Сервис использует асимметричное шифрование (систему шифрования с использованием открытых ключей), реализованную на стороне веб-браузера пользователя на JavaScript.

На Wikipedia есть , но, к сожалению, довольно тяжело читается для обычного пользователя без специальных технических знаний.

Безопасность

Про безопасность подобных решений на стороне пользователя, когда программный код выдается сервисом при каждом обращении, в интернете можно найти массу обсуждений и статей. Например, статья на английском http://matasano.com/articles/javascript-cryptography/ от Matasano security.

Краткое резюме всех дискуссий и доступных материалов заключается в том, что в любой момент сервис может отдать измененный программный код (например, по запросу правоохранительных органов), который отправит им почтовый пароль пользователя.

Команда ProtonMail подчеркивает, что они находятся в Швейцарии, где, как они пишут, законодательно их не могу обязать установить backdoor. Полный текст их объяснения доступен по адресу https://protonmail.ch/blog/switzerland/ . Но это “в теории”, а “на практике” пока нет широко известных публичных прецедентов.

В любом случае возможность изменить программный код в любой момент со стороны сервиса является очень серьезным недостатком, так как эти изменения могут быть нацелены на конкретных пользователей. В случае, когда криптография реализована в программном продукте или вообще на уровне операционной системы, то подобные обновления, нацеленные на конкретных пользователей намного менее вероятны и намного тяжелее в реализации. Хотя, как известно, нет 100% безопасных решений, но надо стремиться к максимально возможному необходимому в данной ситуации уровню безопасности.

Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. В случае с ProtonMail, как и любой другой веб-почтой, можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать расшифрованное содержимое сообщений.

ProtonMail в защите от XSS-атак полагается на библиотеку js-xss . Но помимо фильтрации содержимого письма есть еще и служебные почтовые заголовки, которые можно аналогично сформировать специальным образом при отправлении писем со сторонних сервисов пользователю ProtonMail. А возможность получать письмо со сторонних сервисов есть у всех аккаунтов ProtonMail и запретить ее в настройках аккаунта нельзя.

В начале июня была найдена уязвимость у сервиса ProtonMail, позволяющая исполнить произвольный JavaScript код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.

Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на ycombinator.com . ProtonMail разместил его имя в списке благодарностей на своем сайте - https://protonmail.ch/blog/protonmail-security-contributors/ , что подтверждает данный факт.

Сейчас данная проблема в безопасности ProtonMail уже исправлена, но сколько еще таких возможностей для хакеров таит в себе реализация криптографии на стороне браузера на JavaScript?

Подобные проекты

Mailpile - проект с открытым исходным кодом, активно развивается, является почтовым веб-клиентом (аналогично ProtonMail работает в веб-браузере на JavaScript), который должен сделать доступным использование криптографии пользователям без специальных технических навыков.

Отдельно следует отметить уникальную возможность данного проекта - поддержку полноценного поиска по зашифрованным сообщениям. На https://www.mailpile.is/faq/ пишут, что создается индекс, а само содержимое индекса хранит в виде хешей.

Не уточняется, это обычные MD5/SHA хеши или MAC. В случае обычных хешей данное решение по поиску может быть крайне небезопасным из-за возможности установить, какое ключевое слово встречается в зашифрованном тексте, посчитав хеши слов по словарю. Безопасность очень зависит от реализации данного способа.

Lavaboom - сервис безопасной веб-почты аналогично ProtonMail. Криптография реализована на JavaScript, код исполняется в веб-браузере.

Scramble - открытый исходный код, реализован на базе OpenPGPjs (аналогично ProtonMail), но относительно молодой проект и не так бурно развивается. Я указал его в этом списке, чтобы дать более полное представление о имеющихся сервисах на рынке.

OpenMailBox - шифрование реализовано при помощи плагина OpenPGP к проекту почтового веб-клиента Roundcube. Закрытый ключ сохранятся в Local Storage браузера.

Unseen - использует свою собственную реализацию, есть сервис обмена текстовыми сообщениям и голосовые звонки. Имеются клиенты для мобильных платформ и десктопов.

Unseen используется также Roundcube с плагином OpenPGP.
Из десктопных клиентов смотрел версию для Ubuntu и Mac. Это нативные приложения-обертки, в которые внутри встроен “веб-сайт”.

Что же делать?

Использование отдельного приложения для работы с почтой (почтового клиента), использование общеизвестных реализаций криптографии и ряд специальных ограничений ради безопасности (например, отсутствие возможности принимать почту со сторонних ресурсов, чтобы минимизировать количество возможных атак) являются наилучшим решением.

Кто сможет реализовать использование криптографии с открытыми ключами в доступном (легком) виде для обычных рядовых пользователей с использованием известных почтовых клиентов (Apple Mail, Microsoft Outlook, встроенные в мобильные ОС почтовые клиенты и другие), тот завоюет любовь пользователей и, безусловно, станет самым успешным сервисом! Добавить метки

Как вы, вероятно, знаете, основные провайдеры сервиса электронной почты больше доверия. Вашу почту могут просматривать, скажем, работники Google или представители власти, и если это локальный сервис - будьте уверены, кто-то из ваших соотечественников будет ее просматривать. Каждый день. Просто ради забавы.

Контекстная реклама, которую уже давно без зазрения совести вешает гугл, и недавно начал вешать яндекс, также нехило раздражает. Особенно, когда заходишь в ящик после месяца или двух отсутствия и видишь все это. Насмотревшись на «рекомендованные мне предложения» (на основании чего рекомендованные и почему именно мне?) я принял решение, о котором не жалею вот уже 3 месяца.

Спасибо великому Сноудену за своевременную информацию, прощайте мылару и янд, я отправляюсь на Proton!

Я называю почту, которую нельзя просканировать — «E-mail 2.0». И, совершенно не стесняясь, пытаюсь заразить и вас стремлением к безопасности и конфиденциальности. - это еще мягко сказано!

Безопасность? Параноидальная безопасность!!!

Рассмотрим, с чем вы столкнетесь, если последуете совету и захотите себе ящик на Proton. Вам нужно будет придумать и запомнить 2 пароля: первый пароль будет вводиться для авторизации на сайте, но НЕ будет давать доступ к почтовому ящику. Чтобы просмотреть ящик, понадобится второй пароль, одновременно служащий для дешифровки писем. Операция шифрования проводится на стороне клиента, а на сервер отправляются уже зашифрованные данные, что исключает MITM атаку. Ключей от вашего ящика на серверах нет, так что, даже в случае визита людей с погонами , сотрудники сервиса смогут выдать только зашифрованные данные.

Архитектура такова благодаря использованию open source front-end encryption, что означает шифрование данных на стороне пользователя. Вы сможете познакомиться с OpenPGPjs библиотеками, используемыми сервисом, на этой страничке Github .

В end-to-end шифровании конечные точки это: отправитель и предназначенное устройство получателя . Сообщение шифруется локально на устройстве отправителя, после чего может быть расшифровано только на устройстве получателя. «End-to-end шифрование» обычно называется «шифрованием на стороне клиента» или «нулевым допуском», из-за факта обработки письма при помощи не централизованных серверов, а конечных устройств пользователей. Для end-to-end шифрования используется 2 алгоритма: симметричный и асимметричный .

Про почтовый сервис Proton я узнал из давней статьи на сайте. Поразмыслив над секретных агентов, насладившись «контекстной рекламой», ужаснувшись далеко не единичными случаями арестов американских граждан (пусть и не самых примерных людей) я решил: ни украинские сисадмины, ни русские хакеры, ни Барак О и Владимир П… ни даже Ее не Величество Елизавета 2.0… больше не смогут читать мою личную переписку… Ни за что. Нигде. Никогда. Паранойя. Паранойя !!!111…

Среди многочисленных «плюшек», которыми почта завлекает пользователей, стоит выделить:

• Бесплатно (и без смс)
• Свобода от законодательства Евросоюза, обязывающего выдавать информацию пользователей (Швейцария не является частью ЕС)
• Свобода от аналогичного законодательства США
• Свобода от властей самой Швейцарии - локальные законы охраняют неприкосновенность серверов и без особенной «боли в заднице» какой-нибудь правительственный тюфяк не имеет права даже смотреть на них .
• Все сервера расположены в Швейцарии, постоянно идет процесс улучшения техники: добавления памяти, функций
• При входе нужно вводить 2 пароля (второй пароль автоматически включается, если вы закрыли вкладку или переводили ноутбук в «спящий» режим)
• В разработке полный контроль над приватными ключами
• Шифрование писем — между пользователями Proton письма зашифрованы по умолчанию, а при отправке на сторонние почтовые сервисы их можно защитить паролем. Тогда реципиент получает не тело письма, а ссылку на сайт Proton, где он сможет ввести пароль (вы сообщаете пароль другим методом связи) и получить доступ к содержимому, включая вложения.
• Если вы потеряли пароль от ящика, восстановить его уже не возможно. Сброс пароля возможен, но тогда вы навсегда потеряете письма. Не забывайте пароли!

Регистрация в ProtonMail

Для начала запросим себе «приглашение», нажав «Sign up» на главной страничке сервиса.

Выбираем, какую хотим почту, затем вводим свой текущий ящик, и «Request Invite». Как только вас пригласят (в течении месяца), вы сможете зайти к себе в кабинет.

Теперь нужно ввести mailbox пароль:

Как же выглядит почта изнутри?

Слева меню , сверху поиск , ваш e-mail , кнопки «Сообщить про ошибку », «Настройки », и «Выйти ». Для начала можно нажать «Настройки » и посмотреть, что там имеется.

Имеется возможность сменить логин-пароль, пароль на ящике, Alias - т. е. Псевдоним (внизу справа), подпись и пр. Управления ключами пока нет, но в ближайшем будущем планируется.

Встроенных тем нет, есть возможность вставить код сторонней CSS темы на свой страх и риск . Использование шифрованной почты предполагает отказ от некоторых свистелок и перделок в пользу защищенности.

Теперь, когда мы покопались в настройках, можно покопаться в почтовом ящике. Здесь все стандартно, однако имеются свои преимущества. Во-первых, все что реально необходимо для полноценного общения и работы, вынесено в меню слева. Там и кнопка «Compose », и входящие , и контакт-лист , и корзина , причем показывается количество не всех входящих писем, а только непрочитанных:

Зачем нужна такая разнообразная сортировка, не понятно, однако она имеется:

Также можно отмечать нужные письма цветными метками.

А вот как выглядит контакт-лист (без зеленого):

В общем и целом, как человек, который пробовал почти все популярные почтовые сервисы, могу заключить: работать с данной почтой удобнее всего (особенно ценителям минимализма), а главное - безопаснее.

Почему это важно?

Это важно для каждого, а не только для пользователей криптовалют, хакеров или продвинутых программистов. Заметьте, что даже купить или продать биткойн сегодня невозможно без использования почты, а что говорить про тотальную «завязанность» на е-мейл всех интернет-сервисов вообще, включая магазины, банки, мобильных операторов и проч.

Кроме того, государственные решения, принимаемые сегодня , не могут не настораживать параноидальный ум. Верить в то, что каждый человек в стране — потенциальный террорист, наркоторговец или любитель детской порнографии — у меня, уж простите, ну никак не получается…

Из блога компании:

«Мы бы хотели завершить некоторыми мыслями о приватности и слежке в общем. Некоторые люди утверждают, что если ты НЕ преступник, то нет никакой необходимости в приватности. Этим критикам мы просто зададим вопрос: означает ли это, что только у преступников имеются шторы на окнах?»

Почему вы не использовали это раньше?

Несмотря на то, что технология существует уже несколько десятилетий, end-to-end шифрование не было распространено по нескольким причинам. Во-первых, поддерживать шифрование — против интересов централизованных провайдеров сервисов, которые получают выгоду от рекламы и вторжения в личное пространство пользователя. Во-вторых, end-to-end шифрование традиционно было сложно использовать даже для технически подкованных людей. Необходимость в обмене приватным и публичным ключом в сервисе электронной почты затормаживала развитие. Однако, важность end-to-end шифрования будет только нарастать по мере развития правительственных технологий слежки за гражданами.

О, «террористами», в смысле.

Однако стоит помнить, что не зашифрованные или не защищенные паролем письма, отправленные вами на другие почтовые сервисы, могут быть перехвачены! Параноидально безопасных вам Интернетов!

Бесплатную электронную почту на сервисе Protonmail можно завести по приглашению.

Для этого нужно войти на страницу регистрации, ввести название своего существующего электронного адреса ("ящик" должен быть на Gmail, Hotmail, Yahoo и другие) и ждать приглашения.

Сервис отличается тем, что письма в нём перед отправкой зашифровываются, хотя, по желанию клиента, сообщение может быть отправлено и в не зашифрованном виде.

Зашифрованное электронное сообщение, полученное адресатом, содержит ссылку, которая перенаправляет к серверу ProtonMail. Перейдя по ссылке, получатель письма вводит пароль и читает сообщение.

Protonmail - является самым безопасным и защищенным почтовым електронным сервисом. Использование данного сервиса обезопасит вас от взлома ваших писем, так как он зашифровуются перед отправкой и что бы открыть письмо, вам нужно перейти по ссылке, затем вы будете направлены на сервис Protonmail, после ввода пароля - письмо станет доступно для чтения.

Большинство людей, которые используют данный сервис - деловые люди, военные, и просто известные люди.

Но вот зарегистрироватся здесь не так уж и просто, для начала нужно, чтобы вас кто-то пригласил. После приглашения вы уже имеете возможность ввести свои данные для регистрации и выпольнить ее.

Возможно, баян. Но только что заметил, что система инвайтов / индивидуальных регистраций в ProtonMail закончилась.

ProtonMail представляет собой почтовую службу (E-mail) с двухэтапной авторизацией и шифрованием по умолчанию, что представляет собой хороший барьер для злоумышленников.

Теперь каждый может мгновенно зарегистрировать себе почтовый ящик @protonmail.com

Так как, компания не показывает рекламу, не зарабатывает (по их заверениям) на пользовательских данных, то по умолчанию характеристики ящика весьма скромные - всего 500 МБ свободного места и не более 150 писем в день. В платных комплектах куда более богатые характеристики, но простому человеку хватит и бесплатного пакета.

Я являюсь давним пользователем этой почтовой службы для самых повседневных нужд. Нравится интерфейс и наличие приложения для Android.

Надо признать, что протон не является единственным почтовым сервисом с повышенной взломоустойчивостью и строгим отношением к личности своих пользователей, но лично меня подкупили именно интуитивный интерфейс/клиенты для телефона и полное отсутствие спама.

В ближайщее время постараюсь написать посты о других сервисах и приложениях, ориентированных на безопасность, которыми я пользуюсь.

• Лучшие сверху
• Первые сверху
• Актуальные сверху

>а какой второй этап идентификации?

скорее всего смс-код, что уже небезопасно:/

смс-код на данный момент самое безопасное из досупного

https://habrahabr.ru/company/pt/blog/283052/
Безопасно - это аппаратный генератор одноразовых паролей.

А SMS OTP применяются повсеместно ТОЛЬКО из за того, что это дешевле для Сервисов и проще для пользователей (как же, какой-то OTP-токен ещё с собой таскать.)

ужасно! как я мог быть столь слеп! спс за пруфы

уже как месяцев 6 на Protonmail. Что я делал не так?

Ты поздно вступил в секту криптозащищённых писем

Я там с первого дня открытого бэтатеста. Подтверждения аккаунта ждал недели полторы, не помню уже точно. Зато козырное имя успел отхватить и постепенно отказываюсь от gmail.

Ну меня моё имя тоже устраивает. Да и не вижу смысла отказываться от gmail. У меня куча контактов на gmail по работе, так что смысла в этом я не вижу. Да это круто что криптота у протона есть но блин, это не для повседневщины, а для общение на те вопросы которые требуют полной конфиденциальности.

А так что ты зарегался на pornhub всем пофиг.

Тем более, если раньше для этого нужно было быть прошаренным одмином, то теперь вся эта криптота имеет простой и понятый любому интерфейс.

Криптота есть везде, всё шифруется в том числе и на gmail, и там можно поставить многоуровневую авторизацию если хочешь. Блин ты даже не понимаешь в чем фишка ProtonMail, зачем он тебе? Так есть одна фишка где не у кого нет. Вот серьезно зачем он тебе? Мистера робота пересмотрел?

В GMail криптота лишается всех своих преимуществ тем, что Google в политике приватности открыто заявляет об анализе писем. Смысл такого шифрования? Разве что, чтобы провайдер или идиот с DroidSheep в кафешке не перехватил.

Другое дело протон. Криптота, как обязательное явление и уже плюсом к этому - хостинг и руководство в нейтральной политически стране (в которой, к тому же, законодательно нельзя заставить встраивать бэкдоры для органов), которая равнопохуистически относится как к России, так и к ЕС.

Т.е. полностью нейтральная территория. (а ведь согласитесь, таким и должен быть Интернет?)

Я считаю, что подобными сервисами должен пользоваться и самый обычный человек, которому нечего скрывать. Просто в качестве реализации своего права на защиту переписки. Потому что, как показывает практика, если не пользуешься своими правами, у тебя их в последствии попробуют забрать.

Ты можешь отключить анализ писем если что. Во вторых фишка protonmail не только в двухуровневой системе входа, а так же, что самое самое главное, это то что все письма удаляются прямо из базы данных, удаляются на всегда и ни как не восстанавливаются. Смысл заводить протон для херни вроде регистраций на сайтиках да служебных писем. Тут он нужен больше для банковской сферы (хотя у них свои сервра), или параноиков (ну тоже есть место быть). Простомэйл великолепен но ниша у него очень специфична.

Блин да давно уже как. Если я зарегался пол год назад спокойно то поверь там давно уже. Её прикрыли вроде на пол года всего что бы уменьшить на время поток клиентов. А закрывали её вроде в 13/14 году

Почта с шифрованием протон майл

Сейчас практически развернута слежка за каждым гражданином (типичный пример приснопамятный -закон Яровой) и в таких условиях далеко не всем хочется «быть под колпаком». Это касается и личной переписки. Тут способ один -принять меры к сокрытию этой переписки. На помощь приходит шифрованная электронная почта Protonmail или Протон майл. Эта швейцарская разработка, которая позволяет шифровать сообщения до того, как оно будет отослано на сервер.

А расшифровать его сможет только ваш адресат и естественно на своей локальной машине, т.е. компьютере. А всякие провайдеры (те, которые предоставляют вам доступ к интернету) и прочие… идут лесом -видят, что вы что-то предаете, а вот что им это неизвестно. Существенный недостаток -это всё на английском языке. Но имея базовые элементарные понятия в английском запросто можно всё освоить.

ProtonMail предлагает бесплатную, зашифрованную электронную почту с 500 МБ онлайн-хранилища; Платные аккаунты включают до 20 ГБ.

Сообщения электронной почты между пользователями ProtonMail автоматически и прозрачно шифруются прямо на момент доставки и только дешифруются на компьютере получателя при его открытии.

На любом сервере через которые проходит сообщение не остается расшифрованной и читаемой копии. Нешифрованные письма, которые вы получаете на ProtonMail, хранятся в зашифрованном виде у вас на компьютере.

Доступ через сайт Onion с использованием сети Tor дополнительно анонимизирует трафик для ProtonMail, позволяет вам получить доступ к нему, когда открытие сайта ProtonMail может быть заблокировано, и добавляет еще два уровня сквозного шифрования.

Письма, отправленные с ProtonMail внутри системы или использующие шифрование паролей, могут быть настроены на самоуничтожение; После истечения срока их действия, сообщения исчезают из системы ProtonMail и становятся недоступными.

Поскольку его серверы находятся исключительно в Швейцарии, электронная почта в системе ProtonMail защищена - насколько это возможно, защита прав на информацию о гористой и нейтральной европейской стране.

ProtonMail не собирает личную информацию при создании учетной записи, а IP-адрес, из которого вы создали учетную запись, не сохраняется, поэтому вы можете настроить анонимный адрес для всех целей и задач.

ProtonMail использует протестированные временем PGP для полноценного шифрования и поддерживает открытую библиотеку OpenPGP.js с открытым исходным кодом для использования OpenPGP в браузерах.

Для регистрации заходим на официальный сайт protonmail. Открывается окно сервиса на английском языке.

В правом верхнем углу нажимаем на маленький треугольник и в выпадающем меню переключаемся на русский язык.

В правом верхнем углу нажимаем на кнопку «Зарегистрироваться».

Открываем окно в котором выбираем тип учетной записи протон майл. Есть вариант платный, а есть с ограниченными функциями (которых нам вполне хватит). Выбираем бесплатный вариант и нажимаем на галочку (см. красную стрелку). Сервис в этом варианте предоставляет 500 МБ для хранения писем, возможность отправки до 150 сообщений в день и ограниченную поддержку (которая нам и особо не нужна). Нажимаем на кнопку «Select Free Plan».

Открывается окно регистрации аккаунта.

Ниже надписи «Username and domain» в поле «Сhose username»(Выбор имени пользователя), впишите английским буквами выбранное вами имя, например, Boris405. При вводе имени сервис проверяет занятость этого имени и если всё правильно то внизу будет зеленое оно с надписью «Username available».

Т.о. ваш адрес электронной почты

Можно выбрать и домен имени (всё что справа от значка @). Для этого нажмите галочку справа и в выпадающем меню выберите желаемый домен.

Внизу нас предупреждают, что в случае утери пароля невозможно будет прочитать письма.

Т.е. пароль записываем и сохраняем его в надежном месте.

Под записью «Recovery email (optional)» (Адрес почты для восстановления) вписываем существующий у нас любой почтовый адрес, который потребуется если что-то случиться с паролем.

После заполнения всех полей жмём кнопку «Create account» (Создать аккаунт). Выскакивает окно капча.

Ставим галочку «Я не робот» и жмём на кнопку завершения регистрации.

Открывается интерфейс почты.

Нажимаем кнопку «Finish» и наша протон майл готова.

Слева вверху нажимаем кнопку «Compose» (Написать письмо).

Справа появится форма в которую вписываем почтовый электронный адрес кому вы отправляете письмо, ниже тему и ниже пищите само тело письма. И справа внизу жмем кнопку отправки письма(Send).

Заходим по адресу почты Protonmail. Открывается окно авторизации.

(Пока оценок нет)

– новый E-mail сервис, который был разработан сотрудниками из CERN (Европейская организация по ядерным исследованиям). Примечателен этот сервис тем, что использует нестандартную для почтовиков систему шифрования.

Система использует 2 пароля, 1 – для аутоинтефикации, 2 – для дешифровки данных.

Письма на серверах ProtonMail хранятся в зашифрованном виде, а ключ к расшифровке находиться на стороне клиента. Поэтому, даже в случае взлома почты, злоумышленник не сможет получить конфиденциальную информацию.

Кроме того, компания Protonmail зарегистрирована в Швейцарии, сервера находятся там же. А Швейцария славиться тем, что ее федеральный закон защищает персональные данные как физических, так и юридических лиц на высшем уровне.

Особенно актуален этот почтовый сервис на фоне заявлений бывшего АНБшника – Сноудена, который поведал о том, что спец. службы США вторгаются в приватную жизнь людей, в том числе это касается почтовых переписок.

Для того, чтобы получить доступ к переписке в Protonmail, США или любой другой стране придется пройти долгую и дорогостоящую процедуру в Швейцарском федеральном Верховном суде. И даже после этого, переписка не будет доступна, так как ключ дешифровки расположен на стороне клиента.

На случай изъятия серверов, у почтовика есть своя структура защиты, состоящая из шифровки жестких дисков и нескольких слоев паролей, которые хранятся у людей, проживающих в разных странах и имеющих разное гражданство.

Кроме того, что новый почтовик защищает персональные данные, он еще и придерживается определенных правил по обеспечению анонимности пользователей. Сервис не сохраняет мета-данные об IP адресе пользователя, а так же о том, откуда, когда и сколько раз он заходил в свой почтовый клиент.

В Protonmail есть возможность устанавливать срок жизни письма, то есть, по истечению заданного периода письмо будет удалено из почтового ящика адресата.

Ввиду вышеперечисленного, Protonmail по праву претендует на звание одного из самых защищенных почтовых сервисов в мире.

Выбираем имя пользователя, указываем и пишем краткую информацию о себе.

Будем надеяться, в ближайшее время Protonmail откроет свободную регистрацию для всех пользователей.

Некоторые авторы в шутку называют этот сервис "почтой для параноиков". На деле ProtonMail может быть хорошим выбором для тех, кто находится в "зоне риска", у кого есть основания опасаться слежки и перехвата своей корреспонденции: гражданских активистов, независимых журналистов, политиков, экологов. Впрочем, и обычный пользователь, который хочет попробовать "что-нибудь более защищенное", может заинтересоваться ProtonMail.

Достоинства ProtonMail:

• Сервис быстро и надежно шифрует почту между пользователями ProtonMail.
• Предусмотрена возможность отправки зашифрованных писем пользователям других почтовых систем.
• Можно указать срок жизни сообщения (по истечении которого письмо будет автоматически удалено).
• Сотрудники ProtonMail не имеют доступ к содержанию ваших писем (сквозное шифрование).
• При регистрации не нужно указывать свои реальные имя и фамилию.
• Есть приложения для Android и iOS.
• Открытый код.
• Серверы ProtonMail находятся в Швейцарии, стране с довольно строгими гарантиями относительно персональных данных. Это должно вдохнуть энтуазиазм в пользователей, которых заботят вопросы юрисдикции.

К недостаткам ProtonMail можно отнести:

• Отсутствие локализации (нет перевода на русский язык).
• Отсутствие двухфакторной аутентификации.
• Ограничения для бесплатного аккаунта (объем ящика 500 Мб, не более 150 сообщений в сутки).
• Отсутствие возможности работы с офлайновыми почтовыми клиентами вроде Mozilla Thunderbird (ProtonMail создавался как веб-почта).
• По умолчанию в бесплатном варианте к исходящим письмам добавляется строчка "Sent with ProtonMail Secure Email" (Отправлено с помощью безопасной почты ProtonMail), которую можно убрать, но всякий раз вручную.

Если вы чувствуете, что ProtonMail может стать вашим почтовым сервисом, попробуйте создать новый аккаунт.

Создание аккаунта ProtonMail

2. В горизонтальном меню нажмите кнопку "Sign Up".

3. Выбор типа аккаунта. Нажмите "Free" (Бесплатный).

Можно выбрать и домен имени (всё что справа от значка @). Для этого нажмите галочку справа и в выпадающем меню выберите желаемый домен.

Внизу нас предупреждают, что в случае утери пароля невозможно будет прочитать письма.

Т.е. пароль записываем и сохраняем его в надежном месте.

Под записью «Recovery email (optional)» (Адрес почты для восстановления) вписываем существующий у нас любой почтовый адрес, который потребуется если что-то случиться с паролем.

После заполнения всех полей жмём кнопку «Create account» (Создать аккаунт). Выскакивает окно капча.

Ставим галочку «Я не робот» и жмём на кнопку завершения регистрации.

Открывается интерфейс почты.

Нажимаем кнопку «Finish» и наша протон майл готова.

Как пользоваться

Написание письма.

Слева вверху нажимаем кнопку «Compose» (Написать письмо).

Справа появится форма в которую вписываем почтовый электронный адрес кому вы отправляете письмо, ниже тему и ниже пищите само тело письма. И справа внизу жмем кнопку отправки письма(Send).

Разработчиками которого являются сотрудники Церн. А в этой статье мы рассмотрим еще один проект этой команды.

Сегодня вы узнаете все касаемо защищенной почты ProtonMail. Вы узнаете чем она отличается от других почтовых сервисов и какие использует технологии защиты, насколько она анонимна, как зарегистрироваться и как пользоваться ProtonMail и еще многое другое, что вы должны о ней знать. Ну, что, погнали!

Защищенная почта ProtonMail

• Предисловие
• Возможности
• Регистрация
• Использование
• ProtonMail в Tor
• Вирус ProtonMail
• Почта Протон в сериале Mr.Robot
• Интервью одного из создателей
• Заключение, оценка и отзывы ProtonMail

Проект работает с 2013 года. С 2013 по 2014 был в стадии тестирования. Создателями сервиса являются сотрудники ЦЕРН (Европейской организации по ядерным исследованиям) Энди Йен, Джейсон Стокман и Вэй Сун (понятно почему называется Протон почта). Офисы и сервера находятся в Швейцарии в Женеве.

Почта ProtonMail отличается от остальных почтовых сервисов возможностью шифрования письма прежде чем оно отправляется на сервер. Весь процесс шифрования / дешифрования происходит непосредственно в веб-браузере, и на сервере сервиса сохраняются только зашифрованные данные. Как утверждают авторы сервиса, даже в судебном порядке они не смогут расшифровать сообщения пользователя.

По умолчанию сервис использует один пароль для доступа, но есть возможность использовать два пароля, что улучшает безопасность почты. Почта Протон использует комбинацию из двух решений шифрования: криптографии с открытым ключом (RSA) и протокол симметричного шифрования (AES).

• Первый для идентификации пользователя (Password).
• Второй для расшифровки им хранящихся на сервере данных (Mailbox Password).

Первый пароль пользователя хранится на серверах ProtonMail (пользователь может его изменить в любое время), в то время как второй пароль известен только самому пользователю, это является причиной того, что сервис не дает возможность изменить или восстановить данный пароль.

Кроме этого почта Протон обеспечивает возможность установить дату истечения срока хранения писем, по истечению которого сообщения будут подвергнуты самоуничтожению.

Имеется как бесплатная, так и несколько платных версий с большим набором функциональности, но с одинаковым уровнем защиты. Хотелось бы заметить, что платность никак не влияет на уровень защиты, а только добавляет дополнительные функции.

Для пользователей бесплатной версии ProtonMail двухфакторная аутентификация отсутствует.

На данный момент интерфейс почтового сервиса переведен на: английский (основной), французский, итальянский, польский язык. Русского языка увы пока нет.

Обновлено 08.07.2017. Добавлен русский язык (за информацию спасибо подписчику Андрей Еремеев).

Шифрование в ProtonMail

Письма между пользователями почтового сервиса Протон шифруются автоматически. Электронное сообщение ПротонМейл, направленное адресату, использующему сервис других поставщиков, может быть зашифровано по желанию клиента или пересылаться в незашифрованном виде.

Протокол Transport Layer Security (TLS) используется для обеспечения безопасности и шифрования всех обменов между ProtonMail и пользователями других сервисов.

При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении , полученном адресатом, находится ссылка, которая направляет к серверу ПротонМейл. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение или ответить на него.

Основные возможности ProtonMail:

На самом деле в регистрации почты Протон нечего трудного нет, можно было бы даже не останавливаться на этом. Но все таки для тех кто не знает английский язык , я побыстрому расскажу.

Вирус ProtonMail

В некоторых случаях авторы программ-вымогателей для общения с жертвой используют почту Протон. Довольно часто попадается адрес Никакого отношения к разработчикам этот факт не имеет.

Заключение

Это один из немногих пока еще бесплатных защищенных почтовых сервисов. В плане защищенности он лучше чем большинство почтовых сервисов, а вот в плане анонимности не все так радужно. Использование JavaScript сводит всю анонимность к нулю. Что может не только деанонимизировать, но и в некоторых случаях привести к другим сценариям.

Еще один момент который мне не понравился - это подтверждение регистрации с помощью телефона или какой-нибудь другой почты. Конечно никто вас не заставляет использовать для подтверждения свою настоящую почту или светить ваш реальный номер, вы же можете воспользоваться или еще лучше каким-то левым ящиком на каком-нибудь VFEmail напирмер.

Что лучше ProtonMail или GPG/PGP?

Я бы по старинке использовал.

Стоит ли использовать ProtonMail?

Если вы не можете или не хотите самостоятельно настраивать PGP-шифрование, тогда - вполне. Почта Протон во многом надежнее обычных почтовых сервисов.

В каких случаях не стоит использовать почту Протон?

Я бы наверное не рекомендовал данный сервис исключительно тем, для кого почта это основной инструмент, и кто не нуждается в особенном уровне защиты почты. Потому что бесплатного аккаунта вам будет явно не хватать, а цены на платные услуги по нашим меркам совсем не демократичные.

Недостатки ProtonMail

• Нет русского языка.
• Использование JavaScript.
• Нет открытого API.
• Не поддерживает доступ через IMAP и POP (в плане безопасности - это плюс).
• Невозможно экспортировать PGP-ключи.
• Не лучшая организация писем (в Gmail удобнее).
• Нет (в Gmail она есть).

Достоинства ProtonMail

• Защищенная почта.
• Бесплатная защищенная почта.
• Открытый исходный код.
• Передача защищенных паролем сообщений.
• Сервис поддерживает работу с кириллицей.
• Создание собственного домена (только в платной версии).
• Почтовые клиенты для Android и iOS.

И напоследок. Друзья мои. Приватность в сети это ваше право. Мне не понятно почему обычные люди не считают зазорным запирать свои дома и квартиры. И ведь этот факт не вызывает у властей подозрений «если заперто - значит внутри творится что-то незаконное». А вот в сети - это страшных грех, «если на замок - значит вы маньяк, террорист и негодяй».

Все остальные материалы на тему анонимности и безопасности в сети вы можете найти самостоятельно используя форму поиска по сайту. А на сегодня все. Я вам желаю безопасности как в онлайне так и в оффлайне. Удачи, друзья!

Интервью разработчика почты Протон (английский). Включайте русские титры!

В предыдущей статье мы рассказывали про VPN-сервис ProtonVPN, разработчиками которого являются сотрудники Церн. А в этой статье мы рассмотрим еще один проект этой команды. Сегодня вы узнаете все касаемо защищенной почты ProtonMail. Вы узнаете чем она отличается от других почтовых сервисов и какие использует технологии защиты, насколько она анонимна, как зарегистрироваться и как пользоваться ProtonMail и еще многое другое, что вы должны о ней знать. Ну, что, погнали! Защищенная почта ProtonMail Содержание Предисловие Возможности Регистрация Использование ProtonMail в Tor Вирус ProtonMail Почта Протон в сериале Mr.Robot Интервью одного из создателей Заключение, оценка и отзывы ProtonMail Проект работает с 2013 года.…

В последние два месяца многие из вас интересовались по поводу загадочных твитов, которые мы написали для Google в августе . Для ProtonMail прозрачность является ключевой ценностью, и мы пытаемся быть максимально открытыми с нашими пользователями. Т.к. много людей продолжают интересоваться вопросом, мы решили объяснить что именно произошло, чтобы в будущем избежать путаниц и спекуляций. В этой статье мы опишем развитие событий, чтобы пояснить что же случилось.

Около года Google скрывал ProtonMail из поисковых результатов для запросов «secure email», «encrypted email» и т.п. Это было крайне подозрительным, т.к. ProtonMail является мировым лидером в предоставлении услуг зашифрованной электронной почты.

В мае 2014го, когда ProtonMail запустил бету, число наших пользователей быстро выросло, т.к. люди со всего мира собрались и поддержали нашу инициативу по защите конфиденциальности в цифровую эпоху. Наша краудфандинговая кампания побила рекорды и собрала более полумиллиона долларов, что дало нам ресурсы сделать ProtonMail конкурентоспособным против самых крупных игроков в бизнесе электронной почты.

К лету 2015го ProtonMail уже пользовалось полмиллиона пользователей и у нас были хорошие позиции в Google - на первой или второй странице выдачи по большинству запросов типа «encrypted email» и «secure email». Однако, к октябрю 2015го, ситуация радикально изменилась и ProtonMail таинственным образом исчез из результатов выдачи по основным запросам.

С начала лета до осени 2015го ProtonMail претерпел много изменений. Мы зарелизили ProtonMail 2.0, (открыт только front-end - прим. переводчика), запустили бета-версии мобильных приложений, обновили наш сайт и сменили TLD с.ch на.com . Также мы выросли вдвое по числу пользователей, которое составляло около миллиона к осени. Все эти изменения должны были помочь ProtonMail в поисковых позициях, т.к. мы становились все более релевантными для многих людей.

В ноябре 2015го мы знали о проблеме и консультировались с многими SEO экспертами, но ни один из них не мог объяснить в чем причина, особенно принимая во внимание то, что ProtonMail никогда не использовал черные методы SEO, и мы не замечали чтобы кто-либо использовал черный SEO против нас. Странно, что эта аномалия была только в Google, в других поисковиках все было нормально. В таблице ниже представлены поисковые позиции для ProtonMail по запросам «secure email» и «encrypted email», на начало августа 2016 в главных поисковиках. Везде первая или вторая страница, кроме Google, в котором мы вообще не ранжировались.

На протяжении весны 2016го мы усердно пытались связаться с Google. Мы создали два тикета для объяснения ситуации. Мы даже пытались связаться с директором EMEA Strategic Relationships, но не получили ни ответа, ни каких-либо улучшений ситуации. Примерно в это же время мы услышали о антимонопольной кампании, начатой Европейской Комиссией против Google, обвиняющей Google в использовании поисковой монополии для снижения поисковых позиций конкурентов Google . Это были тревожные новости, т.к. электронная почта, которая ставит конфиденциальность на первое место является главным конкурентом Gmail для тех, кто заботится о приватности своих данных.

В августе, оставшись без особого выбора, мы использовали Twitter для обнародования нашего случая. На этот раз мы наконец получили ответ, спасибо сотням пользователей ProtonMail, которые привлекли внимание к проблеме и сделали невозможным ее игнорировать. Несколькими днями позже Google информировало нас, что они «что-то пофиксили» («fixed something») без каких-либо деталей. Результаты появились сразу же.

На этом графике ось X это время, ось Y - поисковые позиции (меньше - лучше). Отрезки графика без точек означают, что в данный период мы вообще не ранжировась в Google. После того как Google что-то пофиксил, позиции ProtonMail немедленно восстановились и сейчас мы ранжируемся #1 and #3 по «secure email» и «encrypted email» соответственно. Без каких-либо дополнительных объяснений со стороны Google, мы никогда не узнаем почему ProtonMail не был в выдаче. В любом случае, мы брагодарны тому, что Google наконец принял действия по решению нашей проблемы, мы только хотели бы чтобы это произошло быстрее.

Опасность поискового риска

Этот случай говорит нам о незамеченной ранее опасности, которая носит название «поисковый риск» (Search Risk). Суть проблемы в том, что любой конкурирующий сервис, например ProtonMail, может быть легко подавлен поисковиками или правительством, которое контролирует эти поисковики. Это может случиться везде, невзирая на государственные границы. Например, даже учитывая то, что Google это американская компания, она контролирует больше 90% европейского поискового трафика. В нашем случае Google был причиной того, что показатели мирового роста ProtonMail были меньше на 25% на протяжении почти 10 месяцев.

Это значит, что доходы ProtonMail от пользователей также сократились на 25%, создав дополнительные финансовые трудности для нас. Мы дошли до того, что для покрытия месячных расходов, нам пришлось использовать ресурсы экстренного резервного фонда. Потери прибыли и финансовый ущерб составил несколько сотен тысяч швейцарских франков (1 CHF = 1.01 USD = 63.28 RUB) и никогда не будет возмещен.

Единственная причина, по который мы выжили и пишем эту историю это то, что ProtonMail стал так широко известен, переходя из уст в уста, и наше сообщество было слишком большое, чтобы его игнорировать. Многим другим компаниям повезет меньше. Этот случай наглядно показывает, что поисковый риск это серьезная проблема, и мы согласны с Европейской Комиссией, что из-за доминирующей позиции Google в поисковом бизнесе, его открытость и контроль критически важны.