ProtonMail-Überprüfung

ProtonMail

ProPrivacy.com Ergebnis
9.3 aus 10

Zusammenfassung

Als ich ProtonMail vor über einem Jahr zum ersten Mal durchgesehen habe, befand sich der Dienst noch in der Alpha-Entwicklungsphase. Schon damals hielt ich es für vielversprechend, solange die Grenzen vollständig verstanden wurden. Seitdem hat ProtonMail viele neue Funktionen eingeführt, darunter Premium-Konten, die Möglichkeit, verschlüsselte E-Mails an Nicht-ProtonMail-Benutzer und mobile Apps zu senden, und (was vielleicht am wichtigsten ist) ist vollständig Open Source geworden.

Viele Aspekte des Service haben sich jedoch nicht geändert. Statt das Rad neu zu erfinden, handelt es sich bei diesem Artikel um eine erweiterte und überarbeitete Version meiner ursprünglichen Rezension.

Schnelle Statistik

  • Land
    Schweiz

Was ist ProtonMail??

ProtonMail ist ein datenschutzorientierter Webmail-Dienst, der die Funktionalität und Benutzerfreundlichkeit von Diensten wie Google Mail bietet, aber sicher ist und die Kommunikation seiner Benutzer nicht ausspioniert, um sie zu peitschen oder sie an Google Mail zu übergeben NSA.

Es wurde von einem Team von Forschungsstudenten des MIT und von Harvard unter der Leitung des Harvard-Doktoranden und des CERN-Forschers Andy Yen entwickelt und anfangs von einer äußerst erfolgreichen IndieGoGo-Kampagne mit Crowdfunding-Mitteln finanziert.

Warteliste

Das Interesse an ProtonMail war groß und es gab Schwierigkeiten, neue Benutzer aufzunehmen, was zu einer Warteliste führte, bevor die Konten aktiviert wurden. Für dieses eher frustrierende Problem entscheiden sich viele stattdessen für das (ebenfalls sehr gute) Tutanota, für das es keine solche Warteliste gibt.

Glücklicherweise hat sich die Wartezeit von den 8 Monaten (!), Die ich vor über einem Jahr für den Empfang einer Einladung gebraucht habe, auf etwa 2 Wochen verringert (laut Berichten von Anekdoten). Dies kann jedoch ein Problem für die ungeduldigeren von Ihnen da draußen bleiben.

Update: Nur 2 Tage nach Veröffentlichung dieser Rezension hat ProtonMail sein Abonnement für alle geöffnet.

Preise und Pläne

Eine der wichtigsten Entwicklungen ist die Einführung von Prämienplänen. Die sehr nutzbare kostenlose Schicht ist noch vorhanden (und ProtonMail hat zugesagt, dass sie weiterhin bestehen wird), Premium-Pakete bieten jedoch einige sehr nützliche Funktionen wie benutzerdefinierte Domänen und Webadressen sowie mehr Speicherplatz und Nachrichten pro Tag.

Der ProtonMail Plus-Tarif beginnt bei 5 USD pro Monat (oder 4 USD pro Monat bei jährlicher Zahlung), kann jedoch weiter angepasst werden. Der ProtonMail Visionary-Plan beginnt bei 30 USD pro Monat und richtet sich eindeutig an Unternehmen.

ProtonMail-Preise 2

Benutzerdefinierte Domains - Wenn Sie einen eigenen Domain-Namen haben, können Sie diese verwenden, um verschlüsselte Nachrichten mit Ihrem ProtonMail-Konto zu senden und zu empfangen (z. B. unter [E-Mail-geschützt])..

ProtonMail-Adressen - Dies ist die Anzahl der @ protonmail.ch oder @ protonmail.com Adressen, die Sie haben können. ProtonMail plant, für diese in einer zukünftigen Version Sortierfunktionen hinzuzufügen.

Für jede neue benutzerdefinierte Domäne oder jeden neuen ProtonMail-Alias ​​werden neue Schlüssel generiert.

Für Gelegenheitsnutzer ist der kostenlose Service wahrscheinlich mehr als ausreichend, aber für Power-User sind die Premium-Extras eine willkommene Ergänzung und eine hervorragende Möglichkeit, den Service zu finanzieren (denken Sie daran, ProtonMail verdient kein Geld durch Werbung oder Verkauf Ihrer Daten an Werbekunden !).

Eigenschaften

  • End-to-End-verschlüsselte E-Mails
  • Kann verschlüsselte E-Mails an Nicht-ProtonMail-Benutzer senden
  • Selbstzerstörende E-Mails
  • Verbesserte Weboberfläche mit Drag & Drop-Nachrichten, Kontaktmanager, Authentifizierungsprotokollen und mehr
  • Apps für Android und iOS
  • Sitz in der Schweiz (dazu später mehr)
  • Vollständig Open Source
  • Export öffentlicher Schlüssel (zum Senden an andere PGP-Benutzer und zum manuellen Überprüfen von Nachrichten)

Schweiz

Die Tatsache, dass ProtonMail von der Schweiz aus operiert, ist für viele Benutzer ein großer Gewinn, da sich die Schweiz außerhalb der US- und EU-Gerichtsbarkeit befindet und für sehr strenge Datenschutzgesetze bekannt ist. Überwachungsrichtlinien müssen durch die Gerichte eingeholt und Ziele ohne Würgegrenze mitgeteilt werden. Das technische Abhören der elektronischen Kommunikation ist nur für ISPs und nicht für "bloße" Internetanwendungsanbieter (wie E-Mail-Dienste) usw. Gestattet.

Ob dieser Ruf jedoch durchaus berechtigt ist, ist nicht so eindeutig. So wird beispielsweise häufig behauptet, dass die Schweizer Behörden kein Interesse an einer Zusammenarbeit mit den USA und ihren Verbündeten haben, doch da US-Steuerhinterzieher 2013 ihr Vermögen auf Schweizer Bankkonten verwahren, ist dies nicht immer der Fall. Victor Vital, ein Prozessanwalt in Barnes & Thornburg, sagte Wired das,

"Die Menschen scheinen der Meinung zu sein, dass Datenschutzgesetze in Europa oder im Ausland Probleme bereiten oder ein Hindernis darstellen, aber das ist einfach nicht der Fall, da sich die Länder nach diesen Verträgen verpflichten, so weit und so weit wie möglich zusammenzuarbeiten."

Noch besorgniserregender ist, dass die Schweizer Regierung nach den Terroranschlägen in Paris im vergangenen Jahr auf die Einführung eines neuen Gesetzes zur Überwachung (Nachrichtendienstgesetzt (NDG), kurz BÜPF) drängt, das die Überwachungsbefugnisse des Staates erheblich ausweiten wird.

Dank des schweizerischen Demokratiesystems wird die NDG ausgesetzt, bis im Juni ein nationales Referendum abgehalten wird, und ProtonMail war dafür verantwortlich, die dafür erforderlichen 70.000 Unterschriften zu sammeln. Der BÜPF stehe "in der Frühjahrssitzung des Parlaments zur Abstimmung, kann jedoch überarbeitet oder verschoben werden".

Ich halte es daher für fair, zu sagen, dass die Situation sehr viel in der Luft liegt, obwohl ProtonMail behauptet, dass das NDG-Gesetz keine Auswirkungen darauf hat, selbst wenn es durch das Referendum verabschiedet wird.

Privatsphäre

ProtonMail-Konten sind durch zwei Kennwörter geschützt, von denen das erste zur Authentifizierung des Benutzers und zum Abrufen des richtigen Kontos verwendet wird (und von dem ProtonMail eine Kopie aufbewahrt). Das zweite wird nur vom Benutzer verwaltet und zum Entschlüsseln seines Postfachs verwendet . Als Micah Lee, ein Technologe bei der Intercept, der sich auf Datenschutz- und Kryptografienotizen konzentriert,

"Es ist wirklich schön, dass sie zwei Sätze von Passwörtern haben. Das Anmeldekennwort wird an den Server gesendet, und auf diese Weise beweisen Sie, dass Ihr Benutzername tatsächlich Ihnen gehört. Das zweite ist das Mailbox-Passwort, das niemals an den ProtonMail-Server gesendet wird. Das zweite Passwort läuft in Ihrem Browser und entschlüsselt dort Ihre Nachrichten. “

E-Mails werden verschlüsselt auf den ProtonMail-Servern gespeichert, sodass die ProtonMail-Mitarbeiter keinen Zugriff darauf haben. Diese Server verwenden selbst vollständig verschlüsselte Festplatten mit mehreren Kennwortebenen, sodass die Datensicherheit auch dann erhalten bleibt, wenn unsere Hardware beschlagnahmt wird.

Alle Nachrichten, die zwischen ProtonMail-Mitgliedern gesendet werden, sind verschlüsselt. Nachrichten an Nicht-ProtonMail-Mitglieder können auch verschlüsselt oder unverschlüsselt per normaler Klartext-E-Mail gesendet werden.

Laut ProtonMail werden keine Metadaten gespeichert und es werden nicht die IP-Adressen protokolliert, von denen die Benutzer eine Verbindung hergestellt haben (obwohl technisch nichts dagegen spricht). Wie ProtonMail auch betont, gibt es keine Möglichkeit, Nachrichten zu scannen, um zielgerichtete Werbung zu liefern, da diese verschlüsselt sind.

Update: Ein wichtiges Problem, das ich beim Schreiben dieser Bewertung übersehen habe (aufgrund der Tatsache, dass ich mein bestehendes ProtonMail-Konto verwendet habe), ist, dass ProtonMail jetzt bei der Registrierung für ein neues Konto eine Bestätigung durch den Benutzer (häufig per SMS) anfordert.

Dies ist in vielerlei Hinsicht eine durchaus verständliche (und möglicherweise notwendige) Vorsichtsmaßnahme, um zu verhindern, dass der Dienst von Spammern und Spambots missbraucht wird, untergräbt jedoch vollständig jegliche Vorstellung von Anonymität. Benutzer, die mit der Angabe einer E-Mail-Adresse oder Telefonnummer nicht zufrieden sind, können dies vermeiden, indem Sie ein Upgrade auf ein Premium-Konto durchführen (das anonym mit Bitcoins bezahlt werden kann)..

Technische Sicherheit

ProtonMail verwendet eine End-to-End-Verschlüsselung für verschlüsselte Nachrichten. Dabei werden „sichere Implementierungen“ der Open-Source-AES-, RSA- und OpenPGP-Bibliotheken verwendet (TLS 1.0-, AES-128-CBC-, DHE-RSA-Handshake- und SHA3-Hash-Authentifizierung)..

Dies ist in Ordnung, obwohl TL 1.0 etwas veraltet ist und die meisten Experten AES-256 für sicherer halten als AES-128 (dies ist jedoch umstritten, da AES-128 einen stärkeren Schlüsselzeitplan hat)..

verschlüsselte-geschützte-erklärung

Die SSL-Zertifikate werden jetzt von der QuoVadis Trustlink Schweiz AG signiert,

„Zu den erweiterten Funktionen unseres neuen Zertifikats gehören Extended Validation (EV), 4096-Bit-RSA, SHA-256-Hash und Certificate Transparency (CT). Zusammen mit QuoVadis werden wir weiterhin auf dem neuesten Stand der SSL-Zertifikatstechnologie bleiben, um den ProtonMail-Benutzern ein Höchstmaß an Sicherheit zu bieten. “

Ein großes Problem, das wir mit ProtonMail hatten, war, dass die Software nicht vollständig Open Source war, aber dies hat sich geändert, und es ist jetzt zu 100 Prozent Open Source. Im Gegensatz zu vielem Open-Source-Code wurde ProtonMail von einem Team bekannter und angesehener Kryptografen umfassend geprüft, die sich freiwillig (ohne Bezahlung) meldeten, um das Projekt zu überwachen und nach Hintertüren und anderen Unangenehmen Ausschau zu halten.

Soweit so gut, aber die Nachrichten sind nicht alle so rosig. Wie Yael Grauer von Wired erklärt,

„Eines der großen Probleme ist, dass nicht leicht zu erkennen ist, ob eine an einen anderen ProtonMail-Benutzer gesendete Nachricht mit dem richtigen öffentlichen Schlüssel des Empfängers verschlüsselt wird, der auf dem ProtonMail-Schlüsselserver gespeichert ist. Wenn Alice beispielsweise eine Nachricht an Bob sendet, die mit seinem öffentlichen Schlüssel verschlüsselt ist, ist es für andere schwerer, die Nachricht zu lesen. Da ProtonMail die Verschlüsselungsschlüssel jedoch an die Benutzer verteilt, kann es Alice zusätzlich zu Bobs eigene Schlüssel geben und die Nachrichten so verschlüsseln, dass sie abgehört werden können. “

Dies ist eine von Apple iMessage geteilte Schwäche, die jedoch in Apps wie Signal durch Überprüfen der öffentlichen Verschlüsselungsschlüssel behoben wurde.

Ein weiteres Problem ist, dass die gesamte Kryptografie in den Browsern der Benutzer mithilfe von JavaScript ausgeführt wird. Dies ist wichtig, damit die Verschlüsselung durchgängig durchgeführt werden kann (anstatt von ProtonMail ausgeführt zu werden, wobei ProtonMail die privaten Schlüssel enthält), aber die JavaScript-Kryptografie ist von Natur aus sehr unsicher.

Dies ist ein Problem, das Benutzer der mobilen Apps nicht betreffen sollte, solange sie daran denken, nur über die mobile App auf ihre ProtonMail-Konten zuzugreifen, da diese kein JavaScript für ihre Kryptografie verwenden.

Wenn Sie eine verschlüsselte E-Mail an Nichtbenutzer senden, werden der Inhalt der E-Mail und alle Anhänge verschlüsselt. In der Kopfzeile sind jedoch normale E-Mail-Metadaten enthalten, einschließlich der E-Mail-Adresse des Absenders, der Uhrzeit des Eingangs der E-Mail und des Betreffs (was natürlich sehr aussagekräftig sein kann)..

Das Wichtigste dabei ist, dass ProtonMail viel sicherer als "normale" Webmail-Dienste ist, einer umfassenden Überwachung widersteht (obwohl zu 100 Prozent sicher ist, dass die NSA und andere Sicherheitsdienste ProtonMail-Konten energisch überwachen) und ProtonMail nicht ausspioniert in Ihrer E-Mail, um Ihre Daten an Werbetreibende zu verkaufen.

Die Behauptung von ProtonMail, dass es "anonyme E - Mails" bereitstellt, sollte jedoch mit einer gesunden Prise Salz aufgenommen werden, und es sollte klar sein, dass die Verwendung dieses Dienstes bei weitem nicht so sicher ist wie die Verwendung eines eigenständigen E - Mail - Clients mit einem guten installierten PGP - Plugin (siehe unser Tutorial zur Verwendung von Gpg4win) oder sogar ein Browser mit einem Add-On wie Mailvelope.

ProtonMail im Einsatz

Anmelden

Für die Anmeldung müssen Sie zwei Kennwörter eingeben...

ProtonMail-Anmeldung 1

Ihr Kontopasswort, das ProtonMail bekannt ist…

ProtonMail-Anmeldung 2

… Und Ihr Mailbox-Passwort, das nur Sie selbst kennen sollten

ProtonMail wen Schnittstelle

Jeder, der mit Webmail-Diensten vertraut ist, wird sich bei ProtonMail sofort wie zu Hause fühlen. Die neue 2.0-Oberfläche sieht gut aus und funktioniert reibungslos

ProronMail E-Mail senden

An andere ProtonMail-Benutzer gesendete Nachrichten werden automatisch verschlüsselt, während an Nicht-ProtonMail-Benutzer gesendete Nachrichten optional verschlüsselt werden können. Solche Nachrichten verfallen in 28 Tagen oder früher, falls Sie dies wünschen

ProtonMail erhält eine sichere E-Mail

Der Empfänger erhält einen Link zur verschlüsselten Nachricht (ggf. mit Hinweis). Beachten Sie, dass diese Nachricht nach einer Stunde abläuft. Beachten Sie jedoch auch, dass keine Metadaten ausgeblendet sind

ProtonMail empfängt sichere E-Mails 2

… Und wenn sie das Passwort eingeben..

ProtonMail empfängt sichere E-Mails 3

... sie können die Nachricht lesen

ProtonMail läuft ab

Wenn eine Nachricht abgelaufen ist, wird der Link beendet

Mobiles ProtonMail-Web

Obwohl derzeit keine mobilen Apps verfügbar sind (noch in der Beta-Version), macht das responsive Website-Design von ProtonMail in einem mobilen Webbrowser eine gute Figur

Andere Plattformen

Update März 2016: Das Webinterface ist selbstverständlich auf allen Plattformen über Ihren regulären Browser verfügbar. ProtonMail hat jetzt auch Apps für Android und iOS veröffentlicht.

ProtonMail Android AppDie Android App sieht schick aus und funktioniert gut

E-Mail-Privacy-Tester-Ergebnisse

Ich habe ProtonMail mit dem von Mike Cardwell entwickelten Tool Email Privacy Tester getestet.

ProtonMail Testergebnisse

Dies sind die gleichen Ergebnisse, die ich vor fast einem Jahr erzielt habe und die nicht so gut waren wie die von Tutanota damals

Fazit

Ich mochte

  • Viel sicherer als normale E-Mails
  • E-Mails werden nicht zu Werbezwecken ausspioniert
  • Einfach zu bedienen und sieht gut aus
  • Vollständig Open Source
  • Kann verschlüsselte E-Mails an Nichtbenutzer senden
  • Selbstzerstörende E-Mails
  • Wirklich nützliche Premium-Optionen (einschließlich eigener Domains)

Da war ich mir nicht so sicher

  • Nicht annähernd so sicher wie "richtige" PGP-E-Mail
  • Die Vorteile einer Niederlassung in der Schweiz sind umstritten
  • Mobile Apps sind in Apple und Play Stores immer noch nicht verfügbar
  • SMS-Bestätigung bei der Registrierung (kann durch Upgrade auf ein Premium-Konto vermieden werden)

ich hasste

  • Falsche Darstellung des Dienstes als "anonym". Es ist nicht
  • Unspektakuläre E-Mail-Privacy-Tester-Ergebnisse
  • Die Verwendung von ProtonMail wird Aufmerksamkeit erregen (nicht seine Schuld an sich, aber es lohnt sich, darauf hinzuweisen)

Es wird oft behauptet, dass das veraltete E-Mail-System für die sichere Kommunikation völlig kaputt ist und ProtonMail dies nicht ändern wird. Darüber hinaus ist jedes Webmail-System, das die Verschlüsselung im Browser implementiert (unter Verwendung von JavaScript), wahrscheinlich ebenfalls grundsätzlich unsicher. Wie ProtonMail selbst auf seiner Threat Model-Seite bekannt gibt,

"NICHT EMPFOHLEN: Edward Snowden - Wenn Sie Edward Snowden oder der nächste Edward Snowden sind und eine Situation auf Leben und Tod haben, die Privatsphäre erfordert, würden wir die Verwendung von ProtonMail nicht empfehlen. In extrem sensiblen Situationen ist es einfach keine gute Idee, E-Mail als Kommunikationsmedium zu verwenden."

ProtonMail ist jedoch ein sehr einfach zu verwendender Webmail-Dienst (vergleichbar mit Gmail und ähnlichem), der viel sicherer ist als die meisten derartigen Webmail-Dienste und der Ihre gesamte Korrespondenz nicht ausspioniert (kann), um Werbung auszurichten (wie Google) , Microsoft, Apple, et al..

Während es unwahrscheinlich ist, dass es gegen gezielte NSA-Angriffe geschützt ist (und Benutzer wissen sollten, dass die NSA wahrscheinlich auf Benutzer des Dienstes abzielen wird), bietet ProtonMail für die meisten Zwecke (einschließlich Untersuchungen durch nationale Strafverfolgungsbehörden) ein hohes Maß an Datenschutz und mit Sitz in der Schweiz sollte es gegen viele rechtliche Formen von Angriffen resistent sein.

Im Hinblick auf die Benutzerfreundlichkeit hat ProtonMail von Anfang an eine Vielzahl von Funktionen hinzugefügt, die es zu einer sehr praktikablen Alternative zu herkömmlichen Webmail-Diensten machen, und der Umstieg auf Open Source ist sehr willkommen.

Kurz gesagt: Solange (erhebliche) Einschränkungen erkannt werden, kann die Verwendung von ProtonMail ein positiver Schritt zur Verbesserung Ihrer Privatsphäre und zur Abwehr einer umfassenden staatlichen Überwachung sein. Erwarten Sie nur nicht, dass es echte Anonymität bietet oder Sie schützt, wenn Sie etwas sehr Illegales tun.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me