E-maile uchodzące za bezpieczne – przegląd

Wraz ze wzrostem trendu na prywatność powstało wiele biznesów, produktów i usług internetowych mających nadzieję, by zyskać na szybko rosnącym rynku technologii przeznaczonych do dbania o prywatność. Oto przegląd nastawionych na ten cel skrzynek pocztowych.

ProtonMail

Usługa, która rozpoczęła swoją działalność w 2013 roku, podaje Edwarda Snowdena jako inspirację dla swoich działań. Podkreślają swoje dwie cechy: pochodzą i operują z Szwajcarii oraz obsługują system podwójnego hasła. ProtonMail reklamuje się jako „szwajcarskie konto bankowe” wśród usługodawców skrzynki e-mailowej. Właśnie tak opisują swoje środki bezpieczeństwa na swojej stronie: ich serwery są „zlokalizowane w tych samych bezpiecznych i strzeżonych centrach danych, które używane są przez osławione szwajcarskie prywatne banki”. Gdzie indziej chwalą się „bezpieczną bazą danych ukrytą w szwajcarskich górach granitowych”, którą ma stanowić „dawna jednostka militarna ulokowana wewnątrz Alpów Szwajcarskich”.

To wszystko brzmi zachwycająco, ale o co chodzi? System dwóch haseł działa następująco: pierwsze hasło loguje nas na nasze konto. Prowadzi nas do strony nazwanej „Odszyfruj skrzynkę pocztową”, na której podajemy drugie hasło. To hasło odblokuje symetrycznie szyfrowany 2048-bitowy prywatny klucz RSA użytkownika, który z kolei odszyfrowuje skrzynkę pocztową. Proces szyfrowania zachodzi całkowicie lokalnie w przeglądarce, korzystając z JavaScript, więc nie ma możliwości na przechwycenie hasła chroniącego sekretny klucz przez ProtonMail. Prywatny klucz i skrzynka są szyfrowane za pomocą AES-256, jako implementacja OpenPGP.js.

ProtonMail nadal oficjalnie stanowi wersję beta, ale według doświadczeń użytkowników usługa prezentuje dojrzałą i spójną całość. Możesz jednak trochę poczekać, jeśli złożysz wniosek o założenie konta, w związku z nagłym wzrostem popularności usługi, który zbiegł się w czasie z ich kampanią IndieGoGo.

W międzyczasie wprowadzanych jest wiele ciekawych dodatków. Podczas gdy obsługa stara się, by szyfrowanie i odszyfrowanie było niewidoczne, opcjonalne zarządzanie kluczami pozwala użytkownikom importować klucze GPG użytkowników spoza ProtonMaila, by móc zapewnić prywatność także w komunikacji z innymi usługami. Zapowiedziano także wprowadzenie w przyszłości aliasów.

Jeśli ty i użytkownik spoza ProtonMaila ustalicie wcześniej swoje hasło, możesz wymieniać wiadomości zaszyfrowane end-to-end z osobami, które nie mają pojęcia o kryptografii. Kod źrodłowy ProtonMaila nie jest jeszcze jawny, jednak zapowiedziano jego ujawnienie w przyszłości.

Tutanota

Jeśli szukasz usługi bardziej dojrzałej od ProtonMaila, niemiecki usługodawca Tutanota może być dla Ciebie. Założona w 2011 roku, usługa oficjalnie zakończyła etap wersji beta 24 marca 2015 roku. Co istotne, Tutanota nie korzysta z popularnej metody PGP do szyfrowania wiadomości. Zamiast tego, jak wyjaśniają, używają własnego rozwiązania stosując 2048-bitowe klucze RSA i AES-128, stosowane w związku z tym że PGP nie szyfruje linii tematu e-maili. Jeśli obawiasz się stosowania kryptografii, która jest mniej wypróbowana, może pocieszyć się fakt, że Tutanota, w przeciwieństwie do ProtonMaila, upubliczniła już swój kod źródłowy. Tutanota obsługuje także aplikacje dla iOS oraz Androida, posiada także wtyczkę w Outlooku, więc użytkownicy nie muszą logować się na swoje konto korzystając z przeglądarki internetowej.

Jednak Tutanota umożliwia logowanie użytkownika oraz deszyfrowanie skrzynki za pomocą tego samego hasła, co znaczy, że wymagane jest nieco więcej zaufania, by uwierzyć, że nie mogą i nie będą podglądać wiadomości użytkowników. Mimo to usługa według użytkowników jest sprawna niczym Proton Mail, a Tutanota pozwala także na wymianę e-maili zakodowanych za pomocą hasła do prywatnej korespondencji z użytkownikami innych usług.

Jeśli potrzebujesz swojego konta natychmiast, Tutanota jest najprawdopodobniej najlepszym wyborem, ponieważ nie jest już wymagany czas oczekiwania, zanim uzyskasz dostęp do ich usługi. Gdy tworzysz swoje konto, możesz wybrać jedną z licznych domen: tutanota.de, tutanota.com, tutamail.com, keemail.me oraz jedna z ulubionych: tuta.io. Tutanota ostrzega, że proces tworzenia konta może zostać zawieszony, jeśli używasz przeglądarki Tor w Windowsie, więc uważaj jeśli próbujesz tak zrobić; problem jest w trakcie rozwiązywania.

Lavaboom

Kolejna usługa z Niemiec, Lavaboom, została uruchomiona w 2013. Może zostać określona jako krzyżówka pomiędzy ProtonMailem a Tutanota, ponieważ korzysta z OpenPGP.js, ale stosuje system pojedynczego hasła. Podobnie nazwany, sławny Lavabit, wolał zakończyć swoje usługi, niż przekazać prywatne klucze SSL rządowi USA w ramach śledztwa przeciwko Edwardowi Snowdenowi. Lavaboom, który pojawił się niedługo później, swoją nazwą oddaje hołd wcześniejszej usłudze.

Lavaboom korzysta z 4096-bitowego klucza RSA – dwukrotnie większego niż stosowane przez ProtonMail czy Tutanota. Jeśli silny klucz jest dla Ciebie najważniejszy, to może stanowić najlepszy wybór. Kiedy tworzysz swoje konto, możesz wybrać „Lavaboom sync”, kiedy serwery Lavaboom przechowują Twoje prywatne klucze zaszyfrowane, lub zapis swoich kluczy w cache przeglądarki. Wadę drugiej metody stanowi fakt, że w przypadku gdy cache zostanie wyczyszczone, nie możesz dalej przeglądać swoich maili, o ile nie wykonałeś back-upu swoich kluczy i dopóki nie załadujesz ich ponownie przy kolejnym logowaniu. Więc uważaj, by nie stracić dostępu do swojej skrzynki pocztowej, kasując swoje klucze!

Według użytkowników usługa nie przedstawia się tak sprawnie Tutanota i ProtonMail. Gdy tworzysz konto i logujesz się w przeglądarce Tor na Linuxie, czasem strona ładowania zawiesza się na „Initializing OpenPGP.js” i wymaga odświeżania strony do momentu, aż zacznie działać poprawnie. Jednak Lavaboom nadal jest wersją beta, więc możemy oczekiwać, że usterki tego typu zostaną naprawione. Ponadto wybór między Lavaboom sync a przechowywaniem kluczy w cache powinien być bardziej oczywisty, ponieważ wprowadza trochę zamieszania w usłudze, która miała uczynić szyfrowanie prostym i przyjemnym. Chociaż może spodobać się to użytkownikom, którzy wolą mieć bardziej dopasowany stopień kontroli nad usługą, niż oferuje to ProtonMail czy Tutanota.

Warte odnotowania

Pewnie zwróciłeś uwagę, że wszyscy trzej usługodawcy nie tylko korzystają z szyfrowania opartego o JavaScript, ale także swoje usługi udostępniają w clearnecie. Chociaż dostęp przez Tor jest możliwy, warto rozeznać się w ukrytych usługach.

Lelantos jest płatną, lecz tanią usługą w sieci Tor. Jest nieco bardziej zaawansowany niż wcześniej wymienione trzy, ale oferuje ciekawe usługi, takie jak możliwość zaimportowania czyjegoś klucza publicznego, tak że jeśli wysyłany jest mail niezaszyfrowany, jest automatycznie szyfrowany na serwerze. Oczywiście dużo lepiej jest zaszyfrować wiadomość samemu, przed wysyłką, ale to nadal lepsze rozwiązanie, niż całkowity brak szyfrowania. Użytkownicy mogą także zarejestrować ponad 100 aliasów i tworzyć tymczasowe adresy. Dożywotnie konto kosztuje 0.136 BTC lub około $32.

Sigaint oferuje zarówno bezpłatną, jak i płatną wersję swojej usługi. Strona upgrade’ująca wyjaśnia następująco różnice między wersjami: dożywotnia subskrypcja (za $30) gwarantuje zwiększoną pojemność skrzynki, support SMTPS/IMAPS/POP3, pełne szyfrowanie dysku, łatwiejszą integrację PGP, support Bitmessage i priorytetową obsługę klienta.

Ruggedinbox.com jest całkowicie darmową usługą, oferującą zarówno dostęp w clearnecie przez TLS/SSL, jak i stronę .onion w sieci Tor. Jeśli zależy Ci na usłudze e-mail przyjaznej dla prywatności i nie masz nic przeciwko samodzielnemu zarządzaniu kluczami PGP, jest to dobry wybór. Bezpłatne są IMAP, POP3 i SMTP i możesz korzystać z pozbawionego JS SquirrelMail jak i bardziej nowoczesnego RoundCube, który wymaga JS. Choć usługa jest bezpłatna, użytkownicy są zachęcani do dokonywania wpłat na adresy BTC na stronie głównej. RuggedInbox sprzedaje także VPS dla tych, którzy chcą posiadać własny prywatny serwer e-mail.

Może to brzmieć jak truizm, ale najlepszą ochronę i bezpieczeństwo daje zawsze samodzielna kontrola własnego klucza prywatnego. Usługi, które upraszczają zarządzanie kluczami, często wymagają poświęcenia sporej części tej kontroli, ale w celu umożliwienia szyfrowanego mailowania osobom bez wiedzy o kryptografii wzrost bezpieczeństwa jest istotny, jeśli porównamy te usługi z takimi jak Hotmail czy Gmail. Dla nadzwyczaj istotnych przedsięwzięć nigdy nie powierzaj trzecim osobom zarządzania swoimi kluczami.


Cyfrowa Matka

Może Ci się również spodoba

7 komentarzy

  1. Cyfrowy Ociec napisał(a):


    – proszę o screena gdzie dodaje sie klucze GPG w Protonmailu (ma być dopiero wprowadzony ten fet)
    – Lavaboom nie ma otwartej rejestracji
    – Lelantos – źle przetłumaczyliście myk z PGP

    Lelantos, Sigaint, Rugged nie nadają się do używania, po prostu nie wiadomo kto prowadzi te serwisy i czy będą działały jutro.

    Cała lista pominiętych posteo.de, bitmessage.ch, hushmail.com, + dziesiątki innych…

  2. Mario napisał(a):

    A co z openmailbox.org?
    Mam go i wydaje się bezpieczny

    • Jack napisał(a):

      Na forum twórcy napisali, że będą udostpniać dane służbom. Jest bezpieczny przed atakami, ale nie przed inwigilacją.

  3. lion137 napisał(a):

    „Jeśli ty i użytkownik spoza ProtonMaila ustalicie wcześniej swoje hasło, możesz wymieniać wiadomości zaszyfrowane end-to-end z osobami, które nie mają pojęcia o kryptografii.”

    Ale tylko wtedy gdy uzytkownik protonmaila zacznie pisać jako pierwszy, oczywiście.

  4. Tom napisał(a):

    Lavaboom zawiesił działalność. Warto poprawić artykuł :)

  1. 21 września 2015

    […] Źródło: E-maile uchodzące za bezpieczne – przegląd | Kryptopolonia […]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *