Защищенная почта ProtonMail

Защищенная почта ProtonMail

В предыдущей статье мы рассказывали про VPN-сервис ProtonVPN, разработчиками которого являются сотрудники Церн. А в этой статье мы рассмотрим еще один проект этой команды.

Сегодня вы узнаете все касаемо защищенной почты ProtonMail. Вы узнаете чем она отличается от других почтовых сервисов и какие использует технологии защиты, насколько она анонимна, как зарегистрироваться и как пользоваться ProtonMail и еще многое другое, что вы должны о ней знать. Ну, что, погнали!

Защищенная почта ProtonMail

Содержание

  • Предисловие
  • Возможности
  • Регистрация
  • Использование
  • ProtonMail в Tor
  • Вирус ProtonMail
  • Почта Протон в сериале Mr.Robot
  • Интервью одного из создателей
  • Заключение, оценка и отзывы ProtonMail

Проект работает с 2013 года. С 2013 по 2014 был в стадии тестирования. Создателями сервиса являются сотрудники ЦЕРН (Европейской организации по ядерным исследованиям) Энди Йен, Джейсон Стокман и Вэй Сун (понятно почему называется Протон почта). Офисы и сервера находятся в Швейцарии в Женеве.

Почта ProtonMail отличается от остальных почтовых сервисов возможностью шифрования письма прежде чем оно отправляется на сервер. Весь процесс шифрования / дешифрования происходит непосредственно в веб-браузере, и на сервере сервиса сохраняются только зашифрованные данные. Как утверждают авторы сервиса, даже в судебном порядке они не смогут расшифровать сообщения пользователя.

protonmail обзорПо умолчанию сервис  использует один пароль для доступа, но есть возможность использовать два пароля, что улучшает безопасность почты. Почта Протон использует комбинацию из двух решений шифрования: криптографии с открытым ключом (RSA) и протокол симметричного шифрования (AES).

  • Первый для идентификации пользователя (Password).
  • Второй для расшифровки им хранящихся на сервере данных (Mailbox Password).

Первый пароль пользователя хранится на серверах ProtonMail (пользователь может его изменить в любое время), в то время как второй пароль известен только самому пользователю, это является причиной того, что сервис не дает возможность изменить или восстановить данный пароль.

Кроме этого почта Протон обеспечивает возможность установить дату истечения срока хранения писем, по истечению которого сообщения будут подвергнуты самоуничтожению.

Имеется как бесплатная, так и несколько платных версий с большим набором функциональности, но с одинаковым уровнем защиты. Хотелось бы заметить, что платность никак не влияет на уровень защиты, а только добавляет дополнительные функции.

Для пользователей бесплатной версии ProtonMail двухфакторная аутентификация отсутствует.

На данный момент интерфейс почтового сервиса переведен на: английский (основной), французский, итальянский, польский язык. Русского языка увы пока нет.

Обновлено 08.07.2017. Добавлен русский язык (за информацию спасибо подписчику Андрей Еремеев).

Шифрование в ProtonMail

Письма между пользователями почтового сервиса Протон шифруются автоматически. Электронное сообщение ПротонМейл, направленное адресату, использующему сервис других поставщиков, может быть зашифровано по желанию клиента или пересылаться в незашифрованном виде.

Протокол Transport Layer Security (TLS) используется для обеспечения безопасности и шифрования всех обменов между ProtonMail и пользователями других сервисов.


При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении, полученном адресатом, находится ссылка, которая направляет к серверу ПротонМейл. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение или ответить на него.

Основные возможности ProtonMail:

  • Функциональность создана на JavaScript. Открытого API нет.
  • Сервис успешно работает с кириллицей.
  • В сервисе реализована возможность создания собственного домена (только для платных аккаунтов)
  • Вложения в электронное письмо шифруются вместе с текстом письма.
  • Клиентские приложения для мобильных устройств: Android и iOS.

Регистрация ProtonMail

На самом деле в регистрации почты Протон нечего трудного нет, можно было бы даже не останавливаться на этом. Но все таки для тех кто не знает английский язык, я побыстрому расскажу.

Заходим на сайт ProtonMail и в правом верхнем углу нажимаем на кнопку «SIGN UP» (регистрация).

Регистрация ProtonMail
Регистрация ProtonMail

После чего в выпадающее меню «FREE» нажимаем на кнопку «SELECT FREE PLAN».

Регистрация ProtonMail
Регистрация ProtonMail

Теперь введем наши данные.

  1. В поле «Username and domain» выберем имя пользователя и доменную зону. На данный момент на выбор две доменные зоны: protonmail.com и protonmail.ch. Я выберу com.
  2. В поле «Password» вводим пароль. Очень рекомендую использовать сложный надежный пароль. А чтоб не забыть сложный пароль использовать менеджер паролей.
  3. Поле «Recovery email» (восстановление пароля) опционально. Если вы доверяете ребятам из Протон, тогда можете добавить какую-нибудь почту для восстановления. Если не доверяете, тогда лучше не палить реальный почтовый ящик. Я бы лично не линковал.

В конце нажимаем «CREATE ACCOUNT» (Создать учетную запись).

Регистрация ProtonMail
Регистрация ProtonMail

Теперь надо ввести капчу. Существуют несколько вариантов подтверждения того что вы не робот. Я предпочитаю и вам рекомендую первое «Captcha».

ProtonMail Регистрация
ProtonMail Регистрация

После нажатия на кнопку «COMPLETE SETUP» вас перебросит на главную страницу.

Работа в ProtonMail

Главная страница чем-то похожа на Gmail. В верхней части слева на право:

  • Search messages — поиск по ящику
  • UPGRADE — покупка платной версии
  • SETTINGS — настройки
  • CONTACTS — контакты
  • REPORT BUG — сообщить об ошибке
  • SPYSOFTNET (в моем случае) — позволяет выйти из почты и также скопировать адрес почты
ProtonMail Регистрация
Главное окно почты Протон

В левой части экрана меню для работы с почтой (сверху вниз):

  • COMPOSE — написать сообщение
  • Inbox — входящие
  • Drafts — черновики
  • Sent — отправленные
  • Starred — помеченные звездочкой
  • Archive — архив
  • Spam — спам
  • Trash — корзина
    • All mail — вся почта
  • Label settings — метки

ProtonMail в Tor

В начале этого года защищенная почта Протон обзавелась Tor-адресом. Сайт заимел даже SSL-серфитикат от компании DigiCert, что немного удивило, так как onion-адреса в отличии от обычных доменов не приобретаются.  Видать ребята подумали, а чем мы хуже Фейсбук, который тоже имеет сертификат безопасности в Tor.

protonmail com вход
Вход в ProtonMail

Звучит конечно хорошо, но возникает вопрос, зачем? Если бы они вместе с этим добавили бы какую-нибудь облегченную версию веб-интерфейса без использования технологии JavaScript, тогда я понимаю. В итоге получается так: как защита от провайдера да, но никто не гарантирует защиту от самих создателей использующих JavaScript.

ProtonMail в сериале Mr.Robot

В 1 сезоне 8 серии сериала Mr.Robot главный герой Elliot использует анонимную почту ProtonMail. На этом скрине главный герой заходит в почту.

ProtonMail Mr.Robot
Авторизация ProtonMail в сериале Mr.Robot

А здесь просматривает логи входа.

ProtonMail Mr.Robot
Анализ лога входов в ProtonMail в фильме Mr.Robot

Почему я упомянул сериал Mr.Robot, да потому что это единственный не документальный фильм про хакеров, который в сценарии и в сценах взлома использует настоящие методы, а не всякую анимационную неправдоподобную голливудскую фигню.

За всеми идеями сцен взлома стоят специалисты информационной безопасности и бывшие хакеры. На мой взгляд это добавляет к уровню доверия как самому сериалу так и защищенной почте. В целом неплохой сериал. Любителям жанра очень советую посмотреть. Еще советую посмотреть документальные фильмы о хакерах и программистах.

Вирус ProtonMail

В некоторых случаях авторы программ-вымогателей для общения с жертвой используют почту Протон. Довольно часто попадается адрес winrar@protonmail.com. Никакого отношения к разработчикам этот факт не имеет.

Заключение

Это один из немногих пока еще бесплатных защищенных почтовых сервисов. В плане защищенности он лучше чем большинство почтовых сервисов, а вот в плане анонимности не все так радужно. Использование JavaScript сводит всю анонимность к нулю. Что может не только деанонимизировать, но и в некоторых случаях привести к другим сценариям.


Еще один момент который мне не понравился — это подтверждение регистрации с помощью телефона или какой-нибудь другой почты. Конечно никто вас не заставляет использовать для подтверждения свою настоящую почту или светить ваш реальный номер, вы же можете воспользоваться виртуальным номером или еще лучше каким-то левым ящиком на каком-нибудь VFEmail напирмер.

Что лучше ProtonMail или GPG/PGP?

Я бы по старинке использовал GPG/PGP шифрование электронной почты.

Стоит ли использовать ProtonMail?

Если вы не можете или не хотите самостоятельно настраивать PGP-шифрование, тогда — вполне. Почта Протон во многом надежнее обычных почтовых сервисов.

В каких случаях не стоит использовать почту Протон?

Я бы наверное не рекомендовал данный сервис исключительно тем, для кого почта это основной инструмент, и кто не нуждается в особенном уровне защиты почты. Потому что бесплатного аккаунта вам будет явно не хватать, а цены на платные услуги по нашим меркам совсем не демократичные.

Недостатки ProtonMail

  • Нет русского языка.
  • Использование JavaScript.
  • Нет открытого API.
  • Не поддерживает доступ через IMAP и POP (в плане безопасности — это плюс).
  • Невозможно экспортировать PGP-ключи.
  • Не лучшая организация писем (в Gmail удобнее).
  • Нет двухфакторной аутентификации (в Gmail она есть).

Достоинства ProtonMail

  • Защищенная почта.
  • Бесплатная защищенная почта.
  • Открытый исходный код.
  • Передача защищенных паролем сообщений.
  • Самоуничтожающиеся сообщения.
  • Сервис поддерживает работу с кириллицей.
  • Создание собственного домена (только в платной версии).
  • Почтовые клиенты для Android и iOS.

И напоследок. Друзья мои. Приватность в сети это ваше право. Мне не понятно почему обычные люди не считают зазорным запирать свои дома и квартиры. И ведь этот факт не вызывает у властей подозрений «если заперто —  значит внутри творится что-то незаконное». А вот в сети — это страшных грех, «если на замок — значит вы маньяк, террорист и негодяй».

Все остальные материалы на тему анонимности и безопасности в сети вы можете найти самостоятельно используя форму поиска по сайту. А на сегодня все. Я вам желаю безопасности как в онлайне так и в оффлайне. Удачи, друзья!

Интервью разработчика почты Протон (английский). Включайте русские титры.

ВКонтакте
OK
Telegram
WhatsApp
Viber

24 комментария

  1. Андрей Еремеев

    меня очень порадовало, как Tor реагирует на ссылки Spy-soft
    скрин

  2. Андрей Еремеев

    кстати, автор плохо изучил Протон, там есть и русский (и на сайте и в мобильном приложении) и есть двухфакторная идентификация..

    отсутствие поддержки imap и pop это не недостаток, а огромный жирный плюс, т.к. именно лишние imap и pop и являются основной причиной взломов…

    • Falcon

      Андрей, на момент начала написания статьи а это было если я не ошибаюсь начало года, русского не было. За поправку конечно спасибо. В статье исправим.

      По поводу ссылки. Для Tor любой клирнетовский сайт считается подозрительным ))

  3. Юрий Горло

    а ещё есть Tutanota! )

  4. Jonny Laurent

    Андрей, есть, в настройках можно выставить, с 2015 пользуюсь им, языки кстати не очень давно добавили) убрали домен .ch, также пароль на крипт нужно теперь выставлять отдельно, но это мелочи, сейчас хоть не ждать неделю пока дадут регистрацию, а ранее было именно так все)) так же вскоре можно будет усиливать pgp-keys сейчас 2048 бит, но обещают дать выбор на увеличение

  5. Jonny Laurent

    Falcon, верно, ни так давно появились, после обновы сервиса) пример как установить пароль на расшифровку отдельно от основного, в настройках это есть

  6. Евгений Пухов

    А вот интересно, а какой смысл в использовании таких сервисов на обычном домашнем компьютере, где можно считать пароль по нажатию клавиатуры?, а в браузерах так тем более…

  7. Юмпа Турман

    Евгений, эта информация для общего развития…что бы люди знали что такое есть…а вот что бы не было возможным считывать пароли по нажатию клавиатуры, то используйте виртуальную клавиатуру с случайной генерацией клавиш (при каждом новом запуске клавиши вперемешку) это сделает невозможным либо усложнит добычу пароля.

  8. Маша

    Из всех защищенных почтовых сервисов, перепробованных мной, протонмаил лучше всех

  9. spb304

    Здравствуйте, ещё раз !

    Я только что оставил свой коммент у Вас на сайте по поводу настройки Tor.
    Теперь о » ProtonMail «. Почти год назад я написал письмо создателям этой почты. И предложил им
    сделать в своей почте две функции:

    1) Чтобы была возможность отправлять письма с задержкой по времени. Например, сегодня я пишу письмо, а через день или несколько дней, когда у меня всё выключено, и VPN, и Tor, и вообще компьютер, моё письмо отправляется. И потом пускай ищут отправителя по временным меткам.
    Провайдеров всех на уши поставят, чтобы те носом землю рыли, но сказали у кого в данное время был включён Tor или VPN.
    2) Чтобы человек, пославший мне письмо, не смог получить подтверждение, что его письмо я открывал, и открывал в определённое время. Если эту функцию не сделать, то опять провайдеры, порывши землю носом, скажут у кого был включён Tor или VPN, и кто может быть потенциальным получателем этого письма.

    Создатели ProtonMail мне написали, что лучше бы я эти вопросы задавал на форуме, так как они ориентируются на большинство пользователей. С одной стороны это правильно. Но я понял так, что у них на форуме подобрался такой контингент, которому не нужен второй пароль, который предоставляет ProtonMail, а следовательно не нужна и настоящая анонимность и безопасность в Интернете.
    Прошёл почти год. Может быть кто-нибудь знает, прислушались они к моему мнению или у них всё по старому.

    С уважением, spb304

    • Петя

      Интересные идеи.
      Могу поддержать на форуме.

  10. Александр

    Не хватает даты публикации у статьи. Чтобы оценить актуальность.

    • Falcon

      Дата публикации 07.07.2017

  11. Аля

    Здравствуйте. Подскажите пожалуйста, как создать шаблоны писем в почте протон

  12. Александр

    У кого паранойя ставите себе TOR или прокси сервер далее идёте в общественное место и по Wi-WI регистрируетесь на любой почте и делайте что хотите не забудьте симку перед всем этим вынуть. Для большей безопасности можно купить левый смартфон или планшет. И вас ни кто не вычислит если конечно не будет язык распускать везде. Молчание золото, это я вам говорю как бывший сотрудник российских силовых структур. Да и ни где не пользуйтесь больше устройством с которого хулиганили. Похулиганил, выключил особенно чтобы не было симки а то могут вычислить по билингу да и места надо менять периодически. Я то я пишу в целях безопасности, я ни кого не призываю что либо делать вообще нарушать закон нельзя. К стати есть много статей по безопасности и в интернете и по безопасности мобильной связи. Даже есть сайты специальные которые этому посвящаются.

  13. Александр

    И еще с устройства которым пользуешся для безопасности с него не надо некуда заходить не в какие аккаунты соц себе вообще не куда. Иначе вычислят. Вошёл под своим паролем и логином с анонимного устройства и всё считайте что поймали вас или тебя.

  14. Александр

    Как то раз общался с бывшими сослуживцами возникла тема Сноудена так вот а бы ли вообще этот Сноуден сотрудником спецслужб. Шоу ни чего больше как арест агента цру в Москве когда агент был одет в женщину да ещё операцию показывали по всем каналам. Всё это ШОУ ни чего больше.

  15. vcz

    На мой взгляд, протон зашкварился. Пытаюсь зарегистрировать почту на протоне — пишет, для предотвращения спама подтвердите, что вы человек (с помощью email, sms или donate). Ваш почтовый адрес или телефонный номер не будет привязан к созданному аккаунту. Это только для процесса регистрации (To fight spam, please verify you are human. Your email or phone number will not be linked to the account created. It is only used during the signup process.)

    Почту я ему давать не стал, ибо сейчас не найдешь такого сервиса, где можно было бы создать почту без мобильного телефона — собственно, я рассчитывал, что протон и будет таким сервисом. Решил сделать по смс: нашел сервис для приема смс, указал протону телефон этого сервиса, он прислал на него код подтверждения. Ввожу код — он мне пишет: адрес электронной почты или телефон уже используется.

    А как он мог это узнать? Только так, что ПРИВЯЗАЛ данный телефон к чьему-то аккаунту, а затем, когда я регистрировался, он проверил, не привязан ли данный номер к чьему-либо аккаунту. Т.е. то, что номер не привязывается к аккаунту — это наглая ложь. И вообще, какое протону дело, что этот номер уже кем-то используется, если все это нужно лишь для предотвращения спама? Маразм крепчал. Не советую пользоваться сервисом, где тебя не просто обманывают, а еще и держат за идиота уже на стадии регистрации.

  16. Dim

    Привет. При подтверждении что «Я не робот» на выбор предлагались только мыло или телефон. Я ввел почту яндекса, куда мне прислали код подтверждения для завершения аккаунта. Это плохо?

    • Falcon

      Если это реальное мыло, тогда это деанонимизация.

  17. Влад

    Здравствуйте. Протон заблокирован, невозможно общаться с людьми. Кто знает — есть способы открыть почту снова или теперь ВСЁ?

  18. Никита

    Тем, кто читает это в 2021, НЕ используйте protonmail. Сейчас уже стало понятно, что это нисколько не анонимный ресурс (если интересно, почитайте про арест эко-активиста ( _https://habr.com/ru/news/t/576502/ ) ).

    И в комментариях правильно подметили, протонмейл нельзя даже зарегистрировать анонимно, без телефона или ввода реального емейла.

    Мне вообще кажется, что 100% анонимных почтовых сервисов не существует.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *