importare contatti tramite CSV è estremamente fastidiosa.

Gratuitamente questo account di posta elettronica verrebbe probabilmente raccomandato se non fosse per il canarino di garanzia scaduto e per le preoccupazioni relative al fatto che sembra essere stato abbandonato dal suo sviluppatore. Il rapporto sulla trasparenza e la politica sulla privacy sollevano anche preoccupazioni così come la sua base negli Stati Uniti (che temiamo sia stata compromessa dalle autorità).

Nel complesso, non ci sentiamo a nostro agio a raccomandare questo servizio a causa dei suoi problemi di privacy e, per questo motivo, consigliamo generalmente di cercare altrove.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me