ScryptMail-Überprüfung

ScryptMail

ScryptMail wird eingestellt. Am 31. Januar 2020 wird der E-Mail-Dienst geschlossen und alle Datenbanken werden am 31. März 2020 gelöscht.

Die gute Nachricht ist, dass es viele Alternativen zu ScryptMail gibt. In unserem Artikel zu den besten sicheren E-Mail-Diensten finden Sie eine Liste mit Alternativen.

ScryptMail ist ein E-Mail-Anbieter, der von Sergei Krutov, einem Datenschutzberater in Spokane, Washington, entwickelt wurde. Die Firma behauptet, starke E-Mail-Sicherheit zu bieten, die Verschlüsselung im Ruhezustand und verschlüsselte Metadaten umfasst (eine Behauptung, die wir später in Frage stellen werden). Dieser kleine unabhängige Dienst klingt interessant, also dachten wir, wir würden ihn auf Herz und Nieren prüfen.

ProPrivacy.com Ergebnis
5 aus 10

Zusammenfassung

In den USA ansässig zu sein ist besorgniserregend, da in den USA die NSA, die CIA, Gag Orders und Warrants beheimatet sind. Ein US-Stützpunkt ist immer ein guter Grund, sich von Diensten fernzuhalten, die angeblich Privatsphäre bieten, da es schwierig ist zu überprüfen, ob sie wirklich die Privatsphäre und Sicherheit bieten, die sie beanspruchen (und selbst wenn sie dies vorhaben - könnten sie gezwungen werden, anzufangen) jederzeit heimlich nach Benutzern schnüffeln).

Während der Code für den Dienst auf Github platziert wurde, fehlt ihm die Dokumentation und es enthält keine Lizenzdatei. Somit ist es wahrheitsgemäß nicht vollständig Open Source. Trotzdem ist es besser, den Code auf Github abzulegen, als ihn unter Verschluss zu halten. Auf der anderen Seite scheint es keine Prüfungen durch Dritte gegeben zu haben.

Auf den ersten Blick scheint der ScryptMail-E-Mail-Anbieter viele starke Funktionen zu haben. In unserer Scryptmail-Überprüfung werfen wir einen detaillierten Blick auf einige der Behauptungen - um festzustellen, ob es sich lohnt, Ihre Zeit und Ihr Geld auszugeben.

Was kostet ScryptMail??

ScryptMail ist ein kostengünstiger E-Mail-Dienst, der kostenlos genutzt werden kann. Kostenlos erhalten Benutzer Zugriff auf 300 MB E-Mail-Speicher. Benutzer können sich dafür entscheiden, ihr Konto entweder mit PayPal oder Bitcoin mit Guthaben aufzuladen.

Sobald das Guthaben auf dem Konto gutgeschrieben wurde, kann der Benutzer einzelne Upgrades wie benutzerdefinierte Domänen, Aliase, stärkere PGP-Schlüsselverschlüsselung und verschiedene andere Funktionen auswählen.

Diese werden individuell berechnet und sind recht günstig. Wenn man bedenkt, dass es möglich ist, sichere E-Mail-Anbieter mit vollem Funktionsumfang für nur 1 Euro pro Monat (z. B. Tutanota oder Posteo) zu erhalten, die für diesen Service bezahlen, wird dies einen Tick kostenintensiv, wenn Sie zahlreiche Funktionen nutzen.

ScryptMail-Funktionen

  • Kostenloses E-Mail-Konto verfügbar
  • In PGP-Verschlüsselung gebacken
  • PIN-verschlüsselte E-Mails
  • Verschlüsselung im Ruhezustand
  • Spam-Ordner
  • Kontakte
  • Aliase (nur bezahlt)
  • Benutzerdefinierte Domains (nur bezahlt)
  • Zwei-Faktor-Authentifizierung
  • E-Mail-Filterung
  • Blacklist-Funktion

Privatsphäre

In den USA ansässig zu sein, wird in Bezug auf die Privatsphäre immer als Problem angesehen. In den USA ansässige Unternehmen können Haftbefehle und Knebelbefehle erhalten, die sie dazu zwingen, im Auftrag der Regierung gegen ihre Nutzer vorzugehen. Wenn die Firma gegen einen Knebelbefehl verstößt (was sie dazu zwingt, diese Überwachung geheim zu halten), könnten die Angestellten der Firma strafrechtlich verfolgt werden und eine Haftstrafe drohen.

Ein Spiegel des Webmail-Dienstes von ScryptMail ist im Deep Web über Tor verfügbar. Das ist großartig für Leute, die sich anonym anmelden und auf ihre E-Mails zugreifen möchten. Für Leute, die nicht bereit sind, in den Unterbauch des Internets zu springen, steht in Ihrem Browser ein Webmail-Client über das Internet zur Verfügung, der dem vieler anderer E-Mail-Clients ähnelt.

Aus den Datenschutzbestimmungen geht hervor, dass die Firma einige Verbindungsprotokolle speichert: Letzter Anmeldezeitpunkt, IP-Adresse, Benutzeragent und API-Aufruf. Verwirrenderweise lautet die Richtlinie dann jedoch: „Wir haben keine Möglichkeit, eine IP einem bestimmten Benutzerkonto zuzuordnen.“ Dies scheint ein direkter Widerspruch zu sein.

Zusätzlich zu diesem Problem verfügt ScryptMail über einen Warrant Canary- und Transparenzbericht, der seit einiger Zeit nicht aktualisiert wurde. Ein veralteter Warrant Canary, der seit 2016 unberührt ist, scheint zu belegen, dass dem Unternehmen ein Warrant zugestellt wurde. Dies allein ist Grund genug, sich vom Service fernzuhalten. Der Transparenzbericht lautet:

  • Wir hatten 8 Anfragen von Strafverfolgungsbehörden, um für bestimmte Benutzer für die bestimmte Zeit auf die Protokolldatei zuzugreifen
  • 8 Anfragen nach Zugriffszeit und IP wurden bewilligt

Die gute Nachricht (wenn Sie es so nennen können) ist, dass aus dem Transparenzbericht hervorgeht, dass das Unternehmen tatsächlich Verbindungsprotokolle einschließlich der IP-Adressen der Benutzer sammelt. Daher bleibt uns keine andere Wahl, als die Verbraucher von der Verwendung dieses VPNs abzubringen.

Sicherheit

Die gesamte Kommunikation mit den Servern von ScryptMail erfolgt über TLS / SSL (HTTPS). Das Unternehmen gibt an, HSTS zu implementieren, um Man in the Middle-Angriffe sowie das Anheften von Zertifikaten zu verhindern (um Identitätswechsel durch Angreifer zu verhindern). Von Qualys SSL Labs durchgeführte Tests haben jedoch ergeben, dass das Unternehmen nur für die Stärke seiner SSL-Implementierung ein B erhält (da die Zertifikatskette des Servers unvollständig ist). Dies ist ein schlechter Wert, der darauf hindeutet, dass das Unternehmen HSTS nicht implementiert.

In Bezug auf die Speicherung behauptet die Firma, dass alle E-Mail-Daten im Ruhezustand mit einer starken AES 256-Verschlüsselung verschlüsselt werden, und die Firma behauptet, Forward Secrecy sei für zusätzliche Sicherheit implementiert. Alles in allem scheint das Unternehmen E-Mails sicher zu behandeln. Es gibt jedoch einige Einschränkungen...

ScryptMail wurde von einem einzelnen Entwickler codiert, und seit seiner Veröffentlichung im Jahr 2014 hat der Entwickler es nur einmal im Januar 2015 aktualisiert. Dies läutet definitiv einige Alarmglocken und wie andere Leute auf Reddit und anderswo hingewiesen haben; Es ist kaum zu glauben, dass ein von nur einer Person entwickelter Dienst - der nie aktualisiert wird - tatsächlich gegen Hacker oder Eingriffe der Regierung geschützt ist.

In Bezug auf die Behauptung des Unternehmens, dass es alle Metadaten verschlüsselt, ist anzumerken, dass es zwar möglich ist, alle Metadaten im Ruhezustand zu verschlüsseln (so dass mindestens ScryptMail nicht auf diese Informationen zugreifen kann) - es ist nicht möglich, zu verbergen, wer eine gesendet hat E-Mail (und wann) von anderen E-Mail-Anbietern. Metadaten müssen in der Kopfzeile einer E-Mail enthalten sein, damit sie zugestellt werden können. Diese Daten werden angezeigt, wenn die E-Mail über das Internet gesendet wird. Auf diese Weise könnten Metadaten während des Transports massenweise (von Geheimdiensten oder einem MitM-Angriff) gesammelt werden.

Für diejenigen, die ihrem Konto eine Zwei-Faktor-Authentifizierung hinzufügen möchten, ist die Funktion in den Einstellungen verfügbar und kann so eingerichtet werden, dass sie entweder mit einem physischen Yubikey oder mit Google Authenticator funktioniert.

Benutzerfreundlichkeit

Das Einrichten eines ScryptMail-Kontos ist einfach und Sie müssen keine persönlichen Daten weitergeben, wenn Sie dies nicht möchten. Dies ist großartig, da wir E-Mail-Anbieter bevorzugen, die keine Telefonnummer oder vorherige E-Mail-Adresse zur Bestätigung anfordern.

ein Konto erstellen

Nachdem Sie Ihr Konto erstellt haben, werden Sie aufgefordert, das geheime Token für Ihr Konto herunterzuladen. Das geheime Token wird von ScryptMail als "ultimatives Tool für Ihr Konto" beschrieben, da es zum Zurücksetzen des Kennworts oder der geheimen Phrase verwendet werden kann, die zum Anmelden verwendet werden. Es ist jedoch zu beachten, dass es zusätzlich zum Token erforderlich ist um auch das Passwort oder die geheime Phrase zu haben (speichern Sie diese also nicht zusammen!)

Bildschirm mit dem erfolgreich erstellten Konto

Da der Zugriff auf Webmail gewährt wurde, haben wir uns entschlossen zu prüfen, wie einfach das Importieren von Kontakten ist. Leider konnten wir keine Möglichkeit finden, Kontakte mit einer CSV-Datei zu importieren, was bedeutet, dass Sie Kontakte manuell hinzufügen müssen - einzeln.

Als nächstes haben wir beschlossen, eine E-Mail mit Verschlüsselung zu versenden. Wir konnten die PIN-Verschlüsselungsmethode leicht finden (für die Sie das Kennwort außerhalb von ScryptMail auf eine private Weise mit dem Absender teilen müssen)..

PIN-Verschlüsselungsmethode in Scryptmail

Das Einrichten von Webmail zum Senden von PGP-verschlüsselten E-Mails ist jedoch nicht selbstverständlich. Schließlich konnten wir feststellen, dass Sie zum Senden von PGP-verschlüsselten E-Mails einen Kontakt für den Empfänger erstellen und dessen öffentlichen Schlüssel aus den Kontakten heraus hinzufügen müssen.

Menü

Anschließend können Sie eine E-Mail erstellen. Standardmäßig wird ein grünes Vorhängeschloss angezeigt, das angibt, dass die E-Mail mit PGP geschützt ist. Ihre PGP-Schlüssel sind verfügbar, indem Sie zu Menü navigieren > die Einstellungen > PGP-Schlüssel. Hier können Sie auf Ihren PGP-Schlüssel zugreifen und ihn aktualisieren. Sie können auch vorhandene Schlüssel kopieren, sofern Sie diese bereits haben.

PGP-Schlüssel in verschlüsselter Mail

Aliase sind nur verfügbar, wenn Sie für den Dienst bezahlen. Dies gilt auch für benutzerdefinierte Domains. Die Möglichkeit, auf diese Funktionen zu aktualisieren, ist jedoch praktisch für alle, die ScryptMail besonders gern verwenden. Insgesamt fanden wir, dass dies ein einfacher E-Mail-Client ist, solange Sie technisch versiert sind und nichts dagegen haben, sich mit dem Client zu befassen, um es selbst herauszufinden.

Kundendienst

Jeder, der Hilfe benötigt, hat die Möglichkeit, den Blog- und FAQ-Bereich seiner Website zu lesen. Die Anleitungen sind zwar informativ, es ist jedoch schwierig, hilfreiche Tutorials zum Einrichten der PGP-Verschlüsselung oder zum Senden von beispielsweise PGP-verschlüsselten E-Mails zu finden. Darüber hinaus hat der Inhalt das Problem, dass er nicht von einem englischen Muttersprachler verfasst wurde.

Wir haben den Support per E-Mail um einige Informationen zu diesem und ein paar anderen Dingen gebeten. Wir erhielten jedoch keine Eintrittskarte, um uns den Eingang der E-Mail mitzuteilen. Außerdem kam nie eine Antwort (wir hatten zum Zeitpunkt des Schreibens drei Tage gewartet)..

Aus diesem Grund wird jedem, der Anfänger in der Verwendung sicherer E-Mail-Clients ist, geraten, sich anderswo umzusehen, wenn er Hilfe bei der Einrichtung oder Verwendung des Dienstes benötigt. Es scheint, dass SyncMail völlig unbemannt ist.

Fazit von ScryptMail

Insgesamt empfanden wir dieses E-Mail-Konto als recht benutzerfreundlich, insbesondere für alle, die Erfahrung mit PGP und verschlüsselten E-Mail-Anbietern haben. Das Fehlen von IMAP und POP ist definitiv ein Nachteil, der viele Verbraucher abschreckt, und die Unfähigkeit, Kontakte über CSV zu importieren, ist äußerst ärgerlich.

Dieses E-Mail-Konto ist wahrscheinlich kostenlos und wird empfohlen, wenn es nicht für den veralteten Warrant Canary und Bedenken hinsichtlich der Tatsache, dass es anscheinend von seinem Entwickler aufgegeben wurde, gedacht ist. Der Transparenzbericht und die Datenschutzrichtlinie geben ebenso Anlass zur Sorge wie die US-amerikanische Basis (von der wir befürchten, dass sie von den Behörden kompromittiert wurde)..

Insgesamt fühlen wir uns nicht wohl, wenn wir diesen Service aufgrund von Datenschutzproblemen empfehlen. Aus diesem Grund empfehlen wir im Allgemeinen, sich anderswo umzusehen.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me