GlobalSign corporate blog
Information Security
Cryptography
Comments 69
+1
Пользователи.
Изначально у них был кикстартер, они порядка полумиллиона собрали, если не ошибаюсь.
А сейчас — донат и платные аккаунты.
+8
Первым делом автоматически подумал: «Да, пора бы тоже себе секьюрный емэйл.»
Потом подумал: «С другой стороны, но кому я, на хрен, сдался, с моими секретами?»
Всё-таки зашёл к ним на сайт посмотреть. Увидел страницу регистрации. Не увидел на них до боли зубовной знакомых «номера мобильного», «секретного вопроса», «папа пьющий ли», «родители не сумасшедши ли» и пр. пунктов из анкеты НКВД. Даже пункт «запасной е-мэйл» необязателен. Испытал множественный микрооргазм, зарегистрировал пока один аккаунт, но ещё штук десять сделаю, просто чтобы удовольствие получить.
0
Штук 10 придется если надо 10 аккаунтов для бесплатного VPN — там 1 учетка = 1 бесплатное VPN-подключение.

У меня — 3 учетки (рабочая, мобильник, технологическая для доступа бота к телеграм)…

Платные учетки дорогие — 5-евро в месяц… Можно и дешевле найти…
0
Да всякий раз, как накатит депрессия и нигилизм, буду заходить на protonmail.com и регистрировать пару аккаунтов. Понятно, что не нужно. Понятно, что самообман. Но, если подумать, что вся наша жизнь, как не ненужный самообман?
+1
Пару лет назад регался там через тор. Просили мобильник для отправки смс кода либо другой e-mail для того же. Вышел из положения зарегав мыло на рамблере (также через тор), которого удовлетворил сервис приема смс вместо мобильника.
А с обычного IP да, ничего не требуют.
0
Возможно. А я люблю добавить ко всякой криптографии и секурности нотку анонимности.
0
«С другой стороны, но кому я, на хрен, сдался, с моими секретами?»

Я на эту почту перекинул аккаунты, связанные с финансами, криптовалютами и т.п.
0

И рассказал об этом здесь, такова судьба всех усиленных шифрования.

0
Речь шла о защищённости сервера. То, что я рассказал, никак не снизило защищённость почтового сервиса.

Мой ящик защищён совершенно одинаково, что у protonmail, что у mail.ru — двухфакторная авторизация. Разница лишь в том, что mail.ru радостно выдаст все мои операции с криптовалютой, если вдруг в этой стране за них станут преследовать, а вот protonmail — нет.
0

У похожего, но чуть менее раскрученного сервиса posteo есть возможность платить отправкой наличных в конверте по почте. Так что можете еще и источник финансирования не раскрывать;)

0
В России запрещены к пересылке денежные знаки РФ и иностранная валюта.
0
Даже пункт «запасной е-мэйл» необязателен. Испытал множественный микрооргазм

Поддался на провокацию, но… удовлетворения не получил. После выбора логина/пароля перекинуло на страничку с предложением подтвердить то, что я человек: номер телефона, кредитка, другой мейл. Указание адресов почты сервисов временных мейлов не прокатывает)
0
Вот же сволочи! А мне только галочку «я не робот» дали поставить…
0
Если вы выходили со статичного IP, то, возможно, он уже заранее «пробит» и вызывает доверие ))
+2
Он находится в Швейцарии. По мнению разработчиков, сервис защищён от действия американских и европейских законов, в первую очередь, от контроля АНБ.


В Швейцарии сейчас такие же законы, как и в остальных Европах… Отменена даже святая святых — тайна вкладов. Так что если надо — органы за органы-то возьмут.
Хотя от т-ща майора возможно и защитит. Если не очень его разозлить…

Давно пользуюсь ProtonVPN, весьма удобная штука на мобиле, но не на постоянку, часто отваливается с ошибками.
0
Жаль только, что их письма в спам улетают. В этом плане смысла в них ноль.
0
Единственное смущает всего лишь 500 Мб дискового пространства на бесплатном аккаунте. Как то маловато.
+2
Для простого общения (text only) вполне достаточно, если не нагружать разнообразными вложениями.
0
Разве что для очень простого. Просто сравниваю с бесплатным аккаунтом на gmail и 15 Gb дискового пространства.
+2
Ну ок, а вот было бы 1ТБ или вообще «безлимит» — сразу возник бы вопрос «а кто оплачивает этот праздник?». И ответом было бы «чьё-то КГБ». А так хотя-бы теоретически есть шанс, что они это делают за деньги тех, кому мало 500 Мб и кто покупает платную подписку. Не 100% шанс, конечно, но и не нулевой.
0
В любом случае за все надо платить. И если это не слив рекламным компаниям или не промо-акции при раскрутке сервиса, то значит это приносит прибыль как-то иначе или кто-то готов нести расходы за вашу почту :) Чудес не бывает, это точно. Другое дело, что если вы пишетесь со знакомыми/контрагентами, которые пользуются gmail, yandex и др., то смысла использовать такую почту почти нет. Век биг дата наступил. Все цепочки почты легко отследить даже не в целях раскрыть заговорщиков, а просто для того, чтобы все равно пользователям protonmail отсылать целевую рекламу!
0
Меня больше смущает отсутствие imap. При наличии нескольких разных ящиков проверять почту вручную совсем не удобно. А 500Мб для почты это совсем не мало.
0
IMAP есть, но малость через жопу. Во первых нужна минимум Plus-подписка, во вторых реализуется сие через специальную мост-программу, которая поднимает IMAP+SMTP на локалхосте прям. Работает хорошо, но не все клиенты держит. Outlook, Thunderbird и Apple Mail вроде, всё. Другое может заработать, но на моей практике скорее нет, чем да. Но мне хватает, я сижу на Outlook из Office365.
0
Да ладно бы клиент, это меня не смущает, знаю как у них там это устроено. А вот платить за аккаунт по несколько далларов в месяц я не имею возможности.
0
Я ради домена плачу. Нормальной доменной почты почти не осталось. Есть GSuite за сравнимые деньги, есть Outlook где за опять же сравнимые деньги дают добавить домен, но ТОЛЬКО от GoDaddy (???) и только один. Из отечественных только Яндекс ПДД, которая скоро Яндекс.Коннект, который мне лично не нужен.

Это ещё если закрыть глаза, что всё это массовые сервисы и ни о какой нормальной приватности/анонимности речи не идет. Есть всякие StartMail, FastMail и прочие. Где-то есть прицел на безопасность, где нет, но опять же — цены те же плюс минус у всех.

Так что ProtonMail с доменом за 4 бакса при оплате за год вполне неплох. Плюс всякие фишки бонусом, вроде того же IMAP Bridge.
+1
сервис защищён от действия американских и европейских законов

Это только постольку поскольку и, как говорится «до поры до времени». То, что там всё шифруется — это отлично, но в любой момент можно повернуть рубильник и моя почта улетит порхая крыльями, а вместе с ней и все связи. Lavabit как бы намекает.

Может я и параноик, но я бы предпочёл видеть действительно независимый от любых госуровней сервис. Вот это было бы дело. Есть варинат со своим почтовым сервером, но он зависит от DNS или IP, которые так же легко отбираются. Когда появился блокчейн мне это пришло в первую очередь в голову — распределённая сеть с гарантированной целостностью. Если бы организовать подобный сервис и распространить на сотни миллионов по всему миру… Да, это не было бесплатным — потому что за своё надо платить, надо держать майнер включенным в розетку, надо иметь дисковую ёмкость, вычислительные мощности и т.д. и т.п. Но это можно продумать и оптимизировать. Кто не хочет платить или счтает, что ему скрывать нечего — может и дальше пользоваться гуглом, дело личное. Но… прошло уже 10 лет, а технология так и не поднялась выше уровня спекуляций на крипте. Греет душу то, что пока это всё только обкатка технологии с немалым потенциалом.
0
BitMessage существует аж с 2012 года.

Другой вопрос в адаптации рядовыми пользователями — они и на анархичной крипте спекулируют на биржах с верификацией по паспорту, при наличии ряда альтернатив)

И на protonmail не IT-параноика с гугла пересадить проблема, не говоря о подобным специфических решениях, требующих большого количества телодвижений.
0
Да, с адаптацией согласен.
А в BitMessage привязка с Namecoin нормально работает? Я когда-то пробовал, но было всё жуть какое сырое. Я уже даже забыл. Надо попробовать заново)
0
Независимый сервис? От внешних людей/государства? Это называется внутренний корпоративный/домашний почтовик/xmpp. Не арендованный дедик или VPS, а свой, ламповый. Но общаться с друзьями и коллегами не выйдет — все сидят в вацапе и в гмыле! А еще могут отключить мобильник, выгнать с работы, деньги накопленные девальвировать или просто счет прикрыть. Жизнь — боль :)
0
Это называется внутренний корпоративный/домашний почтовик/xmpp. Не арендованный дедик или VPS, а свой, ламповый.

Проблема в том, что его надо выпускать в инет. Т.е. вы его полюбому привязываете к какому-то IP. Т.е. попадаем сразу на провайдера. Если у вас просто меняется провайдер или место жизни сервера — надо всё перенастраивать. Независимый же сервис должен иметь только одно условие — выход в сеть. Как торрен, который в портабельном варианте приложения позволяет скачивать/раздавать с любого места, нужен только доступ в сеть (локальную или мировую — неважно). Понятно, что у вас должны быть электричество, деньги и прочее — если у вас этого нет, то всё это уже неактуально)
0
А кроме проблем с выходом в сеть есть другая проблема: все остальные люди. Они-то будут пользоваться не вашим сервисом с уникальным id с супер стабильным, только вашим и неподделываемым xmpp-id :) все будут сидеть на whatsapp и telegram. И всем будет фиолетово. И придется сдаться. Проходил уже. Как только за пределы корпоративной обязанности сразу вопрос любого человека — а зачем это мне? И они правы. Это хочется/интересно/нужно мне, и не нужно им всем, включая брата, маму, друзей и других. Поэтому даже почту шифровать не такой уж огромный смысл. Ваши контрагенты ее шифровать скорее всего не будут. И никто не будет обмениваться какими-то там ключами. И вся переписка все равно будет проанализирована гуглом, ms, яндексом и прочими. Так что увлекаться по сути можно только защитой своих исходящих и хранящихся писем/сообщений. По-крайней мере, я вижу проблематику под таким углом зрения.
+1
Истиная правда! Всё хорошо, пока ты сам по себе сферический в вакууме, но когда подключается окружение…

Я это вижу ещё вот под каким углом: у меня есть какой-то вид контакта и связи, который работает. Я могу кому-то дать этот адрес и по нему можно будет достучаться до меня через 20 лет. На который не влияет будущая цензура, который не зависит от закрывшегося провайдера связи, от приостановленного дата центра или закрытия какой-то компании. Потому что он зависит одновременно ото всех и от никого конкретного. Да, если я не пользуюсь сервисом год, то мне придётся обновить какое-то ПО, выполнить трёхсуточную синхронизацию с сетью и сделать какие-то технические действия. Но я согласен на это для получения какого-то сладкого ощущения, что вот оно, твоё, и работает) Возможно это нерационально с точки зрения здравого смысла, но что-то в этом есть этакое))
0
Гугл не закроется. Да что там гугл! rambler, mail.ru, yandex с момента старта не закрыли ящики, в которые порой годами не заходил. Ящикам скоро 15 лет будет. Или больше. Забывать вас и упускать к другим не выгодно. Это огромные деньги. Вас не забудут, если вы сами не постараетесь для этого. Вы же не уникум шпиономанский? Кто ящик на gmail будет банить? Это что надо сделать такое? А если есть, за что, то лучше наоборот, использовать все врем разные почты. И одну свою белую, теплую ламповую, «для души», лет на 30 :)
0
Да гугл лидер по закрытию своих сервисов. Народ только привыкнет к чему-то — через 3 года сервиса уже нет. Не успел оттуда вывезти свои данные — твои проблемы. Чем им, например, FeedBurner помешал? На неделе мне пришло уведомление ою автоматическом закрытии моего аккаунта в AdWords из-за отсутствия активности за 1,5 года.
0
8.5. Пользователь согласен с тем, что Mail.Ru оставляет за собой право прекратить обслуживание учетной записи Пользователя в любом из Сервисов Mail.Ru, которая не использовалась Пользователем в течение периода, составляющего более 6 (шести) месяцев.

Поступление почты активностью не считается.
0

Ну и что? Заходите раз в 3 месяца. Что такого? Или настройте pop3 download на другой ящик. Что можно считать константой, которую у вас/меня не отнять? Приватный ключ! Все, что вы подписываете им, для ваших друзей должно быть "от вас, сейчас и навеки", неважно, с какого email. Настройте smime, pgp и забудьте про то, какой конкретно ящик вы используете. Шифрование — вот ваш личный мир, которым правите вы и только вы. Нечто вроде слогана "pgp — и пусть весь мир подождёт" :)

+1
распределённая сеть с гарантированной целостностью. Если бы организовать подобный сервис и распространить на сотни миллионов по всему миру…

Есть RetroShare — это как раз безсерверное p2p-приложение с сетью доверия, где можно обмениваться как полноценными письмами, так и быстрыми сообщениями.


По идее должно работать даже в локальных и домовых сетях при полной внешней блокировке.

0
У них в доке это называется не P2P, а F2F (Network topology: decentralized Friend to Friend network) :)
0
Ну так F2F — это и есть «P2P с сетью доверия». Просто аббревиатура F2F не всем знакома.
-5
Я так понимаю, что все бозоны уже открыты, все частицы разогнаны, секрет возникновения Вселенной раскрыт, и самое время гонять на коллайдере почтовые сервисы.
Статья как ничто другое убеждает в бесполезности ЦЕРН и примитивном распиле бабла псевдоучеными на псевдонаучных проектах.
+1
Причем тут CERN? Основатели Протона просто вместе там работали, никакого прямого отношения к коллайдеру сервис не имеет.
+6
убеждает в бесполезности ЦЕРН

Как бы там www придумали и первый сайт сделали. Или тоже ерунда и не надо?
0
«We do not have POP3 support at this time, but the Bridge will allow you to download all of your mail into your client and export it from there.»
… А в остальном, прекрасная маркиза…
0
У них ведь содержимое расшифровывается на клиенте, поэтому да, голый POP3 работать не будет (Bridge как раз и выступает локальным клиентом, который расшифровывает и отдаёт уже по POP3).
0
И сам Bridge не работает на бесплатном плане. Просто замечательно.
0
За счёт этого сервис и может себе позволить быть бесплатным.
Впрочем, есть совершенно бесплатные приложения для мобильных ОС.
+1
А что мешает отдавать зашифрованное, а Enigmail какой-нибудь пусть расшифровывает?
0
У них там свои велосипеды проприетарные. Если и будут пилить что-то подобное, то опять через адаптеры, но в этот раз уже на сервере.
+1
Они тут звали работать к себе — активно пилят ProtonVPN сейчас и думают как\куда его развивать, довольно интересный проект. И, как говорят — действительно не хранят логи :)
+2
Идите к ним сотрудником, будете информировать о точном положении дел :) а то одни предположения.
+1
Не, уже отказался по ряду причин :)
Но их CTO, сидящий где-то в США, оставил приятное впечатление — удачи им.
+1
Вот. Дьявол в деталях. CTO в Штатах. Сервис Швейцарский. Конечно, удачи! Небось копнуть чуть глубже — еще интереснее будет.
0
Спасибо за статью, я то уже и забыл, что регался у них (когда у них и можно было то только зарегаться, а сами ящики выдавали «потом»)
+1
По мнению разработчиков, сервис защищён от действия американских и европейских законов

А по мнению Джамшута его тонированная и опущенная шестёрка — самый крутой автомобиль…
+1
Для любителей коротких имён. У них есть возможность включить ящик user@pm.me даже на бесплатном тарифе.
0
Правда отправить с него не получится. Только на приём.
0
Почему бы просто не использовать OpenPGP или S/MIME с любым удобным почтовым сервисом?

Как по мне так сервис Protonmail — это какая-то страшная полумера, которая не может предоставить гарантий защиты от какой либо из угроз. Принимая во внимание, что разработчикам известно о сценариях, которые позволяют обойти весь этот театр безопасности, я бы назвал этот продукт спекуляцией на популярной ныне теме конфиденциальности.

Поясню примерами. Рассмотрим сценарии:
  • Пользователь ProtonMail общается с пользователем ProtonMail. В этом случае используется E2E-шифрование между абонентами, но подлинность ключа, представленного каждым абонентом, остаётся на совести ProtonMail. То есть, оператор сервиса и тут может устроить MITM.
  • Пользователь ProtonMail общается с пользователем другого почтового сервиса. В этом случае почта в обе стороны видна в открытом виде на входе и выходе ProtonMail. То есть оператор сервиса может видеть содержимое переписки без каких-либо усилий. SMTP-соединение с другим почтовым сервисом вероятнее всего шифруется посредством STARTTLS, но остаётся возможность для осуществления MITM, так как подлинность сертификата для SMTP-серверов до сих пор опциональна. В этом смысле ProtonMail уступает даже gmail и yahoo, которые уже хотя бы в тестовом режиме внедрили MTA-STS. ProtonMail Security Team по этому поводу отвечают, что у них это в планах есть, но сроков не называют. В сухом остатке получаем: ProtonMail и так всё видит, остальные могут перехватить межсерверную коммуникацию даже с меньшей угрозой палева, чем с другими крупными почтовыми сервисами.

Несколько слов про хранение почты в зашифрованном виде: здесь опять же всё на совести оператора сервиса и нельзя быть уверенным, что при очередном сеансе работы с почтой веб-приложение не сольёт ключ на сторону. Чтобы иметь какие-то гарантии против этой оказии, надо каким-то образом при каждом сеансе валидировать веб-клиент. Использование нативного клиента под сомнением — его исходный код закрыт и трудно предугадать, что и при каких обстоятельствах он делает.

По всему выходит, что надеяться на конфиденциальность переписки можно только если оператор сервиса не хочет ее раскрыть, что в точности соответствует тому, что предлагают сейчас все популярные почтовые сервисы. Эдакая иллюзия безопасности для неискушённых: «мы вам тут пошифруем, там пошифруем — будет секьюрно!».
0
Почему бы просто не использовать OpenPGP или S/MIME с любым удобным почтовым сервисом?

1) OpenPGP или S/MIME надо настроить, затратить время, хоть немного вопросом заняться, а сейчас все на бегу, времени нет ни у кого;
2) этот сервис не требует номеров телефонов (судя по отзывам) для регистрации;
3) по-настоящему, мало кому надо реальное шифрование почты, достаточно или обещаний из Швейцарии или просто отсутствия требований вводить номер мобильника при создании ящика.

Мне тоже не нравится, что эту почту в обычной почтовой программе нельзя настроить (специальные мобильные клиенты — спасибо, не надо!).
0
GlobalSign_admin, у вас же есть услуга защиты электронной почты: www.globalsign.com/ru-ru/zashita-electronnoi-pochty

Не желаете ли познакомить аудиторию с ней поближе? Лучше всего было бы написать tutorial-ы по внедрению S/MIME для корпоративной почты на примере какой-нибудь типичной виндовой инфраструктуры. И вы познакомите людей с услугой, и люди узнают что-то получше дефективных протонмэйлов и иже с ними.
0
Что-то почти все сервисы в таблице, которые имеют (приличный) IMAPs, почему-то на немецком или французском. Веры, что они окажутся надежными, не очень много (думаю, наехать на них смогут, и они выдадут файло, или просто закроются и сотрут серверные диски), так что основной ящик там хранить не очень нравится…
+1
Это просто бизнес. Альтруизм заканчивается там, где начинается открытая регистрация для всех и абузы, абузы, абузы…

Германия и Франция дают много дешевых хостингов, тот же dismail.de использует hetzner и contabo. Даже среди «приличных» все с приколами: dismail.de активирует почтовый аккаунт по запросу через xmpp, disroot.org приостановил регистрацию (объясняют тем, что в основном спамеры регятся), systemli.org по инвайтам только, куча заманух для платных подписок.

Что очень понравилось от systemli.org (url):
Our webmail service supports email encryption with GnuPG. We don't recommend this solution for private email addresses (see the warning above)! But for shared email addresses, e.g. addresses of groups or organizations, the webmail based email encryption might be a good option indeed.

Please note that in this case the private key used to decrypt the encrypted mails to you is stored on our servers. In other words: we and any third party with (unauthorized) access to our servers may read this key.

Certainly, the keys are additionally protected by your password. But whoever has access to our servers, might also modify the webmail service in a way that the password is logged next time that you input it.

Если кратко перевести — да, мы можем GnuPG. Но вы должны понимать, что даже защищенный паролем приватный ключ все равно лежит на наших серверах. Думайте перед тем как использовать.

При таком подходе (правильном, вообще-то) все эти почтовые сервисы полезны только как не требующие регистрации с телефоном. Да и то, повторюсь, при конкретных попытках регистрации — то понос, то золотуха, а не «приватный халявный imaps/smtps хостинг без смс и рекламы».
Only those users with full accounts are able to leave comments. , please.