ScryptMail评论

加密邮件

ScryptMail倒闭了。 2020年1月31日,电子邮件服务将关闭,并且它们将在2020年3月31日删除所有数据库。.

好消息是ScryptMail有很多替代品。请参阅我们最安全的电子邮件服务文章,以获取其他选择的列表.

ScryptMail是由位于华盛顿州斯波坎的数据保护顾问Sergei Krutov开发的电子邮件提供商。该公司声称将提供强大的电子邮件安全性,其中包括静态加密和加密的元数据(我们稍后会对此提出质疑的说法)。这项小型的独立服务听起来很有趣,因此我们认为我们将逐步解决它.

ProPrivacy.com 得分了
5 十分之十

摘要

总部设在美国是一个令人担忧的问题,因为美国拥有NSA,CIA,堵截令和认股权证。在美国的基地永远是远离任何声称提供隐私的服务的好理由,因为很难验证他们是否确实在提供他们声称的隐私和安全(即使他们打算这样做,也可能被迫启动)随时暗中监视用户).

此外,尽管该服务的代码已放置在Github上,但缺少文档,也不包含许可证文件。因此,它并不是真正地完全开源。尽管如此,将代码放在Github上比将其隐藏在锁和钥匙下更好。另一方面,它似乎没有经过任何第三方审核.

从表面上看,ScryptMail电子邮件提供商似乎具有许多强大的功能。在我们的scryptmail审查中,我们详细了解了它的一些声明-看看是否值得花费您的时间和金钱.

ScryptMail花费多少?

ScryptMail是一种低成本的电子邮件服务,可以免费使用。用户可以免费获得300 Mb的电子邮件存储空间。用户可以选择使用PayPal或比特币“补充”账户余额.

一旦将钱添加到他们的帐户余额中,用户就可以选择个别升级,例如自定义域,别名,更强大的PGP密钥加密以及各种其他功能.

这些都是单独收费的,并且价格合理。但是,考虑到有可能以每月1欧元(例如Tutanota或Posteo)的价格获得功能齐全的安全电子邮件提供商,因此,如果您开始使用众多功能,那么为此服务付费将是一笔昂贵的费用.

ScryptMail功能

  • 免费的电子邮件帐户可用
  • 嵌入PGP加密
  • PIN加密电子邮件
  • 静态加密
  • 垃圾邮件文件夹
  • 联络人
  • 别名(仅付费)
  • 自定义域(仅付费)
  • 两因素验证
  • 邮件过滤
  • 黑名单功能

隐私

在隐私方面,在美国居住通常被认为是一个问题。可以向总部位于美国的公司提供认股权证和禁令,迫使它们开始代表政府监视其用户。如果该公司违反了禁令(迫使其将监视保密),则该公司的员工可能会受到起诉并面临入狱时间.

可以通过Tor在深层网络上获得ScryptMail网络邮件服务的镜像。这对于想要匿名注册并匿名访问其电子邮件的人来说非常有用。对于尚未准备好进入互联网的人们,可以通过互联网在您的浏览器中使用类似于许多其他电子邮件客户端提供的网络邮件客户端.

隐私权政策表明该公司存储了一些连接日志:上次登录时间,IP地址,用户代理和API调用。然而,令人困惑的是,该策略显示为:“我们无法将IP与特定用户帐户进行匹配。”​​这似乎是直接矛盾。.

除此问题外,ScryptMail还具有一定时间未更新的凭单金丝雀和透明度报告。自2016年以来一直保持不变的过时认股权证金丝雀(Canary Canary)似乎表明该公司已获得认股权证。仅此一个原因就足以远离该服务。透明度报告显示:

  • 我们收到了执法机构的8项请求,要求他们在特定时间访问日志文件
  • 批准了8个访问时间和IP的请求

好消息(如果可以这样说)是,透明度报告显示该公司确实收集了包括用户IP地址的连接日志。因此,我们别无选择,只能严厉劝阻消费者使用此VPN.

安全

与ScryptMail服务器的所有通信都是通过TLS / SSL(HTTPS)进行的,该公司表示,它实施了HSTS来缓解中间人攻击以及证书锁定(以抵抗攻击者的假冒行为)。但是,Qualys SSL Labs进行的测试表明,该公司在SSL实施方面的实力仅得分为B(因为服务器的证书链不完整)。这是一个很差的分数,表明该公司实际上并未实施HSTS.

在存储方面,该公司声称所有电子邮件数据都使用强大的AES 256加密静态加密,并且该公司声称为提高安全性而实施了正向保密。总而言之,这意味着该公司似乎以安全的方式处理电子邮件。但是,有一些警告...

ScryptMail是由一个开发人员编写的,自2014年发布以来,开发人员仅在2015年1月对其进行过一次更新。这无疑敲响了警钟,就像其他人在Reddit和其他地方指出的那样;很难相信只有一个人开发的服务(而且永远不会更新)实际上可以抵御黑客或政府的入侵。.

关于该公司声称它可以加密所有元数据的说法,值得注意的是,尽管可以在静止状态下加密所有元数据(这样至少ScryptMail无法访问该信息)-无法隐藏谁发送了(以及何时)来自其他电子邮件提供商的电子邮件。必须将元数据包含在电子邮件的标题中才能将其传递,并且当通过网络发送电子邮件时,该数据将公开。因此,可以在传输过程中(由情报机构或MitM攻击)大规模收集元数据.

对于那些喜欢在其帐户中添加两因素身份验证的用户,此功能可从设置中获得,并且可以设置为与物理Yubikey或使用Google Authenticator一起使用.

使用方便

启动ScryptMail帐户很容易,如果您不愿意,则不需要交出任何个人数据。很好,因为我们希望电子邮件提供商不要求提供电话号码或以前的电子邮件地址进行验证.

创建一个帐户

创建帐户后,系统会提示您下载帐户的秘密令牌。秘密令牌被ScryptMail描述为“您帐户的最终工具”,因为它可以用于重置用于登录的密码或秘密短语。但是,值得注意的是,除了令牌之外,还必须也要具有密码或密码短语(因此请确保不要将它们存储在一起!)

屏幕显示成功创建帐户

授予对Webmail的访问权限后,我们决定检查导入联系人的难易程度。遗憾的是,我们找不到使用CSV文件导入联系人的方法,这意味着您将需要手动添加联系人-一对一.

接下来,我们决定通过加密方式发送电子邮件。我们可以轻松找到PIN加密方法(这要求您以某种私密方式与发件人共享ScryptMail之外的密码).

scryptmail中的密码加密方法

但是,设置网络邮件以发送PGP加密的电子邮件一点也不明显。最终,我们能够确定要发送PGP加密的电子邮件,您必须为收件人创建联系人并从联系人中添加其公钥.

scryptmail联系人菜单

然后,您可以创建一封电子邮件,默认情况下会出现一个绿色的挂锁,这表明该电子邮件已受到PGP保护。您可以通过导航至菜单来使用您的PGP密钥 > 设定值 > PGP密钥。在这里您可以访问您的PGP密钥并要求刷新它,也可以复制已有的密钥(如果已经拥有).

加密邮件中的PGP密钥

别名只有在您为服务付费时才可用,自定义域也是如此。但是,对于特别喜欢使用ScryptMail的任何人来说,可以选择升级到这些功能。总体而言,只要您精通技术,并且不介意在客户端中四处寻找自己的位置,我们就会发现这是一个易于使用的电子邮件客户端.

客户支持

任何需要帮助的人都可以阅读其网站的“博客和常见问题”部分。但是,尽管这些指南是有用的,但是很难找到任何有关设置PGP加密或发送PGP加密电子邮件的有用教程。此外,该内容确实遭受了不是由以英语为母语的人撰写的痛苦.

我们通过电子邮件发送了支持,以获取有关此内容以及其他一些信息的信息。但是,我们没有收到任何通知以告知我们已收到电子邮件。更重要的是,没有人答复(我们在撰写本文时已经等了三天).

因此,建议任何初学者使用安全的电子邮件客户端,如果他们在设置或使用该服务方面需要任何帮助,则建议他们到其他地方查看。似乎SyncMail完全无人值守.

ScryptMail结论

总体而言,我们发现此电子邮件帐户相当易于使用,特别是对于那些有使用PGP和加密电子邮件提供商经验的人而言。缺少IMAP和POP绝对是一个缺点,它将使许多消费者望而却步,并且无法通过CSV导入联系人非常烦人.

如果该电子邮件帐户不是用于过期的凭单金丝雀,并且可能涉及其开发者似乎已放弃的事实,则可能会免费推荐该电子邮件帐户。透明度报告和隐私权政策以及它在美国的据点也引起了人们的关注(我们担心当局会对此做出妥协).

总体而言,由于其隐私问题,我们不推荐使用此服务,因此,我们通常建议在其他地方查找.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me