Recenzja ScryptMail

ScryptMail

ScryptMail przestaje działać. 31 stycznia 2020 r. Usługa e-mail zostanie zamknięta, a wszystkie bazy danych zostaną usunięte 31 marca 2020 r.

Dobra wiadomość jest taka, że ​​istnieje wiele alternatyw dla ScryptMail. Zapoznaj się z naszym najlepiej zabezpieczonym artykułem dotyczącym usług e-mail, aby uzyskać listę alternatyw.

ScryptMail to dostawca poczty e-mail opracowany przez Siergieja Krutowa, konsultanta ds. Ochrony danych z siedzibą w Spokane w stanie Waszyngton. Firma twierdzi, że zapewnia silne zabezpieczenia poczty e-mail, w tym szyfrowanie w spoczynku i zaszyfrowane metadane (roszczenie, które podważymy później). Ta niewielka niezależna usługa brzmi interesująco, więc pomyśleliśmy, że sprawdzimy ją.

ProPrivacy.com Wynik
5 z 10

streszczenie

Zamieszkiwanie w USA jest problemem, ponieważ USA są domem dla NSA, CIA, rozkazów gag i nakazów. Baza w USA jest zawsze dobrym powodem, aby trzymać się z dala od wszelkich usług, które twierdzą, że zapewniają prywatność, ponieważ trudno jest zweryfikować, czy naprawdę zapewniają one prywatność i bezpieczeństwo, o które twierdzą (a nawet jeśli zamierzają - mogą zostać zmuszone do uruchomienia szpiegowanie użytkowników w tajemnicy w dowolnym momencie).

Ponadto, mimo że kod usługi został umieszczony w Github, brakuje w nim dokumentacji i nie zawiera pliku licencji. Tak więc nie jest to całkowicie otwarte oprogramowanie. Mimo to umieszczenie kodu na Githubie jest lepsze niż ukrywanie go pod kluczem. Z drugiej strony wydaje się, że nie przeszedł żadnych audytów stron trzecich.

Na pierwszy rzut oka wydaje się, że dostawca poczty e-mail ScryptMail ma wiele silnych funkcji. W naszej recenzji scryptmail szczegółowo przyglądamy się niektórym z jego roszczeń - aby sprawdzić, czy warto poświęcić swój czas i pieniądze.

Ile kosztuje ScryptMail?

ScryptMail to tania usługa e-mail, z której można korzystać za darmo. Za darmo użytkownicy uzyskują dostęp do 300 Mb przestrzeni e-mail. Użytkownicy mogą zdecydować się na „uzupełnienie” swojego konta saldem za pomocą PayPal lub Bitcoin.

Po dodaniu pieniędzy do salda konta użytkownik może zdecydować się na indywidualne aktualizacje, takie jak domeny niestandardowe, aliasy, silniejsze szyfrowanie klucza PGP i różne inne funkcje.

Są one naliczane indywidualnie i są w rozsądnej cenie. Jednak biorąc pod uwagę, że możliwe jest uzyskanie w pełni funkcjonalnych bezpiecznych dostawców poczty e-mail za jedyne 1 euro miesięcznie (na przykład Tutanota lub Posteo), płacenie za tę usługę będzie kosztowne, jeśli zaczniesz korzystać z wielu funkcji.

Funkcje ScryptMail

  • Dostępne bezpłatne konto e-mail
  • Pieczone w szyfrowaniu PGP
  • E-maile szyfrowane PIN-em
  • Szyfrowanie w spoczynku
  • Folder spamu
  • Łączność
  • Aliasy (tylko płatne)
  • Domeny niestandardowe (tylko płatne)
  • Uwierzytelnianie dwuskładnikowe
  • Filtrowanie wiadomości e-mail
  • Funkcja czarnej listy

Prywatność

Osiedlenie się w USA jest zawsze uważane za problem, jeśli chodzi o prywatność. Firmom z siedzibą w USA można doręczać nakazy i rozkazy, które zmuszają je do szpiegowania użytkowników w imieniu rządu. Jeśli firma złamie rozkaz kneblowania (co zmusza ją do zachowania tajemnicy w ramach inwigilacji), pracownicy firmy mogą zostać oskarżeni i grozi im kara więzienia.

Lustro usługi poczty internetowej ScryptMail jest dostępne w głębokiej sieci za pośrednictwem Tora; co jest idealne dla osób, które chcą się zarejestrować i uzyskać dostęp do swoich e-maili anonimowo. Dla osób, które nie są gotowe wskoczyć w podbrzusze Internetu, klient poczty internetowej podobny do wielu innych klientów poczty e-mail jest dostępny w przeglądarce za pośrednictwem Internetu.

Polityka prywatności ujawnia, że ​​firma przechowuje niektóre dzienniki połączeń: czas ostatniego logowania, adres IP, agent użytkownika i połączenie API. Myląca jest jednak zasada: „Nie jesteśmy w stanie dopasować adresu IP do konkretnego konta użytkownika”. Wydaje się, że jest to bezpośrednia sprzeczność.

Oprócz tego problemu ScryptMail ma raport dotyczący kanarka i przejrzystości, który nie był aktualizowany od pewnego czasu. Nieaktualny Kanarek Warrant - który pozostaje nietknięty od 2016 r. - wydaje się ujawniać, że firma otrzymała nakaz. Samo to wystarczający powód, aby trzymać się z dala od usługi. Raport przejrzystości brzmi:

  • Otrzymaliśmy 8 wniosków od organów ścigania o dostęp do pliku dziennika dla określonego czasu dla niektórych użytkowników
  • Przyjęto 8 wniosków o czas dostępu i adres IP

Dobrą wiadomością (jeśli można to tak nazwać) jest to, że raport przejrzystości ujawnia, że ​​firma rzeczywiście gromadzi dzienniki połączeń, w tym adresy IP użytkowników. Dlatego nie pozostaje nam nic innego, jak tylko poważnie odwieść konsumentów od korzystania z tej sieci VPN.

Bezpieczeństwo

Cała komunikacja z serwerami ScryptMail odbywa się za pośrednictwem TLS / SSL (HTTPS), a firma twierdzi, że wdraża HSTS, aby zminimalizować ataki Man in the Middle, a także przypinanie certyfikatów (aby zapobiec podszywaniu się pod osoby atakujące). Jednak testy przeprowadzone przez Qualys SSL Labs ujawniają, że firma uzyskuje tylko B za siłę swojej implementacji SSL (ponieważ łańcuch certyfikatów serwera jest niekompletny). Jest to zły wynik, który sugeruje, że firma nie wdraża HSTS.

Jeśli chodzi o przechowywanie, firma twierdzi, że wszystkie dane e-mail są szyfrowane w spoczynku przy użyciu silnego szyfrowania AES 256, a firma twierdzi, że wprowadzono zachowanie poufności w celu zwiększenia bezpieczeństwa. Podsumowując, oznacza to, że firma wydaje się obsługiwać wiadomości e-mail w bezpieczny sposób. Istnieją jednak pewne zastrzeżenia...

ScryptMail został zakodowany przez jednego programistę, a ponieważ został wydany w 2014 roku, programista zaktualizował go tylko raz w styczniu 2015 roku. To zdecydowanie dzwoni kilka dzwonków alarmowych i podobnie jak inne osoby zwróciły uwagę na Reddit i gdzie indziej; trudno uwierzyć, że usługa opracowana przez jedną osobę - i która nigdy nie jest aktualizowana - jest w rzeczywistości zabezpieczona przed hakerami lub ingerencją rządu.

Jeśli chodzi o twierdzenie firmy, że szyfruje wszystkie metadane, warto zauważyć, że chociaż możliwe jest szyfrowanie wszystkich metadanych w spoczynku (aby przynajmniej ScryptMail nie mógł uzyskać dostępu do tych informacji) - nie można ukryć, kto wysłał e-mail (i kiedy) od innych dostawców poczty e-mail. Metadane muszą być zawarte w nagłówku wiadomości e-mail, aby zostały dostarczone, a dane te są ujawniane, gdy wiadomość e-mail jest wysyłana przez sieć. W ten sposób metadane mogą być gromadzone masowo (przez agencje wywiadowcze lub atak MitM) podczas transportu.

Dla tych, którzy wolą dodać uwierzytelnianie dwuskładnikowe do swojego konta, funkcja jest dostępna w ustawieniach i można ją skonfigurować do pracy z fizycznym Yubikey lub za pomocą Google Authenticator.

Łatwość użycia

Założenie konta ScryptMail jest łatwe i nie musisz przekazywać żadnych danych osobowych, jeśli nie chcesz. To świetnie, ponieważ wolimy dostawców poczty e-mail, którzy nie proszą o numer telefonu lub poprzedni adres e-mail do weryfikacji.

Utwórz konto

Po utworzeniu konta zostanie wyświetlony monit o pobranie tajnego tokena dla tego konta. Tajny token jest opisany przez ScryptMail jako „najlepsze narzędzie do twojego konta”, ponieważ można go użyć do zresetowania hasła lub tajnego wyrażenia używanego do logowania. Warto jednak zauważyć, że oprócz tokena konieczne jest mieć hasło lub tajne zdanie (pamiętaj, aby nie przechowywać ich razem!)

ekran pokazujący, że konto zostało pomyślnie utworzone

Po udzieleniu dostępu do poczty internetowej postanowiliśmy sprawdzić, jak łatwo można zaimportować kontakty. Niestety nie możemy znaleźć sposobu na zaimportowanie kontaktów za pomocą pliku CSV, co oznacza, że ​​będziesz musiał dodać kontakty ręcznie - jeden po drugim.

Następnie postanowiliśmy wysłać wiadomość e-mail z szyfrowaniem. Możemy łatwo znaleźć metodę szyfrowania PIN (która wymaga udostępnienia nadawcy hasła poza ScryptMail w jakiś prywatny sposób).

metoda szyfrowania PIN w scryptmail

Jednak skonfigurowanie poczty internetowej do wysyłania zaszyfrowanych wiadomości e-mail PGP wcale nie jest oczywiste. W końcu udało nam się ustalić, że aby wysłać zaszyfrowane wiadomości e-mail PGP, musisz utworzyć kontakt dla odbiorcy i dodać jego klucz publiczny z poziomu kontaktów.

menu kontaktów scryptmail

Następnie możesz utworzyć wiadomość e-mail, a domyślnie pojawi się zielona kłódka, która pokazuje, że wiadomość e-mail jest chroniona za pomocą PGP. Twoje klucze PGP są dostępne po przejściu do Menu > Ustawienia > Klucz PGP. Tutaj możesz uzyskać dostęp do klucza PGP i poprosić o jego odświeżenie, możesz także skopiować istniejące klucze, jeśli już je posiadasz.

Klucze PGP w poczcie szyfrowanej

Aliasy są dostępne tylko wtedy, gdy płacisz za usługę, to samo dotyczy domen niestandardowych. Jednak opcja uaktualnienia do tych funkcji jest przydatna dla każdego, kto szczególnie lubi używać ScryptMail. Ogólnie rzecz biorąc, uważamy, że jest to łatwy w obsłudze klient poczty e-mail, pod warunkiem, że jesteś dość obeznany z technologią i nie masz nic przeciwko przekopywaniu się w kliencie, zastanawiając się sam.

Obsługa klienta

Każdy, kto potrzebuje pomocy, może przeczytać sekcję Blog i FAQ na swojej stronie internetowej. Jednak chociaż przewodniki mają charakter informacyjny, trudno znaleźć na przykład przydatne samouczki dotyczące konfigurowania szyfrowania PGP lub wysyłania zaszyfrowanych wiadomości e-mail PGP. Ponadto treść nie jest napisana przez native speakera angielskiego.

Wysłaliśmy e-mailem wsparcie na temat niektórych informacji na ten temat i kilku innych rzeczy. Nie otrzymaliśmy jednak biletu, który poinformowałby nas o otrzymaniu wiadomości e-mail. Co więcej, nigdy nie nadeszła odpowiedź (czekaliśmy trzy dni w momencie pisania).

Z tego powodu każdemu, kto jest początkujący w korzystaniu z bezpiecznych klientów e-mail, radzi się szukać gdzie indziej, jeśli będą potrzebować pomocy w konfiguracji lub korzystaniu z usługi. Wygląda na to, że SyncMail jest całkowicie bezzałogowy.

Wniosek ScryptMail

Ogólnie rzecz biorąc, uważamy, że to konto e-mail jest dość łatwe w użyciu, szczególnie dla każdego, kto ma doświadczenie w korzystaniu z PGP i dostawców szyfrowanych wiadomości e-mail. Brak IMAP i POP jest zdecydowanie wadą, która zniechęci wielu konsumentów, a niemożność importowania kontaktów przez CSV jest wyjątkowo denerwująca.

Za darmo to konto e-mail byłoby prawdopodobnie zalecane, gdyby nie przestarzały kanarek nakazu i obawy związane z faktem, że został opuszczony przez jego programistę. Raport na temat przejrzystości i polityka prywatności również budzą obawy, podobnie jak jego baza w Stanach Zjednoczonych (obawiamy się, że władze ucierpiały).

Ogólnie rzecz biorąc, nie czujemy się komfortowo polecając tę ​​usługę ze względu na jej problemy z prywatnością iz tego powodu zazwyczaj zalecamy poszukiwanie gdzie indziej.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me