Протон майл ком. Как войти в почту протон майл. Что же делать

Как вы, вероятно, знаете, основные провайдеры сервиса электронной почты больше доверия. Вашу почту могут просматривать, скажем, работники Google или представители власти, и если это локальный сервис - будьте уверены, кто-то из ваших соотечественников будет ее просматривать. Каждый день. Просто ради забавы.

Контекстная реклама, которую уже давно без зазрения совести вешает гугл, и недавно начал вешать яндекс, также нехило раздражает. Особенно, когда заходишь в ящик после месяца или двух отсутствия и видишь все это. Насмотревшись на «рекомендованные мне предложения» (на основании чего рекомендованные и почему именно мне?) я принял решение, о котором не жалею вот уже 3 месяца.

Спасибо великому Сноудену за своевременную информацию, прощайте мылару и янд, я отправляюсь на Proton!

Я называю почту, которую нельзя просканировать — «E-mail 2.0». И, совершенно не стесняясь, пытаюсь заразить и вас стремлением к безопасности и конфиденциальности. - это еще мягко сказано!

Безопасность? Параноидальная безопасность!!!

Рассмотрим, с чем вы столкнетесь, если последуете совету и захотите себе ящик на Proton. Вам нужно будет придумать и запомнить 2 пароля: первый пароль будет вводиться для авторизации на сайте, но НЕ будет давать доступ к почтовому ящику. Чтобы просмотреть ящик, понадобится второй пароль, одновременно служащий для дешифровки писем. Операция шифрования проводится на стороне клиента, а на сервер отправляются уже зашифрованные данные, что исключает MITM атаку. Ключей от вашего ящика на серверах нет, так что, даже в случае визита людей с погонами , сотрудники сервиса смогут выдать только зашифрованные данные.

Архитектура такова благодаря использованию open source front-end encryption, что означает шифрование данных на стороне пользователя. Вы сможете познакомиться с OpenPGPjs библиотеками, используемыми сервисом, на этой страничке Github .

В end-to-end шифровании конечные точки это: отправитель и предназначенное устройство получателя . Сообщение шифруется локально на устройстве отправителя, после чего может быть расшифровано только на устройстве получателя. «End-to-end шифрование» обычно называется «шифрованием на стороне клиента» или «нулевым допуском», из-за факта обработки письма при помощи не централизованных серверов, а конечных устройств пользователей. Для end-to-end шифрования используется 2 алгоритма: симметричный и асимметричный .

Про почтовый сервис Proton я узнал из давней статьи на сайте. Поразмыслив над секретных агентов, насладившись «контекстной рекламой», ужаснувшись далеко не единичными случаями арестов американских граждан (пусть и не самых примерных людей) я решил: ни украинские сисадмины, ни русские хакеры, ни Барак О и Владимир П… ни даже Ее не Величество Елизавета 2.0… больше не смогут читать мою личную переписку… Ни за что. Нигде. Никогда. Паранойя. Паранойя !!!111…

Среди многочисленных «плюшек», которыми почта завлекает пользователей, стоит выделить:

Бесплатно (и без смс)
Свобода от законодательства Евросоюза, обязывающего выдавать информацию пользователей (Швейцария не является частью ЕС)
Свобода от аналогичного законодательства США
Свобода от властей самой Швейцарии - локальные законы охраняют неприкосновенность серверов и без особенной «боли в заднице» какой-нибудь правительственный тюфяк не имеет права даже смотреть на них .
Все сервера расположены в Швейцарии, постоянно идет процесс улучшения техники: добавления памяти, функций
При входе нужно вводить 2 пароля (второй пароль автоматически включается, если вы закрыли вкладку или переводили ноутбук в «спящий» режим)
В разработке полный контроль над приватными ключами
Шифрование писем — между пользователями Proton письма зашифрованы по умолчанию, а при отправке на сторонние почтовые сервисы их можно защитить паролем. Тогда реципиент получает не тело письма, а ссылку на сайт Proton, где он сможет ввести пароль (вы сообщаете пароль другим методом связи) и получить доступ к содержимому, включая вложения.
Если вы потеряли пароль от ящика, восстановить его уже не возможно. Сброс пароля возможен, но тогда вы навсегда потеряете письма. Не забывайте пароли!

Регистрация в ProtonMail

Для начала запросим себе «приглашение», нажав «Sign up» на главной страничке сервиса.

Выбираем, какую хотим почту, затем вводим свой текущий ящик, и «Request Invite». Как только вас пригласят (в течении месяца), вы сможете зайти к себе в кабинет.

Теперь нужно ввести mailbox пароль:

Как же выглядит почта изнутри?

Слева меню , сверху поиск , ваш e-mail , кнопки «Сообщить про ошибку », «Настройки », и «Выйти ». Для начала можно нажать «Настройки » и посмотреть, что там имеется.

Имеется возможность сменить логин-пароль, пароль на ящике, Alias - т. е. Псевдоним (внизу справа), подпись и пр. Управления ключами пока нет, но в ближайшем будущем планируется.

Встроенных тем нет, есть возможность вставить код сторонней CSS темы на свой страх и риск . Использование шифрованной почты предполагает отказ от некоторых свистелок и перделок в пользу защищенности.

Теперь, когда мы покопались в настройках, можно покопаться в почтовом ящике. Здесь все стандартно, однако имеются свои преимущества. Во-первых, все что реально необходимо для полноценного общения и работы, вынесено в меню слева. Там и кнопка «Compose », и входящие , и контакт-лист , и корзина , причем показывается количество не всех входящих писем, а только непрочитанных:

Зачем нужна такая разнообразная сортировка, не понятно, однако она имеется:

Также можно отмечать нужные письма цветными метками.

А вот как выглядит контакт-лист (без зеленого):

В общем и целом, как человек, который пробовал почти все популярные почтовые сервисы, могу заключить: работать с данной почтой удобнее всего (особенно ценителям минимализма), а главное - безопаснее.

Почему это важно?

Это важно для каждого, а не только для пользователей криптовалют, хакеров или продвинутых программистов. Заметьте, что даже купить или продать биткойн сегодня невозможно без использования почты, а что говорить про тотальную «завязанность» на е-мейл всех интернет-сервисов вообще, включая магазины, банки, мобильных операторов и проч.

Кроме того, государственные решения, принимаемые сегодня , не могут не настораживать параноидальный ум. Верить в то, что каждый человек в стране — потенциальный террорист, наркоторговец или любитель детской порнографии — у меня, уж простите, ну никак не получается…

Из блога компании:

«Мы бы хотели завершить некоторыми мыслями о приватности и слежке в общем. Некоторые люди утверждают, что если ты НЕ преступник, то нет никакой необходимости в приватности. Этим критикам мы просто зададим вопрос: означает ли это, что только у преступников имеются шторы на окнах?»

Почему вы не использовали это раньше?

Несмотря на то, что технология существует уже несколько десятилетий, end-to-end шифрование не было распространено по нескольким причинам. Во-первых, поддерживать шифрование — против интересов централизованных провайдеров сервисов, которые получают выгоду от рекламы и вторжения в личное пространство пользователя. Во-вторых, end-to-end шифрование традиционно было сложно использовать даже для технически подкованных людей. Необходимость в обмене приватным и публичным ключом в сервисе электронной почты затормаживала развитие. Однако, важность end-to-end шифрования будет только нарастать по мере развития правительственных технологий слежки за гражданами.

О, «террористами», в смысле.

Однако стоит помнить, что не зашифрованные или не защищенные паролем письма, отправленные вами на другие почтовые сервисы, могут быть перехвачены! Параноидально безопасных вам Интернетов!

Сервис использует асимметричное шифрование (систему шифрования с использованием открытых ключей), реализованную на стороне веб-браузера пользователя на JavaScript.

На Wikipedia есть , но, к сожалению, довольно тяжело читается для обычного пользователя без специальных технических знаний.

Безопасность

Про безопасность подобных решений на стороне пользователя, когда программный код выдается сервисом при каждом обращении, в интернете можно найти массу обсуждений и статей. Например, статья на английском http://matasano.com/articles/javascript-cryptography/ от Matasano security.

Краткое резюме всех дискуссий и доступных материалов заключается в том, что в любой момент сервис может отдать измененный программный код (например, по запросу правоохранительных органов), который отправит им почтовый пароль пользователя.

Команда ProtonMail подчеркивает, что они находятся в Швейцарии, где, как они пишут, законодательно их не могу обязать установить backdoor. Полный текст их объяснения доступен по адресу https://protonmail.ch/blog/switzerland/ . Но это “в теории”, а “на практике” пока нет широко известных публичных прецедентов.

В любом случае возможность изменить программный код в любой момент со стороны сервиса является очень серьезным недостатком, так как эти изменения могут быть нацелены на конкретных пользователей. В случае, когда криптография реализована в программном продукте или вообще на уровне операционной системы, то подобные обновления, нацеленные на конкретных пользователей намного менее вероятны и намного тяжелее в реализации. Хотя, как известно, нет 100% безопасных решений, но надо стремиться к максимально возможному необходимому в данной ситуации уровню безопасности.

Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. В случае с ProtonMail, как и любой другой веб-почтой, можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать расшифрованное содержимое сообщений.

ProtonMail в защите от XSS-атак полагается на библиотеку js-xss . Но помимо фильтрации содержимого письма есть еще и служебные почтовые заголовки, которые можно аналогично сформировать специальным образом при отправлении писем со сторонних сервисов пользователю ProtonMail. А возможность получать письмо со сторонних сервисов есть у всех аккаунтов ProtonMail и запретить ее в настройках аккаунта нельзя.

В начале июня была найдена уязвимость у сервиса ProtonMail, позволяющая исполнить произвольный JavaScript код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.

Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на ycombinator.com . ProtonMail разместил его имя в списке благодарностей на своем сайте - https://protonmail.ch/blog/protonmail-security-contributors/ , что подтверждает данный факт.

Сейчас данная проблема в безопасности ProtonMail уже исправлена, но сколько еще таких возможностей для хакеров таит в себе реализация криптографии на стороне браузера на JavaScript?

Подобные проекты

Mailpile - проект с открытым исходным кодом, активно развивается, является почтовым веб-клиентом (аналогично ProtonMail работает в веб-браузере на JavaScript), который должен сделать доступным использование криптографии пользователям без специальных технических навыков.

Отдельно следует отметить уникальную возможность данного проекта - поддержку полноценного поиска по зашифрованным сообщениям. На https://www.mailpile.is/faq/ пишут, что создается индекс, а само содержимое индекса хранит в виде хешей.

Не уточняется, это обычные MD5/SHA хеши или MAC. В случае обычных хешей данное решение по поиску может быть крайне небезопасным из-за возможности установить, какое ключевое слово встречается в зашифрованном тексте, посчитав хеши слов по словарю. Безопасность очень зависит от реализации данного способа.

Lavaboom - сервис безопасной веб-почты аналогично ProtonMail. Криптография реализована на JavaScript, код исполняется в веб-браузере.

Scramble - открытый исходный код, реализован на базе OpenPGPjs (аналогично ProtonMail), но относительно молодой проект и не так бурно развивается. Я указал его в этом списке, чтобы дать более полное представление о имеющихся сервисах на рынке.

OpenMailBox - шифрование реализовано при помощи плагина OpenPGP к проекту почтового веб-клиента Roundcube. Закрытый ключ сохранятся в Local Storage браузера.

Unseen - использует свою собственную реализацию, есть сервис обмена текстовыми сообщениям и голосовые звонки. Имеются клиенты для мобильных платформ и десктопов.

Unseen используется также Roundcube с плагином OpenPGP.
Из десктопных клиентов смотрел версию для Ubuntu и Mac. Это нативные приложения-обертки, в которые внутри встроен “веб-сайт”.

Что же делать?

Использование отдельного приложения для работы с почтой (почтового клиента), использование общеизвестных реализаций криптографии и ряд специальных ограничений ради безопасности (например, отсутствие возможности принимать почту со сторонних ресурсов, чтобы минимизировать количество возможных атак) являются наилучшим решением.

Кто сможет реализовать использование криптографии с открытыми ключами в доступном (легком) виде для обычных рядовых пользователей с использованием известных почтовых клиентов (Apple Mail, Microsoft Outlook, встроенные в мобильные ОС почтовые клиенты и другие), тот завоюет любовь пользователей и, безусловно, станет самым успешным сервисом! Добавить метки

Безопасность

Подобные проекты

Что же делать?

В последние два месяца многие из вас интересовались по поводу загадочных твитов, которые мы написали для Google в августе . Для ProtonMail прозрачность является ключевой ценностью, и мы пытаемся быть максимально открытыми с нашими пользователями. Т.к. много людей продолжают интересоваться вопросом, мы решили объяснить что именно произошло, чтобы в будущем избежать путаниц и спекуляций. В этой статье мы опишем развитие событий, чтобы пояснить что же случилось.

Около года Google скрывал ProtonMail из поисковых результатов для запросов «secure email», «encrypted email» и т.п. Это было крайне подозрительным, т.к. ProtonMail является мировым лидером в предоставлении услуг зашифрованной электронной почты.

В мае 2014го, когда ProtonMail запустил бету, число наших пользователей быстро выросло, т.к. люди со всего мира собрались и поддержали нашу инициативу по защите конфиденциальности в цифровую эпоху. Наша краудфандинговая кампания побила рекорды и собрала более полумиллиона долларов, что дало нам ресурсы сделать ProtonMail конкурентоспособным против самых крупных игроков в бизнесе электронной почты.

К лету 2015го ProtonMail уже пользовалось полмиллиона пользователей и у нас были хорошие позиции в Google - на первой или второй странице выдачи по большинству запросов типа «encrypted email» и «secure email». Однако, к октябрю 2015го, ситуация радикально изменилась и ProtonMail таинственным образом исчез из результатов выдачи по основным запросам.

С начала лета до осени 2015го ProtonMail претерпел много изменений. Мы зарелизили ProtonMail 2.0, (открыт только front-end - прим. переводчика), запустили бета-версии мобильных приложений, обновили наш сайт и сменили TLD с.ch на.com . Также мы выросли вдвое по числу пользователей, которое составляло около миллиона к осени. Все эти изменения должны были помочь ProtonMail в поисковых позициях, т.к. мы становились все более релевантными для многих людей.

В ноябре 2015го мы знали о проблеме и консультировались с многими SEO экспертами, но ни один из них не мог объяснить в чем причина, особенно принимая во внимание то, что ProtonMail никогда не использовал черные методы SEO, и мы не замечали чтобы кто-либо использовал черный SEO против нас. Странно, что эта аномалия была только в Google, в других поисковиках все было нормально. В таблице ниже представлены поисковые позиции для ProtonMail по запросам «secure email» и «encrypted email», на начало августа 2016 в главных поисковиках. Везде первая или вторая страница, кроме Google, в котором мы вообще не ранжировались.

На протяжении весны 2016го мы усердно пытались связаться с Google. Мы создали два тикета для объяснения ситуации. Мы даже пытались связаться с директором EMEA Strategic Relationships, но не получили ни ответа, ни каких-либо улучшений ситуации. Примерно в это же время мы услышали о антимонопольной кампании, начатой Европейской Комиссией против Google, обвиняющей Google в использовании поисковой монополии для снижения поисковых позиций конкурентов Google . Это были тревожные новости, т.к. электронная почта, которая ставит конфиденциальность на первое место является главным конкурентом Gmail для тех, кто заботится о приватности своих данных.

В августе, оставшись без особого выбора, мы использовали Twitter для обнародования нашего случая. На этот раз мы наконец получили ответ, спасибо сотням пользователей ProtonMail, которые привлекли внимание к проблеме и сделали невозможным ее игнорировать. Несколькими днями позже Google информировало нас, что они «что-то пофиксили» («fixed something») без каких-либо деталей. Результаты появились сразу же.

На этом графике ось X это время, ось Y - поисковые позиции (меньше - лучше). Отрезки графика без точек означают, что в данный период мы вообще не ранжировась в Google. После того как Google что-то пофиксил, позиции ProtonMail немедленно восстановились и сейчас мы ранжируемся #1 and #3 по «secure email» и «encrypted email» соответственно. Без каких-либо дополнительных объяснений со стороны Google, мы никогда не узнаем почему ProtonMail не был в выдаче. В любом случае, мы брагодарны тому, что Google наконец принял действия по решению нашей проблемы, мы только хотели бы чтобы это произошло быстрее.

Опасность поискового риска

Этот случай говорит нам о незамеченной ранее опасности, которая носит название «поисковый риск» (Search Risk). Суть проблемы в том, что любой конкурирующий сервис, например ProtonMail, может быть легко подавлен поисковиками или правительством, которое контролирует эти поисковики. Это может случиться везде, невзирая на государственные границы. Например, даже учитывая то, что Google это американская компания, она контролирует больше 90% европейского поискового трафика. В нашем случае Google был причиной того, что показатели мирового роста ProtonMail были меньше на 25% на протяжении почти 10 месяцев.

Это значит, что доходы ProtonMail от пользователей также сократились на 25%, создав дополнительные финансовые трудности для нас. Мы дошли до того, что для покрытия месячных расходов, нам пришлось использовать ресурсы экстренного резервного фонда. Потери прибыли и финансовый ущерб составил несколько сотен тысяч швейцарских франков (1 CHF = 1.01 USD = 63.28 RUB) и никогда не будет возмещен.

Единственная причина, по который мы выжили и пишем эту историю это то, что ProtonMail стал так широко известен, переходя из уст в уста, и наше сообщество было слишком большое, чтобы его игнорировать. Многим другим компаниям повезет меньше. Этот случай наглядно показывает, что поисковый риск это серьезная проблема, и мы согласны с Европейской Комиссией, что из-за доминирующей позиции Google в поисковом бизнесе, его открытость и контроль критически важны.