ProtonMail — электронная почта с повышенной безопасностью и интерфейсом на русском языке. Почта с шифрованием протон майл

– новый E-mail сервис, который был разработан сотрудниками из CERN (Европейская организация по ядерным исследованиям). Примечателен этот сервис тем, что использует нестандартную для почтовиков систему шифрования.

Система использует 2 пароля, 1 – для аутоинтефикации, 2 – для дешифровки данных.

Письма на серверах ProtonMail хранятся в зашифрованном виде, а ключ к расшифровке находиться на стороне клиента. Поэтому, даже в случае взлома почты, злоумышленник не сможет получить конфиденциальную информацию.

Кроме того, компания Protonmail зарегистрирована в Швейцарии, сервера находятся там же. А Швейцария славиться тем, что ее федеральный закон защищает персональные данные как физических, так и юридических лиц на высшем уровне.

Особенно актуален этот почтовый сервис на фоне заявлений бывшего АНБшника – Сноудена, который поведал о том, что спец. службы США вторгаются в приватную жизнь людей, в том числе это касается почтовых переписок.

Для того, чтобы получить доступ к переписке в Protonmail, США или любой другой стране придется пройти долгую и дорогостоящую процедуру в Швейцарском федеральном Верховном суде. И даже после этого, переписка не будет доступна, так как ключ дешифровки расположен на стороне клиента.

На случай изъятия серверов, у почтовика есть своя структура защиты, состоящая из шифровки жестких дисков и нескольких слоев паролей, которые хранятся у людей, проживающих в разных странах и имеющих разное гражданство.

Кроме того, что новый почтовик защищает персональные данные, он еще и придерживается определенных правил по обеспечению анонимности пользователей. Сервис не сохраняет мета-данные об IP адресе пользователя, а так же о том, откуда, когда и сколько раз он заходил в свой почтовый клиент.

В Protonmail есть возможность устанавливать срок жизни письма, то есть, по истечению заданного периода письмо будет удалено из почтового ящика адресата.

Ввиду вышеперечисленного, Protonmail по праву претендует на звание одного из самых защищенных почтовых сервисов в мире.

Выбираем имя пользователя, указываем и пишем краткую информацию о себе.

Будем надеяться, в ближайшее время Protonmail откроет свободную регистрацию для всех пользователей.

Некоторые авторы в шутку называют этот сервис "почтой для параноиков". На деле ProtonMail может быть хорошим выбором для тех, кто находится в "зоне риска", у кого есть основания опасаться слежки и перехвата своей корреспонденции: гражданских активистов, независимых журналистов, политиков, экологов. Впрочем, и обычный пользователь, который хочет попробовать "что-нибудь более защищенное", может заинтересоваться ProtonMail.

Достоинства ProtonMail:

Сервис быстро и надежно шифрует почту между пользователями ProtonMail.
Предусмотрена возможность отправки зашифрованных писем пользователям других почтовых систем.
Можно указать срок жизни сообщения (по истечении которого письмо будет автоматически удалено).
Сотрудники ProtonMail не имеют доступ к содержанию ваших писем (сквозное шифрование).
При регистрации не нужно указывать свои реальные имя и фамилию.
Есть приложения для Android и iOS.
Открытый код.
Серверы ProtonMail находятся в Швейцарии, стране с довольно строгими гарантиями относительно персональных данных. Это должно вдохнуть энтуазиазм в пользователей, которых заботят вопросы юрисдикции.

К недостаткам ProtonMail можно отнести:

Отсутствие локализации (нет перевода на русский язык).
Отсутствие двухфакторной аутентификации.
Ограничения для бесплатного аккаунта (объем ящика 500 Мб, не более 150 сообщений в сутки).
Отсутствие возможности работы с офлайновыми почтовыми клиентами вроде Mozilla Thunderbird (ProtonMail создавался как веб-почта).
По умолчанию в бесплатном варианте к исходящим письмам добавляется строчка "Sent with ProtonMail Secure Email" (Отправлено с помощью безопасной почты ProtonMail), которую можно убрать, но всякий раз вручную.

Если вы чувствуете, что ProtonMail может стать вашим почтовым сервисом, попробуйте создать новый аккаунт.

Создание аккаунта ProtonMail

2. В горизонтальном меню нажмите кнопку "Sign Up".

3. Выбор типа аккаунта. Нажмите "Free" (Бесплатный).

Можно выбрать и домен имени (всё что справа от значка @). Для этого нажмите галочку справа и в выпадающем меню выберите желаемый домен.

Внизу нас предупреждают, что в случае утери пароля невозможно будет прочитать письма.

Т.е. пароль записываем и сохраняем его в надежном месте.

Под записью «Recovery email (optional)» (Адрес почты для восстановления) вписываем существующий у нас любой почтовый адрес, который потребуется если что-то случиться с паролем.

После заполнения всех полей жмём кнопку «Create account» (Создать аккаунт). Выскакивает окно капча.

Ставим галочку «Я не робот» и жмём на кнопку завершения регистрации.

Открывается интерфейс почты.

Нажимаем кнопку «Finish» и наша протон майл готова.

Как пользоваться

Написание письма.

Слева вверху нажимаем кнопку «Compose» (Написать письмо).

Справа появится форма в которую вписываем почтовый электронный адрес кому вы отправляете письмо, ниже тему и ниже пищите само тело письма. И справа внизу жмем кнопку отправки письма(Send).

Разработчиками которого являются сотрудники Церн. А в этой статье мы рассмотрим еще один проект этой команды.

Сегодня вы узнаете все касаемо защищенной почты ProtonMail. Вы узнаете чем она отличается от других почтовых сервисов и какие использует технологии защиты, насколько она анонимна, как зарегистрироваться и как пользоваться ProtonMail и еще многое другое, что вы должны о ней знать. Ну, что, погнали!

Защищенная почта ProtonMail

Предисловие
Возможности
Регистрация
Использование
ProtonMail в Tor
Вирус ProtonMail
Почта Протон в сериале Mr.Robot
Интервью одного из создателей
Заключение, оценка и отзывы ProtonMail

Проект работает с 2013 года. С 2013 по 2014 был в стадии тестирования. Создателями сервиса являются сотрудники ЦЕРН (Европейской организации по ядерным исследованиям) Энди Йен, Джейсон Стокман и Вэй Сун (понятно почему называется Протон почта). Офисы и сервера находятся в Швейцарии в Женеве.

Почта ProtonMail отличается от остальных почтовых сервисов возможностью шифрования письма прежде чем оно отправляется на сервер. Весь процесс шифрования / дешифрования происходит непосредственно в веб-браузере, и на сервере сервиса сохраняются только зашифрованные данные. Как утверждают авторы сервиса, даже в судебном порядке они не смогут расшифровать сообщения пользователя.

По умолчанию сервис использует один пароль для доступа, но есть возможность использовать два пароля, что улучшает безопасность почты. Почта Протон использует комбинацию из двух решений шифрования: криптографии с открытым ключом (RSA) и протокол симметричного шифрования (AES).

Первый для идентификации пользователя (Password).
Второй для расшифровки им хранящихся на сервере данных (Mailbox Password).

Первый пароль пользователя хранится на серверах ProtonMail (пользователь может его изменить в любое время), в то время как второй пароль известен только самому пользователю, это является причиной того, что сервис не дает возможность изменить или восстановить данный пароль.

Кроме этого почта Протон обеспечивает возможность установить дату истечения срока хранения писем, по истечению которого сообщения будут подвергнуты самоуничтожению.

Имеется как бесплатная, так и несколько платных версий с большим набором функциональности, но с одинаковым уровнем защиты. Хотелось бы заметить, что платность никак не влияет на уровень защиты, а только добавляет дополнительные функции.

Для пользователей бесплатной версии ProtonMail двухфакторная аутентификация отсутствует.

На данный момент интерфейс почтового сервиса переведен на: английский (основной), французский, итальянский, польский язык. Русского языка увы пока нет.

Обновлено 08.07.2017. Добавлен русский язык (за информацию спасибо подписчику Андрей Еремеев).

Шифрование в ProtonMail

Письма между пользователями почтового сервиса Протон шифруются автоматически. Электронное сообщение ПротонМейл, направленное адресату, использующему сервис других поставщиков, может быть зашифровано по желанию клиента или пересылаться в незашифрованном виде.

Протокол Transport Layer Security (TLS) используется для обеспечения безопасности и шифрования всех обменов между ProtonMail и пользователями других сервисов.

При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении , полученном адресатом, находится ссылка, которая направляет к серверу ПротонМейл. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение или ответить на него.

Основные возможности ProtonMail:

На самом деле в регистрации почты Протон нечего трудного нет, можно было бы даже не останавливаться на этом. Но все таки для тех кто не знает английский язык , я побыстрому расскажу.

Вирус ProtonMail

В некоторых случаях авторы программ-вымогателей для общения с жертвой используют почту Протон. Довольно часто попадается адрес Никакого отношения к разработчикам этот факт не имеет.

Заключение

Это один из немногих пока еще бесплатных защищенных почтовых сервисов. В плане защищенности он лучше чем большинство почтовых сервисов, а вот в плане анонимности не все так радужно. Использование JavaScript сводит всю анонимность к нулю. Что может не только деанонимизировать, но и в некоторых случаях привести к другим сценариям.

Еще один момент который мне не понравился - это подтверждение регистрации с помощью телефона или какой-нибудь другой почты. Конечно никто вас не заставляет использовать для подтверждения свою настоящую почту или светить ваш реальный номер, вы же можете воспользоваться или еще лучше каким-то левым ящиком на каком-нибудь VFEmail напирмер.

Что лучше ProtonMail или GPG/PGP?

Я бы по старинке использовал.

Стоит ли использовать ProtonMail?

Если вы не можете или не хотите самостоятельно настраивать PGP-шифрование, тогда - вполне. Почта Протон во многом надежнее обычных почтовых сервисов.

В каких случаях не стоит использовать почту Протон?

Я бы наверное не рекомендовал данный сервис исключительно тем, для кого почта это основной инструмент, и кто не нуждается в особенном уровне защиты почты. Потому что бесплатного аккаунта вам будет явно не хватать, а цены на платные услуги по нашим меркам совсем не демократичные.

Недостатки ProtonMail

Нет русского языка.
Использование JavaScript.
Нет открытого API.
Не поддерживает доступ через IMAP и POP (в плане безопасности - это плюс).
Невозможно экспортировать PGP-ключи.
Не лучшая организация писем (в Gmail удобнее).
Нет (в Gmail она есть).

Достоинства ProtonMail

Защищенная почта.
Бесплатная защищенная почта.
Открытый исходный код.
Передача защищенных паролем сообщений.
Сервис поддерживает работу с кириллицей.
Создание собственного домена (только в платной версии).
Почтовые клиенты для Android и iOS.

И напоследок. Друзья мои. Приватность в сети это ваше право. Мне не понятно почему обычные люди не считают зазорным запирать свои дома и квартиры. И ведь этот факт не вызывает у властей подозрений «если заперто - значит внутри творится что-то незаконное». А вот в сети - это страшных грех, «если на замок - значит вы маньяк, террорист и негодяй».

Все остальные материалы на тему анонимности и безопасности в сети вы можете найти самостоятельно используя форму поиска по сайту. А на сегодня все. Я вам желаю безопасности как в онлайне так и в оффлайне. Удачи, друзья!

Интервью разработчика почты Протон (английский). Включайте русские титры!

В предыдущей статье мы рассказывали про VPN-сервис ProtonVPN, разработчиками которого являются сотрудники Церн. А в этой статье мы рассмотрим еще один проект этой команды. Сегодня вы узнаете все касаемо защищенной почты ProtonMail. Вы узнаете чем она отличается от других почтовых сервисов и какие использует технологии защиты, насколько она анонимна, как зарегистрироваться и как пользоваться ProtonMail и еще многое другое, что вы должны о ней знать. Ну, что, погнали! Защищенная почта ProtonMail Содержание Предисловие Возможности Регистрация Использование ProtonMail в Tor Вирус ProtonMail Почта Протон в сериале Mr.Robot Интервью одного из создателей Заключение, оценка и отзывы ProtonMail Проект работает с 2013 года.…

Защищенная почта ProtonMail

Предисловие
Возможности
Регистрация
Использование
ProtonMail в Tor
Вирус ProtonMail
Почта Протон в сериале Mr.Robot
Интервью одного из создателей
Заключение, оценка и отзывы ProtonMail

Первый для идентификации пользователя (Password).
Второй для расшифровки им хранящихся на сервере данных (Mailbox Password).

Для пользователей бесплатной версии ProtonMail двухфакторная аутентификация отсутствует.

Обновлено 08.07.2017. Добавлен русский язык (за информацию спасибо подписчику Андрей Еремеев).

Шифрование в ProtonMail

При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении, полученном адресатом, находится ссылка, которая направляет к серверу ПротонМейл. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение или ответить на него.

Основные возможности ProtonMail:

Функциональность создана на JavaScript. Открытого API нет.
Сервис успешно работает с кириллицей.
В сервисе реализована возможность создания собственного домена (только для платных аккаунтов)
Вложения в электронное письмо шифруются вместе с текстом письма.
Клиентские приложения для мобильных устройств: Android и iOS.

Вирус ProtonMail

Заключение

Еще один момент который мне не понравился — это подтверждение регистрации с помощью телефона или какой-нибудь другой почты. Конечно никто вас не заставляет использовать для подтверждения свою настоящую почту или светить ваш реальный номер, вы же можете воспользоваться или еще лучше каким-то левым ящиком на каком-нибудь VFEmail напирмер.

Что лучше ProtonMail или GPG/PGP?

Я бы по старинке использовал .

Стоит ли использовать ProtonMail?

Если вы не можете или не хотите самостоятельно настраивать PGP-шифрование, тогда — вполне. Почта Протон во многом надежнее обычных почтовых сервисов.

В каких случаях не стоит использовать почту Протон?

Недостатки ProtonMail

Нет русского языка.
Использование JavaScript.
Нет открытого API.
Не поддерживает доступ через IMAP и POP (в плане безопасности — это плюс).
Невозможно экспортировать PGP-ключи.
Не лучшая организация писем (в Gmail удобнее).
Нет (в Gmail она есть).

Достоинства ProtonMail

Защищенная почта.
Бесплатная защищенная почта.
Открытый исходный код.
Передача защищенных паролем сообщений.
Сервис поддерживает работу с кириллицей.
Создание собственного домена (только в платной версии).
Почтовые клиенты для Android и iOS.

И напоследок. Друзья мои. Приватность в сети это ваше право. Мне не понятно почему обычные люди не считают зазорным запирать свои дома и квартиры. И ведь этот факт не вызывает у властей подозрений «если заперто — значит внутри творится что-то незаконное». А вот в сети — это страшных грех, «если на замок — значит вы маньяк, террорист и негодяй».

Интервью разработчика почты Протон (английский). Включайте русские титры!

Оценка анонимной почты ProtonMail

Наша оценка

ProtonMail - защищенная почта. В чем-то лучше чем обычная, а в чем то хуже. В целом по поводу защищенности парни из Церн выглядят довольно убедительно.

Оценка пользователей: 4.04 (25 оценок)

Здравствуйте, уважаемые читатели блога сайт. Что еще можно придумать , что могло бы перетянуть на себя часть пользователей из таких гигантов как или ? Нужно какое-то УТП (уникальное предложение), которое будет востребовано в массах.

А ведь кроме почтовиков-гигантов есть еще пяток-другой менее крупных игроков, которые подъедают все оставшиеся крошки со стола (пользователей). Нужно что-то такое «убойное», чего нет у лидеров рынка и, скорее всего, не будет.

Так вот, хочу сегодня рассмотреть онлайн-сервис, который предлагает свое уникальное предложение — шифрование переписки . Если вы не хотите, чтобы вашу переписку читали посторонние (владельцы сервиса, хакеры), то шифрованная электронная почта поможет решить эту проблему.

Шифрование сейчас очень популярно. Например, большинство сайтов работают по шифрованному протоколу Https, что обеспечивает безопасность передачи данных на них. , да и безопасность в мире интернета немыслима. Эта тема в тренде и пришло время посмотреть на шифрованную эл. почту .

История и особенности работы с почтой в Протон Майл

Придумали сервис ProtonMail в Швейцарии. Над разработкой и созданием трудились ученые, занимающиеся изучением ядра атомов и большого адронного коллайдера. Видимо, поэтому в название сервиса появилось слово Протон.

Принципиальное отличие данной программы от других почтовых сервисов заключается в возможности предварительного шифрования письма и его вложений перед отправкой.

Письма и их вложения будут шифроваться автоматически, если вы отправляете сообщение адресату на ящик, расположенный тоже на Протоне. Если у него ящик другого сервиса, то шифрование включается опционально по вашему желанию.

Вся шифровка и последующая дешифровка сообщений происходит непосредственно в веб-браузере пользователя, а на сервере сервиса хранятся только зашифрованные послания. То есть сами владельцы сервиса доступа к вашей переписке не получат при всем желании.

Википедия утверждает, что создатели полностью гарантируют безопасность переписки и уважение частной жизни (например, Гмайл обвиняли как-то в том, что он читает письма, чтобы показывать релевантную рекламу).

Изначально почта Протон предлагает один пароль для доступа в программу, но возможна двойная защита паролем , что существенно увеличивает гарантию безопасности доступа. Сервис ProtonMail предлагает использовать двойную комбинацию для шифровки сообщений:

Протокол симметричного шифрования — служит для расшифровки данных хранимых на сервере.
Криптография с открытым ключом — идентификация пользователя (Password).

Первый пароль знает только сам создатель почты, второй пароль хранится на серверах щвейцарского сервиса и может быть заменен в любой момент. В купе ко всему, Протонмайл позволяет сделать так, чтобы по истечении определенного срока все письма, хранящиеся на сервере, могли автоматически самоуничтожались (аналог удаления архива или корзины).

Предлагается несколько тарифов использования сервиса ProtonMail (во всех версиях интерфейс полностью переведен на русский язык ).

Тарифы отличаются друг от друга стоимостью и своими функциональными возможностями, но при этом уровень защиты и шифрования у всех версий одинаковый.

Хотя, можно не платить и использовать бесплатную версию , правда, с довольно малыми ресурсами по сравнения с конкурентами (ну, что такое полгига для хранения?).

Но нужно понимать, что главная фишка тут — это безопасность и шифрование. Поэтому за большее придется платить, хотя это дико звучит — платить за почту (нонсенс какой-то).

Тем не менее предлагаю продолжить и посмотреть как можно легко зарегистрироваться и войти в сервис шифрованной электронной почты Протон.

Регистрация и вход в ProtonMail

Для начала зайдем на официальный сайт сервиса — https://protonmail.com . Открывается англоязычная версия, но в правом верхнем углу экрана из выпадающего списка можно выбрать русский язык.

Там же вверху экрана находим и нажимаем кнопку «зарегистрироваться»:

В результате откроется окно, в котором предлагают выбрать варианты учетной записи Протон майл . Есть три варианта платных версий с различной оплатой за год (от 4 до 24 евро) и одна бесплатная версия.

В бесплатную учетную запись входит 500 мегабайт представленного хранилища и 150 отправленных и полученных писем. В принципе такой вариант мне полностью подходит.

Выбираю бесплатную версию encrypted сервиса:

Теперь нам предстоит создать учетную запись пользователя:

Сначала выбираем еще не занятое имя пользователя, если все хорошо, и выбранное имя ни кем еще не занято, то окошко станет зеленого цвета, далее придумываем и вписываем пароль в предложенных окнах.

Пароль надо сделать достаточно сложным , чтобы он полностью соответствовал поставленной задаче сохранения тайны переписки. Предлагаю использовать для входа в протон майл минимум 10-12 букв и цифр, с переключениями регистров.

Если вы склонны доверять создателям сервиса, то можете указать какую-нибудь электронную почту для восстановления пароля. Я лично поверил швейцарским атомщикам в «secure» и указал свой личный е-мейл. В завершении регистрации «кликаем» на «создать учетную запись» пользователя:

Сейчас нужно ввести подтверждение. Предлагают несколько вариаций подтверждений, что вы не являетесь роботом. Я выбрал первое окно с подтверждением через е-мейл:

Через пару минут в электронку приходит код, копируем его и вставляем в окно подтверждения. Нажимаем «Завершить настройку» Вот и все регистрация в protonmail com успешно завершена.

Как работать с почтой

После завершения регистрации вы автоматически совершите вход в свой аккаунт. Визуально главная страница Протон-почты слегка похожа на почту Gmail.

*при клике по картинке она откроется в полный размер в новом окне

Интерфейс понятен, все основные функции легко найти на главной странице. И главное, он практически полностью и практически идеально переведен на русский язык, что для меня является очень критичным.

Справа будет указано какое количество мегабайт уже использовано и сколько еще осталось в запасе (напомню, что на бесплатном тарифе дается всего полгига), а внизу при первом входе вас будет приветствовать мастер, который захочет показать основной функционал данного почтового сервиса.

Разобраться как написать письмо , как его отправить и получить можно интуитивно и без особых трудностей. Жмете на кнопку «Новое письмо» и все. Хотя нет, не все.

Это же ведь безопасная почта, а значит сообщение можно будет зашифровать (придумать для него пароль и подсказку пароля), а также при необходимости можно установить таймер, который уничтожит доступ к письму через нужное время после его отправки. О, как!

Зашифровать письмо можно нажав на иконку замочка в левом нижнем углу окна написания. Как я уже упоминал, нужно будет указать пароль и подсказку к нему (типа «номер твоего авто» или тому подобное).

Ну, и таймер истечения срока действия письма можно установить при желании с помощью пиктограммки песочных часов:

После чего сообщение самым обычным образом отправляете адресату. Ему на его обычный почтовый ящик придет приглашение прочитать ваше сообщение на сервере Протон Майл:

Если все ОК, то сообщение будет ему доступно ровно столько, сколько вы задали в таймере при его отправке.

С помощью настроек интерфейса (одноименная кнопка из верхнего меню) можно самостоятельно улучшить функционал почты. Сами покопайтесь. Все действительно интуитивно понятно.

Резюмируем

Про шифрование повторяться не буду, ибо это УТП (уникальное торговое предложение) данного сервиса и именно это привлекает в него новых пользователей.

Плюсы :

Можно создать бесплатную защищенную почту на базе сервиса достаточно легко и быстро. Никаких особых сложностей при регистрации и при входе на protonmail.com не возникает. Интерфейс главной страницы интуитивно понятен и прост. Все приложения для почты доступны на главной странице.
Существуют мобильные версии ПротонМайл, которые можно скачать с официального сайта разработчиков (для Андроида и для Айфона).
Почтовый сервис не требует никакой личной информации при регистрации учетной страницы, а айпи-адрес, который мы применили для учетной записи, не сохраняется, поэтому мы можем настроить анонимный адрес для любых целей и различных задач.

Минусы следующие:

Абсолютную анонимность, к сожалению, сервис мне не предоставил, так как пришлось для подтверждения регистрации указывать свою действующую и рабочую электронную почту, а альтернатива с использованием мобильного телефона и смс сообщений тоже не приведет к полной анонимности. Хотя, с другой стороны, кто мне мешал создать почтовый ящик на любом сервере именно для этой цели.
Относительно небольшой объем хранимой корреспонденции в 500 мегабайт. Поэтому если вы планируете использовать почту активно и часто, то все же лучше выбрать платный вариант версии Протон, к тому же при платном сервисе возможно создание собственного домена.
Википедия сообщила, что один программист по фамилии Кардвелл смог найти изъян в системе сервиса и получил открытый доступ к странице пользователя. Разработчики оперативно устранили эту брешь, но .

Удачи вам! До скорых встреч на страницах блога сайт

посмотреть еще ролики можно перейдя на

");">

Вам может быть интересно

Емайл почта - регистрация, выбор Эмейл-адреса, как войти в свой ящик и как просмотреть входящие письма на вашей странице Электронная почта - где можно ее создать, как зарегистрировать почтовый ящик и выбрать лучший из бесплатных Email сервисов Яндекс Аккаунт - регистрация и как пользоваться сервисом Апометр - бесплатный сервис по отслеживанию изменений выдачи и апдейтов поисковых систем

Сервис использует асимметричное шифрование (систему шифрования с использованием открытых ключей), реализованную на стороне веб-браузера пользователя на JavaScript.

На Wikipedia есть , но, к сожалению, довольно тяжело читается для обычного пользователя без специальных технических знаний.

Безопасность

Про безопасность подобных решений на стороне пользователя, когда программный код выдается сервисом при каждом обращении, в интернете можно найти массу обсуждений и статей. Например, статья на английском http://matasano.com/articles/javascript-cryptography/ от Matasano security.

Краткое резюме всех дискуссий и доступных материалов заключается в том, что в любой момент сервис может отдать измененный программный код (например, по запросу правоохранительных органов), который отправит им почтовый пароль пользователя.

Команда ProtonMail подчеркивает, что они находятся в Швейцарии, где, как они пишут, законодательно их не могу обязать установить backdoor. Полный текст их объяснения доступен по адресу https://protonmail.ch/blog/switzerland/ . Но это “в теории”, а “на практике” пока нет широко известных публичных прецедентов.

В любом случае возможность изменить программный код в любой момент со стороны сервиса является очень серьезным недостатком, так как эти изменения могут быть нацелены на конкретных пользователей. В случае, когда криптография реализована в программном продукте или вообще на уровне операционной системы, то подобные обновления, нацеленные на конкретных пользователей намного менее вероятны и намного тяжелее в реализации. Хотя, как известно, нет 100% безопасных решений, но надо стремиться к максимально возможному необходимому в данной ситуации уровню безопасности.

Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. В случае с ProtonMail, как и любой другой веб-почтой, можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать расшифрованное содержимое сообщений.

ProtonMail в защите от XSS-атак полагается на библиотеку js-xss . Но помимо фильтрации содержимого письма есть еще и служебные почтовые заголовки, которые можно аналогично сформировать специальным образом при отправлении писем со сторонних сервисов пользователю ProtonMail. А возможность получать письмо со сторонних сервисов есть у всех аккаунтов ProtonMail и запретить ее в настройках аккаунта нельзя.

В начале июня была найдена уязвимость у сервиса ProtonMail, позволяющая исполнить произвольный JavaScript код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.

Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на ycombinator.com . ProtonMail разместил его имя в списке благодарностей на своем сайте - https://protonmail.ch/blog/protonmail-security-contributors/ , что подтверждает данный факт.

Сейчас данная проблема в безопасности ProtonMail уже исправлена, но сколько еще таких возможностей для хакеров таит в себе реализация криптографии на стороне браузера на JavaScript?

Подобные проекты

Mailpile - проект с открытым исходным кодом, активно развивается, является почтовым веб-клиентом (аналогично ProtonMail работает в веб-браузере на JavaScript), который должен сделать доступным использование криптографии пользователям без специальных технических навыков.

Отдельно следует отметить уникальную возможность данного проекта - поддержку полноценного поиска по зашифрованным сообщениям. На https://www.mailpile.is/faq/ пишут, что создается индекс, а само содержимое индекса хранит в виде хешей.

Не уточняется, это обычные MD5/SHA хеши или MAC. В случае обычных хешей данное решение по поиску может быть крайне небезопасным из-за возможности установить, какое ключевое слово встречается в зашифрованном тексте, посчитав хеши слов по словарю. Безопасность очень зависит от реализации данного способа.

Lavaboom - сервис безопасной веб-почты аналогично ProtonMail. Криптография реализована на JavaScript, код исполняется в веб-браузере.

Scramble - открытый исходный код, реализован на базе OpenPGPjs (аналогично ProtonMail), но относительно молодой проект и не так бурно развивается. Я указал его в этом списке, чтобы дать более полное представление о имеющихся сервисах на рынке.

OpenMailBox - шифрование реализовано при помощи плагина OpenPGP к проекту почтового веб-клиента Roundcube. Закрытый ключ сохранятся в Local Storage браузера.

Unseen - использует свою собственную реализацию, есть сервис обмена текстовыми сообщениям и голосовые звонки. Имеются клиенты для мобильных платформ и десктопов.

Unseen используется также Roundcube с плагином OpenPGP.
Из десктопных клиентов смотрел версию для Ubuntu и Mac. Это нативные приложения-обертки, в которые внутри встроен “веб-сайт”.

Что же делать?

Использование отдельного приложения для работы с почтой (почтового клиента), использование общеизвестных реализаций криптографии и ряд специальных ограничений ради безопасности (например, отсутствие возможности принимать почту со сторонних ресурсов, чтобы минимизировать количество возможных атак) являются наилучшим решением.

Кто сможет реализовать использование криптографии с открытыми ключами в доступном (легком) виде для обычных рядовых пользователей с использованием известных почтовых клиентов (Apple Mail, Microsoft Outlook, встроенные в мобильные ОС почтовые клиенты и другие), тот завоюет любовь пользователей и, безусловно, станет самым успешным сервисом! Добавить метки

Как вы, вероятно, знаете, основные провайдеры сервиса электронной почты больше доверия. Вашу почту могут просматривать, скажем, работники Google или представители власти, и если это локальный сервис - будьте уверены, кто-то из ваших соотечественников будет ее просматривать. Каждый день. Просто ради забавы.

Контекстная реклама, которую уже давно без зазрения совести вешает гугл, и недавно начал вешать яндекс, также нехило раздражает. Особенно, когда заходишь в ящик после месяца или двух отсутствия и видишь все это. Насмотревшись на «рекомендованные мне предложения» (на основании чего рекомендованные и почему именно мне?) я принял решение, о котором не жалею вот уже 3 месяца.

Спасибо великому Сноудену за своевременную информацию, прощайте мылару и янд, я отправляюсь на Proton!

Я называю почту, которую нельзя просканировать — «E-mail 2.0». И, совершенно не стесняясь, пытаюсь заразить и вас стремлением к безопасности и конфиденциальности. - это еще мягко сказано!

Безопасность? Параноидальная безопасность!!!

Рассмотрим, с чем вы столкнетесь, если последуете совету и захотите себе ящик на Proton. Вам нужно будет придумать и запомнить 2 пароля: первый пароль будет вводиться для авторизации на сайте, но НЕ будет давать доступ к почтовому ящику. Чтобы просмотреть ящик, понадобится второй пароль, одновременно служащий для дешифровки писем. Операция шифрования проводится на стороне клиента, а на сервер отправляются уже зашифрованные данные, что исключает MITM атаку. Ключей от вашего ящика на серверах нет, так что, даже в случае визита людей с погонами , сотрудники сервиса смогут выдать только зашифрованные данные.

Архитектура такова благодаря использованию open source front-end encryption, что означает шифрование данных на стороне пользователя. Вы сможете познакомиться с OpenPGPjs библиотеками, используемыми сервисом, на этой страничке Github .

В end-to-end шифровании конечные точки это: отправитель и предназначенное устройство получателя . Сообщение шифруется локально на устройстве отправителя, после чего может быть расшифровано только на устройстве получателя. «End-to-end шифрование» обычно называется «шифрованием на стороне клиента» или «нулевым допуском», из-за факта обработки письма при помощи не централизованных серверов, а конечных устройств пользователей. Для end-to-end шифрования используется 2 алгоритма: симметричный и асимметричный .

Про почтовый сервис Proton я узнал из давней статьи на сайте. Поразмыслив над секретных агентов, насладившись «контекстной рекламой», ужаснувшись далеко не единичными случаями арестов американских граждан (пусть и не самых примерных людей) я решил: ни украинские сисадмины, ни русские хакеры, ни Барак О и Владимир П… ни даже Ее не Величество Елизавета 2.0… больше не смогут читать мою личную переписку… Ни за что. Нигде. Никогда. Паранойя. Паранойя !!!111…

Среди многочисленных «плюшек», которыми почта завлекает пользователей, стоит выделить:

Бесплатно (и без смс)
Свобода от законодательства Евросоюза, обязывающего выдавать информацию пользователей (Швейцария не является частью ЕС)
Свобода от аналогичного законодательства США
Свобода от властей самой Швейцарии - локальные законы охраняют неприкосновенность серверов и без особенной «боли в заднице» какой-нибудь правительственный тюфяк не имеет права даже смотреть на них .
Все сервера расположены в Швейцарии, постоянно идет процесс улучшения техники: добавления памяти, функций
При входе нужно вводить 2 пароля (второй пароль автоматически включается, если вы закрыли вкладку или переводили ноутбук в «спящий» режим)
В разработке полный контроль над приватными ключами
Шифрование писем — между пользователями Proton письма зашифрованы по умолчанию, а при отправке на сторонние почтовые сервисы их можно защитить паролем. Тогда реципиент получает не тело письма, а ссылку на сайт Proton, где он сможет ввести пароль (вы сообщаете пароль другим методом связи) и получить доступ к содержимому, включая вложения.
Если вы потеряли пароль от ящика, восстановить его уже не возможно. Сброс пароля возможен, но тогда вы навсегда потеряете письма. Не забывайте пароли!

Регистрация в ProtonMail

Для начала запросим себе «приглашение», нажав «Sign up» на главной страничке сервиса.

Выбираем, какую хотим почту, затем вводим свой текущий ящик, и «Request Invite». Как только вас пригласят (в течении месяца), вы сможете зайти к себе в кабинет.

Теперь нужно ввести mailbox пароль:

Как же выглядит почта изнутри?

Слева меню , сверху поиск , ваш e-mail , кнопки «Сообщить про ошибку », «Настройки », и «Выйти ». Для начала можно нажать «Настройки » и посмотреть, что там имеется.

Имеется возможность сменить логин-пароль, пароль на ящике, Alias - т. е. Псевдоним (внизу справа), подпись и пр. Управления ключами пока нет, но в ближайшем будущем планируется.

Встроенных тем нет, есть возможность вставить код сторонней CSS темы на свой страх и риск . Использование шифрованной почты предполагает отказ от некоторых свистелок и перделок в пользу защищенности.

Теперь, когда мы покопались в настройках, можно покопаться в почтовом ящике. Здесь все стандартно, однако имеются свои преимущества. Во-первых, все что реально необходимо для полноценного общения и работы, вынесено в меню слева. Там и кнопка «Compose », и входящие , и контакт-лист , и корзина , причем показывается количество не всех входящих писем, а только непрочитанных:

Зачем нужна такая разнообразная сортировка, не понятно, однако она имеется:

Также можно отмечать нужные письма цветными метками.

А вот как выглядит контакт-лист (без зеленого):

В общем и целом, как человек, который пробовал почти все популярные почтовые сервисы, могу заключить: работать с данной почтой удобнее всего (особенно ценителям минимализма), а главное - безопаснее.

Почему это важно?

Это важно для каждого, а не только для пользователей криптовалют, хакеров или продвинутых программистов. Заметьте, что даже купить или продать биткойн сегодня невозможно без использования почты, а что говорить про тотальную «завязанность» на е-мейл всех интернет-сервисов вообще, включая магазины, банки, мобильных операторов и проч.

Кроме того, государственные решения, принимаемые сегодня , не могут не настораживать параноидальный ум. Верить в то, что каждый человек в стране — потенциальный террорист, наркоторговец или любитель детской порнографии — у меня, уж простите, ну никак не получается…

Из блога компании:

«Мы бы хотели завершить некоторыми мыслями о приватности и слежке в общем. Некоторые люди утверждают, что если ты НЕ преступник, то нет никакой необходимости в приватности. Этим критикам мы просто зададим вопрос: означает ли это, что только у преступников имеются шторы на окнах?»

Почему вы не использовали это раньше?

Несмотря на то, что технология существует уже несколько десятилетий, end-to-end шифрование не было распространено по нескольким причинам. Во-первых, поддерживать шифрование — против интересов централизованных провайдеров сервисов, которые получают выгоду от рекламы и вторжения в личное пространство пользователя. Во-вторых, end-to-end шифрование традиционно было сложно использовать даже для технически подкованных людей. Необходимость в обмене приватным и публичным ключом в сервисе электронной почты затормаживала развитие. Однако, важность end-to-end шифрования будет только нарастать по мере развития правительственных технологий слежки за гражданами.

О, «террористами», в смысле.

Однако стоит помнить, что не зашифрованные или не защищенные паролем письма, отправленные вами на другие почтовые сервисы, могут быть перехвачены! Параноидально безопасных вам Интернетов!