Comments 69
Кто их финансирует?!
Потом подумал: «С другой стороны, но кому я, на хрен, сдался, с моими секретами?»
Всё-таки зашёл к ним на сайт посмотреть. Увидел страницу регистрации. Не увидел на них до боли зубовной знакомых «номера мобильного», «секретного вопроса», «папа пьющий ли», «родители не сумасшедши ли» и пр. пунктов из анкеты НКВД. Даже пункт «запасной е-мэйл» необязателен. Испытал множественный микрооргазм, зарегистрировал пока один аккаунт, но ещё штук десять сделаю, просто чтобы удовольствие получить.
У меня — 3 учетки (рабочая, мобильник, технологическая для доступа бота к телеграм)…
Платные учетки дорогие — 5-евро в месяц… Можно и дешевле найти…
А с обычного IP да, ничего не требуют.
«С другой стороны, но кому я, на хрен, сдался, с моими секретами?»
Я на эту почту перекинул аккаунты, связанные с финансами, криптовалютами и т.п.
И рассказал об этом здесь, такова судьба всех усиленных шифрования.
Мой ящик защищён совершенно одинаково, что у protonmail, что у mail.ru — двухфакторная авторизация. Разница лишь в том, что mail.ru радостно выдаст все мои операции с криптовалютой, если вдруг в этой стране за них станут преследовать, а вот protonmail — нет.
У похожего, но чуть менее раскрученного сервиса posteo есть возможность платить отправкой наличных в конверте по почте. Так что можете еще и источник финансирования не раскрывать;)
Даже пункт «запасной е-мэйл» необязателен. Испытал множественный микрооргазм
Поддался на провокацию, но… удовлетворения не получил. После выбора логина/пароля перекинуло на страничку с предложением подтвердить то, что я человек: номер телефона, кредитка, другой мейл. Указание адресов почты сервисов временных мейлов не прокатывает)
Он находится в Швейцарии. По мнению разработчиков, сервис защищён от действия американских и европейских законов, в первую очередь, от контроля АНБ.
В Швейцарии сейчас такие же законы, как и в остальных Европах… Отменена даже святая святых — тайна вкладов. Так что если надо — органы за органы-то возьмут.
Хотя от т-ща майора возможно и защитит. Если не очень его разозлить…
Давно пользуюсь ProtonVPN, весьма удобная штука на мобиле, но не на постоянку, часто отваливается с ошибками.
Это ещё если закрыть глаза, что всё это массовые сервисы и ни о какой нормальной приватности/анонимности речи не идет. Есть всякие StartMail, FastMail и прочие. Где-то есть прицел на безопасность, где нет, но опять же — цены те же плюс минус у всех.
Так что ProtonMail с доменом за 4 бакса при оплате за год вполне неплох. Плюс всякие фишки бонусом, вроде того же IMAP Bridge.
сервис защищён от действия американских и европейских законов
Это только постольку поскольку и, как говорится «до поры до времени». То, что там всё шифруется — это отлично, но в любой момент можно повернуть рубильник и моя почта улетит порхая крыльями, а вместе с ней и все связи. Lavabit как бы намекает.
Может я и параноик, но я бы предпочёл видеть действительно независимый от любых госуровней сервис. Вот это было бы дело. Есть варинат со своим почтовым сервером, но он зависит от DNS или IP, которые так же легко отбираются. Когда появился блокчейн мне это пришло в первую очередь в голову — распределённая сеть с гарантированной целостностью. Если бы организовать подобный сервис и распространить на сотни миллионов по всему миру… Да, это не было бесплатным — потому что за своё надо платить, надо держать майнер включенным в розетку, надо иметь дисковую ёмкость, вычислительные мощности и т.д. и т.п. Но это можно продумать и оптимизировать. Кто не хочет платить или счтает, что ему скрывать нечего — может и дальше пользоваться гуглом, дело личное. Но… прошло уже 10 лет, а технология так и не поднялась выше уровня спекуляций на крипте. Греет душу то, что пока это всё только обкатка технологии с немалым потенциалом.
Другой вопрос в адаптации рядовыми пользователями — они и на анархичной крипте спекулируют на биржах с верификацией по паспорту, при наличии ряда альтернатив)
И на protonmail не IT-параноика с гугла пересадить проблема, не говоря о подобным специфических решениях, требующих большого количества телодвижений.
Это называется внутренний корпоративный/домашний почтовик/xmpp. Не арендованный дедик или VPS, а свой, ламповый.
Проблема в том, что его надо выпускать в инет. Т.е. вы его полюбому привязываете к какому-то IP. Т.е. попадаем сразу на провайдера. Если у вас просто меняется провайдер или место жизни сервера — надо всё перенастраивать. Независимый же сервис должен иметь только одно условие — выход в сеть. Как торрен, который в портабельном варианте приложения позволяет скачивать/раздавать с любого места, нужен только доступ в сеть (локальную или мировую — неважно). Понятно, что у вас должны быть электричество, деньги и прочее — если у вас этого нет, то всё это уже неактуально)
Я это вижу ещё вот под каким углом: у меня есть какой-то вид контакта и связи, который работает. Я могу кому-то дать этот адрес и по нему можно будет достучаться до меня через 20 лет. На который не влияет будущая цензура, который не зависит от закрывшегося провайдера связи, от приостановленного дата центра или закрытия какой-то компании. Потому что он зависит одновременно ото всех и от никого конкретного. Да, если я не пользуюсь сервисом год, то мне придётся обновить какое-то ПО, выполнить трёхсуточную синхронизацию с сетью и сделать какие-то технические действия. Но я согласен на это для получения какого-то сладкого ощущения, что вот оно, твоё, и работает) Возможно это нерационально с точки зрения здравого смысла, но что-то в этом есть этакое))
Поступление почты активностью не считается.
Ну и что? Заходите раз в 3 месяца. Что такого? Или настройте pop3 download на другой ящик. Что можно считать константой, которую у вас/меня не отнять? Приватный ключ! Все, что вы подписываете им, для ваших друзей должно быть "от вас, сейчас и навеки", неважно, с какого email. Настройте smime, pgp и забудьте про то, какой конкретно ящик вы используете. Шифрование — вот ваш личный мир, которым правите вы и только вы. Нечто вроде слогана "pgp — и пусть весь мир подождёт" :)
распределённая сеть с гарантированной целостностью. Если бы организовать подобный сервис и распространить на сотни миллионов по всему миру…
Есть RetroShare — это как раз безсерверное p2p-приложение с сетью доверия, где можно обмениваться как полноценными письмами, так и быстрыми сообщениями.
По идее должно работать даже в локальных и домовых сетях при полной внешней блокировке.
Статья как ничто другое убеждает в бесполезности ЦЕРН и примитивном распиле бабла псевдоучеными на псевдонаучных проектах.
… А в остальном, прекрасная маркиза…
По мнению разработчиков, сервис защищён от действия американских и европейских законов
А по мнению Джамшута его тонированная и опущенная шестёрка — самый крутой автомобиль…
Как по мне так сервис Protonmail — это какая-то страшная полумера, которая не может предоставить гарантий защиты от какой либо из угроз. Принимая во внимание, что разработчикам известно о сценариях, которые позволяют обойти весь этот театр безопасности, я бы назвал этот продукт спекуляцией на популярной ныне теме конфиденциальности.
Поясню примерами. Рассмотрим сценарии:
- Пользователь ProtonMail общается с пользователем ProtonMail. В этом случае используется E2E-шифрование между абонентами, но подлинность ключа, представленного каждым абонентом, остаётся на совести ProtonMail. То есть, оператор сервиса и тут может устроить MITM.
- Пользователь ProtonMail общается с пользователем другого почтового сервиса. В этом случае почта в обе стороны видна в открытом виде на входе и выходе ProtonMail. То есть оператор сервиса может видеть содержимое переписки без каких-либо усилий. SMTP-соединение с другим почтовым сервисом вероятнее всего шифруется посредством STARTTLS, но остаётся возможность для осуществления MITM, так как подлинность сертификата для SMTP-серверов до сих пор опциональна. В этом смысле ProtonMail уступает даже gmail и yahoo, которые уже хотя бы в тестовом режиме внедрили MTA-STS. ProtonMail Security Team по этому поводу отвечают, что у них это в планах есть, но сроков не называют. В сухом остатке получаем: ProtonMail и так всё видит, остальные могут перехватить межсерверную коммуникацию даже с меньшей угрозой палева, чем с другими крупными почтовыми сервисами.
Несколько слов про хранение почты в зашифрованном виде: здесь опять же всё на совести оператора сервиса и нельзя быть уверенным, что при очередном сеансе работы с почтой веб-приложение не сольёт ключ на сторону. Чтобы иметь какие-то гарантии против этой оказии, надо каким-то образом при каждом сеансе валидировать веб-клиент. Использование нативного клиента под сомнением — его исходный код закрыт и трудно предугадать, что и при каких обстоятельствах он делает.
По всему выходит, что надеяться на конфиденциальность переписки можно только если оператор сервиса не хочет ее раскрыть, что в точности соответствует тому, что предлагают сейчас все популярные почтовые сервисы. Эдакая иллюзия безопасности для неискушённых: «мы вам тут пошифруем, там пошифруем — будет секьюрно!».
Почему бы просто не использовать OpenPGP или S/MIME с любым удобным почтовым сервисом?
1) OpenPGP или S/MIME надо настроить, затратить время, хоть немного вопросом заняться, а сейчас все на бегу, времени нет ни у кого;
2) этот сервис не требует номеров телефонов (судя по отзывам) для регистрации;
3) по-настоящему, мало кому надо реальное шифрование почты, достаточно или обещаний из Швейцарии или просто отсутствия требований вводить номер мобильника при создании ящика.
Мне тоже не нравится, что эту почту в обычной почтовой программе нельзя настроить (специальные мобильные клиенты — спасибо, не надо!).
Не желаете ли познакомить аудиторию с ней поближе? Лучше всего было бы написать tutorial-ы по внедрению S/MIME для корпоративной почты на примере какой-нибудь типичной виндовой инфраструктуры. И вы познакомите людей с услугой, и люди узнают что-то получше дефективных протонмэйлов и иже с ними.
Германия и Франция дают много дешевых хостингов, тот же dismail.de использует hetzner и contabo. Даже среди «приличных» все с приколами: dismail.de активирует почтовый аккаунт по запросу через xmpp, disroot.org приостановил регистрацию (объясняют тем, что в основном спамеры регятся), systemli.org по инвайтам только, куча заманух для платных подписок.
Что очень понравилось от systemli.org (url):
Our webmail service supports email encryption with GnuPG. We don't recommend this solution for private email addresses (see the warning above)! But for shared email addresses, e.g. addresses of groups or organizations, the webmail based email encryption might be a good option indeed.
Please note that in this case the private key used to decrypt the encrypted mails to you is stored on our servers. In other words: we and any third party with (unauthorized) access to our servers may read this key.
Certainly, the keys are additionally protected by your password. But whoever has access to our servers, might also modify the webmail service in a way that the password is logged next time that you input it.
Если кратко перевести — да, мы можем GnuPG. Но вы должны понимать, что даже защищенный паролем приватный ключ все равно лежит на наших серверах. Думайте перед тем как использовать.
При таком подходе (правильном, вообще-то) все эти почтовые сервисы полезны только как не требующие регистрации с телефоном. Да и то, повторюсь, при конкретных попытках регистрации — то понос, то золотуха, а не «приватный халявный imaps/smtps хостинг без смс и рекламы».
В криптопочте ProtonMail зарегистрировано уже 5 млн аккаунтов