Czy ProtonMail jest naprawdę bezpieczny i anonimowy? Nie do końca

Czy ProtonMail jest bezpieczny? Zdecydowanie. Czy jest anonimowy? Zdecydowanie nie. Uargumentuję to w ten sposób, że z jednej strony użytkownikom usługi zagwarantowano szyfrowanie poczty tzw. end-to-end z użyciem ich klucza publicznego. Usługę wysyłania i odbierania maili zaprojektowano zgodnie z filozofią secure-by-design oraz secure-by-default, gdzie u podłoża bezpieczeństwa leży prewencja i zapobieganie, a nie naprawianie szkód po incydencie. Natomiast ProtonMail nie jest privacy-by-design, czyli prywatność tej usługi nie jest najmocniejszą stroną.

Usługa ProtonMail może być używana do wysyłania w bezpieczny sposób wiadomości pomiędzy użytkownikami ProtonMail oraz innych usług pocztowych*

*pod warunkiem, że nadawca użyje Twojego klucza publicznego do zaszyfrowania swojej wiadomości i odwrotnie.

Kiedy zadziała szyfrowanie end-to-end?

  • ProtonMail ProtonMail: zagwarantowane szyfrowanie E2E.
  • ProtonMail Google, Outlook, iCloud, inni: domyślnie brak szyfrowania, jeżeli chcesz otrzymywać zaszyfrowane maile od innych osób, musisz im udostępnić swój klucz publiczny. Jeżeli to Ty chcesz szyfrować do kogoś spoza ProtonMail, musisz zaimportować jego klucz publiczny.

Firma Proton nie ma dostępu do treści wiadomości, jeżeli używane jest szyfrowanie end-to-end. Nie ma też dostępu do treści załączników. Ze względu na ograniczenia protokołu SMTP (wysyłanie maili) ma za to dostęp do:

  • adresów email nadawcy i odbiorcy,
  • godziny wysyłania i odebrania wiadomości,
  • temat każdej wiadomości wysłanej,
  • adresu IP nadawcy,– nazwy użytkownika nadawcy,
  • nazwy załączników (nie ich treści).

Czasami te dane wystarczą, aby powiązać użytkownika z kontami w innych serwisach. Odpowiednie organy mogą wystąpić do firm technologicznych o udostępnienie wszystkiego na temat konkretnych użytkowników. Protonu, firmy ze Szwajcarii, obowiązuje nakaz współpracy z organami. Z tego powodu ProtonMail nie zapewnia anonimowości w 100%.

Jurysdykcja szwajcarska zezwala organom na wgląd do danych

W prasie zostały opublikowane informacje, jakoby Proton przekazał hiszpańskiej policji metadane należące do użytkownika usługi ProtonMail. Cóż, zgodnie ze szwajcarskim prawem, istnieje obowiązek gromadzenia pewnych informacji na temat użytkownika i taki sam obowiązek udostępnienia tych danych wnioskodawcy.

Podsumowując wiadomości mail, pliki i załączniki są szyfrowane i nie ma możliwości, aby ProtonMail mógł je odszyfrować.

Na stronie transparentności czytamy, że zgodnie z art. 271 szwajcarskiego kodeksu karnego, ProtonMail nie może przesyłać żadnych danych do zagranicznych organów, dlatego odrzucane są wszelkie wnioski od władz zagranicznych, ale… Od czasu do czasu władze szwajcarskie pomagają organom zagranicznym. W roku 2023 takich wniosków ProtonMail otrzymał aż 6378, z czego 407 odrzucono, przyjęto 5971.

Jaka jest różnica pomiędzy bezpieczeństwem a anonimowością?

Ogromna! ProtonMail zabezpiecza przesłane załączniki, pliki, treść wiadomości z wykorzystaniem bardzo silnej metody klucza publicznego, praktycznie nie do złamania. Domyślnie jest to algorytm ECC Curve25519, ale można go zmienić na RSA-4096.

Pamiętaj, że każdy wygenerowany klucz może mieć swoją „datę ważności”, możesz go wycofać w dowolnym momencie, utworzyć nowy i przekazać osobie trzeciej do szyfrowania nim wiadomości. W szczególnych przypadkach, dla każdej wiadomości o krytycznym znaczeniu, można utworzyć dedykowany klucz, użyć go tylko raz i usunąć.

ProtonMail nie gwarantuje anonimowości, ponieważ gromadzi zbyt wiele szczegółów: adres e-mail, adres IP (warto używać VPN, jeżeli jest istotne), do kogo wysyłasz wiadomości, od kogo odbierasz, temat oraz nazwy załączników.

Jakie są wady i zalety ProtonMail?

Firma Proton stworzyła niemały ekosystem swoich aplikacji, które mogą być używane w firmach i nie tylko. Możliwe jest korzystane z szyfrowanej poczty, szyfrowanego dysk na pliki, sieci VPN, kalendarza oraz dobrego menadżera haseł. Wszystkie te aplikacje są oparte na kodzie open-source, przechodzą audyty bezpieczeństwa, co jest bardzo ważne.

Do zalet zaliczamy wysoki wskaźnik bezpieczeństwa oprogramowania i usług Proton. Jeżeli priorytetem jest utajnianie wiadomości, plików, to ProtonMail i Proton Drive będą dobrym wyborem, jako świetna alternatywa dla ogólnodostępnych dysków w chmurze szyfrowanych kluczami operatora, a nie użytkownika, dlatego OneDrive, Dropbox, Google Drive są mniej bezpieczne pod tym kątem.

Wadą jest brak gwarancji anonimowości. W dzisiejszym świecie z wielkimi firmami technologicznymi i lokalnymi regulacjami, raczej niemożliwe jest zagwarantowanie anonimowych, masowych usług cyfrowych na cały świat.

Podziel się postem:

Najnowsze:

Oprogramowanie

Unia Europejska przejdzie na Linuxa? Powstaje dystrybucja EU OS

Unia Europejska może wkrótce podjąć kroki w kierunku uniezależnienia się od amerykańskiego oprogramowania. Społeczność entuzjastów pod patronatem władz UE pracuje nad projektem EU OS, który ma zastąpić system operacyjny Windows w instytucjach rządowych. Wybór padł na modyfikację dystrybucji Fedora Linux, która zostanie dostosowana do potrzeb urzędników poprzez interfejs przypominający Windows.

Bezpieczeństwo

Przełomowa kwantowa technologia generowania liczb losowych z WAT: Szczegółowa analiza i perspektywy

W dzisiejszym zaawansowanym technologicznie świecie, prawdziwie losowe liczby stanowią fundament wielu kluczowych dziedzin. Od zabezpieczania komunikacji poprzez kryptografię aż po przeprowadzanie złożonych symulacji naukowych i inżynierskich , generowanie nieprzewidywalnych sekwencji danych jest niezbędne. Losowość odgrywa również istotną rolę w grach losowych , w sektorze finansowym , gdzie zapewnia unikalność transakcji, oraz w badaniach statystycznych. W kryptografii, siła klucza szyfrującego jest bezpośrednio związana z jakością i stopniem losowości użytym do jego wygenerowania . Im wyższa entropia źródła losowego, tym trudniejszy do złamania staje się klucz. Prawdziwa losowość jest zatem kluczowym elementem zapewniającym bezpieczeństwo w cyberprzestrzeni, wzmacniając algorytmy szyfrujące i chroniąc integralność przesyłanych oraz przechowywanych danych . Zapotrzebowanie na generatory liczb losowych o wysokiej jakości i nieprzewidywalności stale rośnie, co jest bezpośrednio powiązane z postępem technologicznym i coraz większym znaczeniem bezpieczeństwa informacji. Wraz z dynamicznym przenoszeniem coraz większej liczby aspektów naszego życia do sfery cyfrowej, ilość generowanych i przesyłanych danych nieustannie wzrasta. Ochrona tych danych przed nieautoryzowanym dostępem i manipulacją staje się priorytetem, a prawdziwa losowość jest nieodzownym narzędziem do skutecznego szyfrowania i zabezpieczania przed różnego rodzaju atakami.

Bezpieczeństwo

Prawdopodobnie DeepSeek Zna Twoje Sekrety: Analiza Bezpieczeństwa Danych Treningowych LLM

Prawdopodobnie DeepSeek zna Wasze sekrety oraz klucze API! Takie ostrzeżenie pojawiło się na łamach Sekurak.pl. W dynamicznie rozwijającym się świecie dużych modeli językowych (LLM), gdzie innowacje pojawiają się niemal codziennie, DeepSeek AI szybko zyskał miano znaczącego gracza, budząc zainteresowanie swoimi możliwościami i efektywnością. Jednakże, wraz z postępem technologicznym, pojawiają się również nowe wyzwania w obszarze bezpieczeństwa. Niedawne odkrycie dokonane przez badaczy z Truffle Security rzuca nowe światło na potencjalne zagrożenia związane z danymi treningowymi tych zaawansowanych modeli. Wnikliwa analiza publicznie dostępnego zbioru danych Common Crawl, wykorzystywanego do trenowania LLM, w tym DeepSeek, ujawniła obecność licznych, potencjalnie wciąż aktywnych kluczy API i haseł.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *