Как стать автором
Обновить

Комментарии 117

Ничего, скоро они так вырастут на «Сноуденских харчах» что им продадут p.ro :)
НЛО прилетело и опубликовало эту надпись здесь
Я так понимаю что яваскриптом в браузере.
>яваскриптом

Закипаю…
Я что-то немного не понял… Вы — чайник?
Вы всё ещё путаете Яву и Яваскрипт? Тогда мы идём к вам…
Мне кажется, что человек так сильно закипел, что просто так и не смог сказать нормальным русским языком, что…

Это вы путаете Яву с Java, а какой-то вообще неведомый никому Яваскрипт с Javascript. Правильное произношение в IPA можете посмотреть в Wiktionary.
Ну я не кипел… просто намеком пытался разрешить проблему с пониманием у господина, спросившего про чайник.
>We are also backwards compatible with other email providers so you can continue sending and receiving emails from friends who are not using ProtonMail.
Не очень силень с технической точки зрения реализации подобных сервисов. Но как такое возможно? Как можно отослать полностью зашифровонное сообщение на стороне клиента в браузере, что бы его потом кто-то мог прочитать из обычных почтовых клиентов? Там необходимо ставить плагины для браузера которые на лету подхватывают и расшифровывают сообщение?
Тоже самое с обратным порядком. Если сообщение на ящик приходит в обычном виде, то оно шифруется уже на стороне сервера?
Похоже что в таком случае оно не шифруется
Опять получается, что для расшифровки нужно довериться владельцу сервера и передать ему мегасекретный пароль. Это, конечно, лучше Gmail'а, индексирующего письма, но я продолжу ждать Mailpile.
Вы пост читали?
Сообщения ProtonMail не хранятся на серверах в открытом виде — они шифруются на стороне клиента.
Главное, чтобы клиент ничего никуда не «сливал». Надеюсь, его код открыт, иначе смысла в этом сервисе нет.
Читал, но «благодаря» одному популярному автору привык не очень доверять написанному.
На всякий случай проверил информацию на сайте — да, вы правы. И если всё действительно так, как они обещают, то это действительно очень хорошо, но настолько неудобно, что пользоваться такой почтой для большого количества неодноразовых писем практически невозможно. В ней будет невозможно найти нужное письмо.
Нужен локальный сборщик типа thunderbird. Хотя с таким же успехом можно его и обмазать соответствующими плагинами для шифрования и использовать с обычной почтой. Кстати, Google не карает за шифрование почты? Они же теряют тогда рекламный смысл.
Он его обычно как-то хитро тестирует, чтобы самому все как бы шифровать. И как бы все безопасно. Не-не. Только thundrebird с плагинами.
>Google не карает за шифрование почты?
В вебморде их почты подписанные сообщения выглядят как обычные с приложенной файлом сигнатурой, шифрованные как-то так же (только с «невозможно отобразить содержимое»). При использовании гуглопочты через evolution с PGP никаких проблем не возникало.
Надеюсь, его код открыт, иначе смысла в этом сервисе нет.

Мы точно знаем, что google (не говоря уж о mail.ru) может слить информацию по запросу. Мы предполагаем, что у protonmail получить информацию будет сложно. Итого: выбор между сервисами, которые скорее всего сольют информацию при определенном запросе, который читают (независимо от целей) письма, и сервисом, который возможно пошлет лесом тех, кто отправит запрос. Еще и предоставляет возможность шифрования. ИМХО, смысл есть.
Повторюсь, в чем плюс перед обычным шифрованием и отправкой стандартной почтой?
Есть смысл если они действительно не хранят логи. В gmail вы можете зашифровать только тело письма. Зашифрованное письмо и заголовки остаются у google. Вполне возможно они такие письма откладывают в отдельную папочку. Соответственно можно поднять все метаданные за период до начала наблюдения. В этом сервисе можно ожидать, что они сами не сохранят логи доступа и получить заголовки писем будет сложней. Соответственно наблюдая снаружи будет сложней разобраться кто кому и что писал. Не невозможно, но сложнее.
Не знаю что можно вытащить ценного кроме времени из ящика, который используется только для шифрованной почты. Причём доступ к самому ящику через цепочку прокси. Ситуация — появились два ящика. G7336f@gmail.com и HHdgwiu282@gmail.com на имя John Doe. Между ними была зашифрованная переписка. Все. Какая информация из этого может быть получена?
Гипотетическая ситуация:
Появились ящики bob@gmail.com и jane@gmail.com, которые обмениваются собой зашифрованными письмами. Предполагаю, что где-то в недрах АНБ уже зазвенит соответствующий звоночек и этой переписке будет уделяться пристальное внимание. А если выяснится, что, например, bob пишет из какой-нибудь страны, жители которой под особым присмотром у АНБ… Запрос в google, слив информации (пусть и зашифрованной), пристальное внимание к jane, другим контактам обоих… Можно писать долго, но лично мне уже достаточно факта, что на переписку обратят пристальное внимание. Или, например, jane привлекает внимание АНБ и они начинают шерстить ее контакты — заодно и переписку с bob, charlie, kane и кучей других.
Появились ящики bob@protonmail.ch и jane@protonmail.ch. АНБ (и не только), как предполагается, доступа к переписке между ними никакого не имеют, к другим контактам этих ящиков тоже. А в случае запроса скорее всего посылаются далеко лесом.
Дело не столько в шифровании, сколько в том, что мы имеем 2 системы: одну практически полностью прозрачную для соответствующих служб, и вторую предположительно непрозрачную.
Обя ящика через прокси в Гренландии/Антарктиду работают. И никаких проблем со страной. Хоть обсмотритесь. Естественно используются строго изолированно. Хотя вы правы. Проще взять почту заштатного университета в Югославии или ЮАР и использовать. Тут еще меньше вариантов наблюдения. От этого сервиса за версту honeypot разит.
Кстати, я не так давно хотел перейти на почту какой-нибудь теплой банановой южноамериканской страны, где не любят США. К сожалению, все сервисы, которые находил, принадлежали американским компаниям. Если знаете, не подскажете нормальный сервис, хоть в ЮАР? Можно в личку ))
В ЮАР живёт Zatrix
Думаю единственный надёжный (относительно) прокси это одноразовый на основе заражённого вирусом случайного компьютера. Но даже эту систему можно отследить если создан ботнет и противнику удастся перехватить управление. Стационарные прокси поддерживают живые люди к которым можно прийти «на чай» и провести работу.
Свои виртуальные машины. Не прокси-сервисы. С уничтожением машины после каждой отправки и создание новой и чистой из шаблона.
Ваша виртуальная машина должна быть запущена на реальном железе. Это железо как то подключено к сети и возможно арендовано, за это вам нужно платить, соответственно железо не анонимно. Помимо этого виртуальная машина использует сеть провайдера и у него остаются логи.
В теории да, но усилия по выуживанию логов с неизвестных машин среди кучи мусора, в разных юрисдикциях… То еще удовольствие.
ФБР проделывало подобное уже не раз. Безусловно ловят не всех, но организованные группы им поддавались. Особенно если серверы в развитых странах с договорами о взаимопомощи с США и Европой. А если вас педофилом объявят так почти все страны сдадут. Причём могут расследовать реальную педофильскую сеть, а вас заодно подошьют к запросу.
Чем плохи классические Tor и I2P?
Судя по прочитанному Tor может быть скомпрометирован если большое количество узлов окажется в руках наблюдателя. Про I2P не знаю. Если же у вас есть своя сеть, то вы её сами и контролируете. Можете там свой форк Tor поднять и быть уверены, что большая часть узлов не у АНБ.
Проблема своей сети в том, что ей нужно управлять, и каждое действие по управлению сетью прокидывает ещё одну ниточку к вам.
tor и прочие прокси меркнут перед выходом в сеть с левой симки, выполненным в многолюдном месте с минимумом видеокамер.
IMEI телефонов все портит.
По этому для осуществления такой мечты и симка, и телефон, и место должны быть каждый раз уникальными, иначе Вас будет очень легко отследить.
imei перебивается, а место — да, должно быть уникальным. Но пока, имхо, это единственный реальный способ сохранить аннонимность подключения.
Если вас подозревают, то смотрят ваши соединения и по одному раскручивают прокси (в том числе легально). Возможно есть подозрения о вашем корреспонденте и тогда его тоже отслеживают до этого сервиса. Сопоставляют ваши сообщения и действия. Это уже не мало. Плюс обменялись вы ссылочками на некий ресурс, открыли эти ссылки без прокси, а DNS сервер у вас был 8.8.8.8 и вот уже известен ваш IP. Да и вообще масса вариантов спалиться, все без соответствующего образования не предусмотришь.

Отсутствие логов и невозможность прочитать письма (если вы успели уничтожить ключ и свои копии) даёт вам возможность в суде всё отрицать, а прокурору нечего будет предъявить кроме косвенных измышлений. Работает не во всех странах. В Великобритании дадут 5 лет (вроде как) за отказ дать ключ. В других слов прокурора будет достаточно и без ключей.
В Великобритании дадут 5 лет (вроде как) за отказ дать ключ


Можно сказать что забыл.

Тогда бобби придется доказать что есть основания полагать что Вы помните пароль.
Я основывался на примерно таком посте: In The UK, You Will Go To Jail Not Just For Encryption, But ... Там есть ссылка на сам закон. Судя по всему это вам придётся доказать, что у вас нет пароля. А за «забыл» 2-5 лет. Причём не обязательно это будет реальный криптоконтейнер. Может быть «белый шум» от которого попросят пароль.
> Может быть «белый шум» от которого попросят пароль.

А если это действительно белый шум? Ну там ФС сбойнула, или мне нравится слушать белый шум.
Думаю там вариант такой: вас подозревают в хранении запрещённого; к вам пришли и забрали диск; они думают, что у вас криптоконтейнер; самого контейнера не нашли, но есть странный файл; вам говорят или открывай это или 2-5 лет тюрьмы за отказ в выдаче ключа. Это может действительно быть левый файл, но вам будет дорого стоить (в деньгах на адвоката) доказать, что это не контейнер. Отмазаться: «забыл пароль» не получиться. Вы говорите: «это белый шум». Вам говорят: «по нашей оперативной информации это контейнер». Наверняка можно доказать, но дорого и долго.
Интересно, а хватит для доказательства держать, например, аппаратный генератор белого шума?
В смысле: «Это белый шум. Вот с этой штуки записываю».
срок за «отказ» или «забыл при наличии опровержений» (например, в «классическом» linux LVM encryption, access times на файлах могут Вас спалить)

В деле с защитниками зверьков как раз всплыла эта деталь (кому-то впрочем там впаяли кажись полгода)
А были уже дела по такой статье? Может я не прав и та статья нагоняет панику.
Поищу. Было какое-то дело с защитниками зверьков и там адвокат указывал на возможность «забытия» пароля как защиты.
Если я наконец-то правильно понял механику (уже хочется инвайт, чтобы «погонять»), то плюс в следующем: при переписке с теми, кто не пользуется шифрованием, входящие письма шифруется в момент, когда они пришли на сервер, а не когда вы забрали их на свою машину. Да и вообще при получении сразу шифруются заголовки (что хорошо, даже если само письмо уже было зашифровано). Исходящие уходят открытым текстом, если самостоятельно не шифровать, но остаётся зашифрованная копия. Соответственно, все письма можно оставлять на сервере на случай утери локального хранилища, а не удалять их при получении.

Возникает несколько вопросов:
1. В момент получения писем (даже уже зашифрованных) у них есть незашифрованные заголовки. Действительно ли они удаляют всю незашифрованную информацию сразу после шифрования? Могут ли их, например, заставить делать копии писем перед шифрованием?
2. Где и как генерируется ключ для расшифровки? Если на клиенте и не существует ни одного момента, когда ключ передаётся на сервер, то всё хорошо.
1. Даже если они удалили незашифрованные заголовки, то они остались на сервере отправителе.
2. Если сегодня всё генерируется правильно, то ничего не мешает завтра вставить закладку в js код и получать ключи в открытом виде (вы ведь не будете каждый раз сверять полученные js файлы).
Поэтому, как уже писали выше, нужен клиент/плагин с открытым исходным кодом
Клиент — любой клиент электронной почты. Например, Thunderbird, The Bat!..
Плагин — EnigMail/OpenPGP, встроенный.

Для Android K-9 Mail. Под iOS ничего удобного нет (те что видел предполагают работу двумя программами почтовой и шифровальной или не PGP)
Есть такое понятие: Ложное чувство безопасности.
Если мы пересылаем почту через гугл, про который мы точно знаем, то мы применим соответствующую криптографию, не дадим свои ПД и вообще будем относиться с осторожностью. А protonmail же всё равно шифрует, «зачем нам ещё что-то нашифровывать?»

У Tor есть похожая проблема: «Мы сидим через Tor, нам ничего не страшно», говорят пользователи со включёнными плагинами, JS и без антивируса.
НЛО прилетело и опубликовало эту надпись здесь
Если алгоритм шифрования открытый, то как уже выше писали, можно получать зашифрованные письма локальным не вебовым клиентом, в котором будет плагин для расшифровки.
Помимо этого часть смысла теряется если метаинформация частично открытая.
То есть «от кого» и «кому» серверам-то всё равно передаётся, как я понял.
Как может быть анонимной клиент-серверная архитектура? Допустим они не хранят логи, но у провайдеров на пути они хранятся т.е. как минимум факт использования сервисом не скрыть.

Как проверить, что сегодня js код шифрующий сообщения делает это хорошо, а завтра он слил пароль кому нибудь?
Может, клиент использует луковую маршрутизацию? Хотя я сильно сомневаюсь, но всё же…

Да, и если это действительно веб-приложение, то «сливай воду». Возможность слива информации будет зависеть от желания левой пятки создателей сервиса (или спецслужб).
Тут ценность была бы сделай они доступ к серверу через TOR и i2p с использованием thunderbird. Но даже без этого при доступе по стандартным протоколам ценно их обещание не хранить логи хотя анонимности тут никакой.
Как при общении со сторонними серверами не зашифрованные сообщения попадают в базу, если ключ шифрования не хранится на сервере? Допустим, есть ещё одна база для нешифрованных писем. Но тогда имеется возможность без дешифрации найти связь между перепиской и конкретным аккаунтом. Это уже пугает.
Далее, если отправить на сторонний сервер зашифрованное письмо: ссылку, открывающуюся при вводе секретной фразы (по информации с сервиса), а в ответ тот пользователь процитирует сообщение (на всякий случай), то вся безопасность летит к чертям, т.к. переписку сохранит тот сторонний сервер. Более того, нет гарантии, что при получении не зашифрованного письма это письмо после шифрации (если она имеет место) полностью удаляется, а не сохраняется где-то ещё.
К сожалению, из-за участия такой крупной международной организации, как ЦЕРН, сервис выглядит для меня как троянский конь.
ЦЕРН тут для красного словца. Судя по всему эти люди там работают, а этот сервис их побочное развлечение. Что то типа: «Сотрудники Роскосмос сегодня запустили бумажного змея». Вроде ничего особенного, люди каждый день запускают воздушных змеев, но раз сотрудники Роскосмос, то может быть важно, вдруг это новый, двухэтапный, способ обойти проклятие небесной тверди.
Так же, очевидно, отсутствует поддержка стандартных почтовых клиентов. Так же палится или просто не работает вся входящая почта с других сервисов.

В общем i2pmail однозначно лучше и более адекватно совместима с e-mail в большо интернете.
> если ключ шифрования не хранится на сервере
ключи бывают открытые и закрытые
Спасибо. Уже тоже подумал об этом.
На тему неприступности Швейцарии следует не забывать, что американцы сильно оштрафовали швейцарские банки и их совместное с евросоюзом давление значительно нарушило банковскую тайну для нерезидентов. Возможная неуязвимость может быть временной при соответствующем нажиме.
В таком случае — мы об этом, думаю, узнаем. А выдать переписку до того, как будут вставлены какие-то бекдоры, они всё равно не смогут =)
Но то были банки, которые зависят от США, т.к. проводят долларовые операции. Какие рычаги давления у США могут быть на обычную айти-компанию? А если швейцарцы плату за свои услуги будут еще и в биткоинах брать…
Можно объявить создателей сервиса пособниками террористов и объявить в розыск. Что бы разрушить возможность путешествовать для Сноудена даже ордер был не нужен, достаточно было отозвать загранпаспорт. США могут очень сильно нарушить привычную жизнь любого человека на земле, особенно европейца.
Сноудена
особенно европейца.
Не понял связи. Европейцу-то США что сделает?
У США есть договоры на выдачу преступников. В некоторых странах даже граждан этой страны (например, Великобритания). Допустим Ассанж опасается, что его выдадут в Швецию откуда США смогут истребовать его ордером. Но даже если этого не произойдёт, то решение не выдавать принимает конкретная страна и если случится невозможное и Швеция не выдаст, то нужно или до конца дней жить в Швеции или опасаться нового процесса в другой стране. Жить в Европе и не ездить в соседние страны можно, но необычно. Соответственно для европейца будет особенно неприятно, что его могут выдать в другую страну и лишают возможности перемещения по миру.
Это долгая и дорогая процедура. Если помните, против Ассанджа было заведено уголовное дело об изнасиловании, бы выдан ордер, Ассандж объявлен в международный розыск. Свой арест в Великобритании он обжаловал в судебном порядке… Короче, куча мороки с этим. Я не думаю, что такую кашу будут заваривать, если власти США очень сильно не достать.
Кстати, интересно было бы посмотреть статистику по раскрытию информации неамериканскими конторами. В новостях в основном по американским компаниям. А к европейским они не обращаются? Как вообще происходит этот процесс, если АНБ заинтересовала информация, которая находится на европейских серверах европейских компаний?
Меня больше всего интересует не технические аспекты, а социальные.
Кто все эти люди которые ломанулись к ним в таком количестве «что серверы не выдержали нагрузки».

Просто гики, которым шифрование вообщем то не нужно на практике, им просто нравится сама идея и люботытно новый сервис пощупать?

Подскажите, какие есть сейчас социальные группы которым нужно реально такое шифрование?
Это с одной стороны должны быть технически достаточно грамотные пользователи, с другой стороны спецслужбы должны иметь к ним реальный интерес.

Кардеры и прочий сетевой криминалитет? (ок, но их не так много)

«Опозиционеры»? Я думал они и так все работают на какую то спецслужбу и им кураторы выдают схемы шифрованной связи.

Бизнесмены? (ну я хз… может быть им бы полезно вообще, но помойму техническая грамотность и понимание того что это нужно слабовато пока)

Вообще по моему те кому реально нужно шифроваться прямо сейчас, относятся с подозрением к новым сервисам, а жабер с пгп и так работает нормально.
Ну и почту pgp можно шифровать, и плагины к браузерам и почтовые клиенты с удобным pgp шифрованием вероятно есть.

А вопросы с ip этот сервис никак не решает вообще, ну разве что обещают не сливать твой ip (но я бы не обольщался).
«Опозиционеры»? Я думал они и так все работают на какую то спецслужбу и им кураторы выдают схемы шифрованной связи.


Ну да, конечно.

А вообще это как cryptoCat — такое «шифрование в массы». И фактор привлекательности тот же.
Вы действительно считаете, что человек в некоторой стране может быть несогласным с действиями текущей власти и стать ей неугодным только работая на спецслужбы других стран?
Не считаю разумеется.
Но на мой взгляд таких очень мало, и наплыв трафа на сервис они составить не могут.
Не таких что не согласны, а таких кто реально ведет какую то переписку, которую необходимо скрывать от спецслужб.
К ним можно добавить тех, кто любит просто перестраховаться. Из серии «сейчас не веду, ну а вдруг?»
А по поводу наплыва – из опыта многих знакомых – финансовые и юридические переговоры.
Но на мой взгляд таких очень мало,


Вот мне логика непонятна.

Или «нутром чуете»?
Я в интернете обитаю лет 15 уже, и много общаюсь и по работе и просто так.
За все это время 2 (два!!) человека спросило мой pgp ключ и дали свой, чтобы наше общение в жабере было надежно зашифровано.
Те кто озабочен тайной переписки уж как то обмолвятся, а не обменяться ли нам ключами.

А у вас со многими абонентами шифруются сообщения?
Я то предполагаю что есть кластеры, где принято шифровать переписку, просто я в них не вхожу.
И мне очень интересно, что же это за люди.
Думаю, остальные просто либо не обладают достаточными знаниями для организации такой системы, либо не собираются в переписке с Вами срывать покровы@оговаривать правительство. Ну и всегда есть категория тех, которые свято верят, что Скайп/ГМейл/Мейл/яндекс никогда-никогда не выдадут их почту злобным президентам =)
Запомнить два пароля или обменяться ключами с сотнями собеседников? Разумеется второе, ну что может быть проще!
Бизнесу, который во многом теневой. Как минимум самые распространённые сферы теневого бизнеса — обнал и откат. Да и немало людей, которые и просто хотят иметь тайну переписки, и совсем уж немного упёртых паранойков.
Вот все эти PGP они есть. Но нужно более удобное и упакованное, без дополнительных надстроек.
Посмотрим как сарафанное радио распространит данный проект.
О, действительно!
То есть фактически все гос служащие, способные по чину брать взятки — потенциальные клиенты.
Это уже реально нехило народу.
Честно говоря не хочу на эту тему дискуссию устраивать. :)
У вас слишком ограниченная картина мира, накрученная современной политикой
Лично мне просто хочется чтобы мою переписку никто не читал. ИМХО, это нормальное человеческое желание «поговорить за закрытыми дверями».
Прилагали ли вы к этому какие то усилия?
Есть ли у вас абоненты, с которыми вы использовали шифрование при обмене сообщениями?

Чем выше безопасность, тем ниже юзабилити.
Мои наблюдения говорят что пользователи тотально выбирают юзабилити в ущерб безопасности и шифрованию.

Например, если вы начнете пользоваться протонмайл, а ваши абоненты не начнут, то ваша переписка продолжит идти плейнтекстом часть пути.
Будите ли вы тратить свое время, убеждая собеседников перейти на протонмейл?
Поддерживаю. Нынче почему-то выставляют это желание как что-то плохое «шифруешься, значит есть что скрывать». Так через некоторое время и мысли будут контролировать. Чтобы ничего неправильного не думали.

А на самом деле, я не против, чтобы мою переписку проверили, предварительно спросив моего согласия. Однакож, никто спрашивать не собирается. :)
НЛО прилетело и опубликовало эту надпись здесь
Думаю, добавил в профиль, потому что слово красивое =)
Либертарианцы ессно мечтают чтоб их переписку никто не читал, и не мог читать.
Но либертарианцев на планете кот наплакал.

Я ведь не писал ничего о том, что я считаю правильным и чего бы мне хотелось.
Какая разница какие у меня убеждения, если я описываю наблюдения?
Я то очень рад что подобные сервисы появляются.
А еще больше тому, что они интересны людям, и вроде как даже большому количеству людей.
Это очень круто!

В то же время, среди моих личных знакомых это крайне мало кому интересно.
Вот меня и удивляет, откуда столько народу, кто обеспокоен тайной переписки, кто все эти люди?
Может Ваши знакомые не обеспокоены тайной переписки с Вами :)?
Очевидно, что так и есть.
А ваши обеспокоены?

Надо быстрее регать ящики для себя, детей и внуков, пока хорошие логины не заняли)
Не волнуйтесь, скоро клоны появятся =)
НЛО прилетело и опубликовало эту надпись здесь
Судя по скриншотам, там дисковая квота 100 метров. Это не очень много.
НЛО прилетело и опубликовало эту надпись здесь
Уже официально даже обьявили несколько лет назад, что более не существует банковской тайны, и Швейцарские банки по запросу все сливают в ФБР.
А тут какие то IP.
Банки, проводящие долларовые операции, зависят от США, т.к. все эти транзакции проходят через американские банки. Те просто могут непослушные банки заблокировать и эти банки не смогут работать с долларом.
Какие рычаги давления у США на айти-компании?
Если уж смогли на банки надавить, которые святая святых были там, на IT компании думаете не смогут?

Я не утверждаю что они уже все ip сливают, но было бы наивно думать что ФБР не сможет найти этих рычагов, если сильно захочет.
Я же говорю — банки напрямую зависят от США. Они вынуждены оглядываться на законодательство США, т.к. вся их долларовая деятельность проходит через американские банки. Например, правительство США, руководствуясь собственным законодательством, вводит санкции против некоего зарубежного банка. Американские банки не имеют право вести дела с этим зарубежным банком. Зарубежный банк теряет возможность работать с долларами, т.к. все долларовые транзакции идут через американские банки. Короче, США имеют возможность оказывать прямое воздействие на зарубежные банки, минуя другие правительства и т.д. В случае айти-компаний такой возможности у США нет. Они только могут попытаться заморозить счета (ситуация лечится переходом на биткоин). Или могут обратится к правительству страны, в которой зарегистрирована и ведет деятельность компания.
Вы оптимист.
Эм, а может кто в двух словах рассказать, на чем шифрация построены? Закрытый-Открытый ключи?
НЛО прилетело и опубликовало эту надпись здесь
Создатели сервиса утверждают, что ProtonMail способен и превзойти по защищённости недавно закрывшийся Lavabit. [...]
Сообщения ProtonMail не хранятся на серверах в открытом виде — они шифруются на стороне клиента

Еще раз о важности децентрализации.
Отправил запрос в понедельник. До сих пор нет инвайта. Кому-нибудь приходил инвайт?
Инвайт еще не пришел пока.

ИМХО, для многих случаев достаточно просто завести в Швейцарии себе VPS или обычный хостинг с почтой. По крайней мере не будет проблем с почтовыми клиентами.
Швейцария, говорят, уже не та что раньше.
Тоже отправил запрос на инвайт.
Насчёт шифрования входящих — прежде всего стоит помнить, что входящие с другого сервиса могут быть отслежены уже на сервисе, с которого идёт письмо. А что касается хранения — ProtonMail, как я думаю, хранит публичный ключ и автоматически шифрует входящие, а только затем кладёт в базу Ваших входящих. Тут, конечно, доверие к ProtonMail нужно в любом случае =)
Как уже было сказано — не факт, что при определенных обстоятельствах сервер не отдаст вам JS код, который сведет все шифрование на нет. При чем может это сделать не для всех, а для вас конкретно. Никто же палить это не будет
Ничего, думаю, на этот случай скоро появится расширение для браузера =)
Инвайты прекрасно сочетаются с заголовком «Команда разработчиков из ЦЕРН запустила защищённый анонимный почтовый сервис ProtonMail», когда вся анонимность зиждется на анонимности на стороннем почтовом ресурсе, куда приходит этот самый инвайт.
Инвайты — это пока оно перегружено.
Первая волна параноиков-то набежит сейчас.
Ну те, кому важно не показывать связь между одним и вторым ящиком, думаю, не просили инвайт =) А вот я сознательно зарегистрировал crimier@. Мне важно не отсутствие связи между двумя ящиками, а неприкосновенность моей переписки.
Как я понял, если письмо посылается с протонмаила на внешний почтовик, то другой стороне нужно сообщить пароль для прочтения моего письма. Это все описано в описании протонмаила. Но вот про передачу сообщений внутри это почты не сказано, что нужно другой стороне сообщать пароль. Так какой механизм прочтения зашифрованных сообщений реализован внутри протонмаила? Нужно ли и в этом случае своими каналами сообщать пароль для расшифровки?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории