Protonmail – почта, которую не может прочесть даже АНБ
Почтовый сервис ProtonMail целых два года находился в стадии тестирования, доступ к которому можно было получить только по приглашению, однако теперь сверхбезопасная почта стала доступна всем желающим и обзавелась мобильными клиентами для iOS и Android. Сервис обеспечен полным шифрованием, поэтому доступ к данным пользователя не может получить даже сама компания-разработчик.
ProtonMail— популярный сервис веб-почты с шифрованием, созданный в 2013 году сотрудниками ЦЕРН (Европейская организация по ядерным исследованиям).
Серверы ProtonMail находятся в Швейцарии, так как, в отличие от Соединенных Штатов, правоохранительные органы Швейцарии не имеют права прослушивать телефонные переговоры или закрывать серверы. Летом 2013 года правительство США оказало давление на компанию Lavabit, которая также занималась шифрованием почты, в результате чего Lavabit пришлось закрыться.
18 марта 2016 года вышли в свет мобильные клиенты в Apple AppStore (универсальное приложение с поддержкой iPhone, iPod Touch и iPad) и магазине Google Play для смартфонов и планшетов на базе Android. Неделей ранее приложение было официально запущено в Швейцарском AppStore.
Возможности сервиса.
ProtonMail отличается от многих других почтовых сервисов возможностью шифрования письма, прежде чем оно отправляется на сервер.
Сервис ProtonMail бесплатный; пользователям придется платить, только если они захотят приобрести дополнительное место для хранения почты и вложений. Однако будут доступны и платные аккаунты с абонентской платой 5 долларов в месяц и размером почтового ящика в 1 гигабайт.
Письма между пользователями ProtonMail шифруются всегда автоматически. Электронное сообщение ProtonMail, направленное адресату, использующему сервис других поставщиков, может быть зашифровано по желанию клиента, а может пересылаться в не зашифрованном виде.
При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении, полученном адресатом, находится ссылка, которая направляет к серверу ProtonMail. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение.
Функциональность создана на JavaScript. Открытого API нет.
Клиентские приложения для платформ Android и iOS.
Языки интерфейса: английский, французский. Планируется перевод на другие европейские языки.
Сервис успешно работает с кириллицей.
В сервисе реализована возможность создания собственного домена (только для платных аккаунтов).
Вложения в электронное письмо шифруются вместе с текстом письма.
Особенности.
ProtonMail использует два пароля для входа на сервис: один для идентификации пользователя (Password), а второй для расшифровки им хранящихся на сервере данных (Mailbox Password). Вся процедура шифрования/дешифрования происходит непосредственно в браузере и на сервере ProtonMail сохраняются только зашифрованные данные. Первый пароль пользователя хранится на серверах ProtonMail(он может быть изменён по желанию пользователя), в то время как второй известен только самому пользователю, поэтому ProtonMail не предлагает возможность восстановить или изменить этот пароль. Владельцы сервиса, по их утверждению, не могут расшифровать сообщения даже в судебном порядке.
ProtonMail обеспечивает возможность поставить дату истечения срока хранения писем. Сообщения могут быть подвергнуты самоуничтожению после определенного периода времени.
ProtonMail использует комбинацию из двух решений шифрования: криптографии с открытым ключом (RSA) и протокол симметричного шифрования (AES).
Двухфакторная аутентификация отсутствует, она не будет доступна и в будущем для пользователей бесплатной версии ProtonMail.
Протокол Transport Layer Security (TLS) используется для обеспечения безопасности и шифрования всех обменов между ProtonMail и пользователями других сервисов.
Схема обработки данных ProtonMail.
Ограничения.
Поддержка POP3/IMAP/SMTP отсутствует.
Поиск осуществляется по имени отправителя, теме письма или по фрагментам текста тех писем, которые хранятся в электронном ящике в открытом виде.
Пользователю предоставляется 500 Mb (в бесплатном варианте) пространства для хранения данных и возможность отправления 150 электронных писем в день (в бесплатном варианте). Сравнение версий:
Пользователю предоставляется минимальные возможности редактирования текста сообщения: жирный шрифт или курсив, заголовки, списки. Возможность сложного редактирования письма предоставлена в HTML. Сложное форматирование сохраняется в случае прямого копирования заготовки сообщения из текстового процессора.
Все письма распределяются по папкам: «Полученные», «Отправленные» и «Черновики». Существуют папки «Спам» и «Корзина». Возможность создания папок пользователем на данный момент не реализована.
Выявленные недостатки.
Программист Майк Кардвелл, специализирующийся на поисках уязвимостей в ПО, обнаружил уязвимость у сервиса ProtonMail, которая позволяла исполнить произвольный JavaScript-код на компьютере ничего не подозревающего пользователя и получить открытый доступ к его аккаунту электронной почты.
- 17 июня 2014 года сервис ProtonMail начал кампанию по сбору добровольных пожертвований пользователей для покупки серверов, финансирования разработок и деятельности сервиса. Целью был сбор $ 100 000 на работу по совершенствованию электронной почты. В качестве бонуса пожертвователям немедленно предоставлялась возможность немедленной регистрации на сервисе. Уже к 31 июля 2014 года собранные средства достигли $ 550 492. В ходе этой кампании счет ProtonMail был заблокирован компанией PayPal 30 июня 2014 года. Представитель PayPal объявил, что PayPal заблокировала учетную запись, потому что компания сомневается в законности данного сбора средств. Блокировка счёта была снята на следующий день (1 июля 2014 года).
- Фрагмент использования сервиса ProtonMail показывается в одном из эпизодов американского телесериала «Мистер Робот».
- 3 ноября 2015 года администрация ProtonMail получила электронное письмо с требованием выплатить деньги, в противном случае на сайт будет осуществлена DDoS-атака. Вскоре сервер был атакован и выведен из строя на 15 минут. 4 ноября была осуществлена ещё более мощная DDoS-атака. Она вывела из строя дата-центр и системы провайдера. Компания после этого выплатила выкуп в размере 15 биткоинов (около 384 000 рублей). Тем не менее, хакеры продолжили атаку. Ответственность за инцидент была возложена на хакерскую группу Armada Collective. ProtonMail собирается заключить контракт с компанией, занимающейся защитой от киберугроз. Чтобы собрать необходимые $100 000, операторы сайта организовали кампанию по сбору средств среди пользователей.
