LINUX.ORG.RU

А тем временем в Швейцарии

 ,


0

3

Несколько сотрудников Европейской лаборатории по ядерным исследованиям (ЦЕРН) разработали почтовый сервис ProtonMail, который претендует на то, чтобы стать одним из самых защищённых — всё содержимое почтовых ящиков шифруется на стороне клиента, а серверы ProtonMail расположены в Швейцарии, которая славится своими законами о защите персональных данных. Создатели сервиса утверждают, что ProtonMail способен и превзойти по защищённости недавно закрывшийся Lavabit, которым пользовался среди прочих и Эдвард Сноуден.

ProtonMail успел занять несколько призовых мест на конкурсах стартапов, а 15 мая началось открытое бета-тестирование. Правда количество желающих попробовать сервис оказалось настолько большим, что серверы не выдержали нагрузки и сейчас временно введён режим регистрации по инвайтам. Как только команда проекта нарастит мощности, регистрация вновь станет открытой. Монетизировать ProtonMail предполагается по модели Freemium. Создатели обещают, что минимальный набор услуг будет бесплатным всегда.

Сообщения ProtonMail не хранятся на серверах в открытом виде — они шифруются на стороне клиента. Для авторизации используются два пароля — один для входа в аккаунт и загрузки зашифрованных данных, второй — для их расшифровки. Восстановление пароля для расшифровки писем невозможно, при его потере переписка не подлежит восстановлению — такова неизбежная цена повышенной безопасности. Наряду с зашифрованной перепиской, почтовым ящиком ProtonMail можно пользоваться так же как и любым другим, отправлять и принимать как открытые, так и зашифрованные сообщения. При переписке между двумя клиентами ProtonMail также возможна отправка сообщений с ограниченным временем жизни, которые самоуничтожаются через заданный интервал времени.

Кроме технических средств защиты приватности и анонимности, ProtonMail использует выгодные особенности швейцарского законодательства. Швейцария не только не подчиняется законам США, но и не является частью ЕС, и чтобы обязать компанию выдать данные клиента, нужно пройти долгий и дорогостоящий путь в швейцарских судах. И даже после этого получить доступ к переписке невозможно, так как даже сами хозяева сервиса не имеют ключей шифрования. Для обхода таких ситуаций в законодательстве многих стран есть нормы, которые обязывают компанию встраивать жучки в свои продукты по требованию спецслужб. Однако в Швейцарии это возможно только для провайдеров доступа в интернет, а для провайдеров услуг такой нормы нет.

Разрешено ли в России использовать подобные сервисы? И если нет, то существуют ли отечественные аналоги с сертифицированным методом шифрования, например, ГОСТ 28147-89?

★★☆

с сертифицированным методом шифрования

Нафига? Они требуются только для общения с государством и вроде как имеют сертифицированные дыры.

Shadow ★★★★★ ()
Ответ на: комментарий от Shadow

Вот кусок Указа Президента РФ:

4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации

BMX ★★☆ ()

Our front-end JavaScript encryption/decryption codes are sent to browsers[...]

И сразу фейл.

Our SSL certificate authority (CA) is SwissSign, which is a wholly owned by Swiss Post which is a public institution owned by the Swiss Confederation.

By using a CA owned by the Swiss government, we ensure the highest security for our users because it is extremely unlikely SwissSign can be coerced into validating another website impersonating us.

Они определенно не понимают как работает X.509, а именно доверие к Certificate Authorities.

edigaryev ★★★★★ ()

зарегился, теперь инвайта ждать

umren ★★★★★ ()

претендует на то

Создатели обещают

возможна отправка сообщений с ограниченным временем жизни, которые самоуничтожаются через заданный интервал времени.

И я таки должен взять и поверить этим ребятам с честными глазами? Вроде как разные Гуглы и Майкрософты тоже клянутся, что они никому и никогда.

а) Там открыты исходники?

б) Чем это всё отличается от зашифровать письмо и отправить почтой?

aidan ★★★★ ()
Ответ на: комментарий от aidan

даже если переписка ведется без использования шифрования, почта шифруется на сервере.

BMX ★★☆ ()

По конституции можно, по законам - нет.

alltiptop ★★★★★ ()
Ответ на: комментарий от BMX

Покажи мне это федеральное агентство правительственной связи и информации при Президенте Российской Федерации в также действующий закон «О федеральных органах правительственной связи и информации»

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от BMX

даже если переписка ведется без использования шифрования, почта шифруется на сервере.

Ты лично стоял рядом и заглядывал в монитор через плечо разработчика этой системы? После сливов сервисов каждый раз появляются новые, которые обещают безопасность. И все стадом бегут туда сo словами «Ну уж в этот-то раз...».

aidan ★★★★ ()
Последнее исправление: aidan (всего исправлений: 2)

расположены в Швейцарии, которая славится своими законами о защите персональных данных

лол. Это те которые пару лет назад под угрозами слили всю банковскую тайну?

Umberto ★☆ ()

Швейцария не только не подчиняется законам США, но и не является частью ЕС

так-то оно так, но Брюссель и Белый дом умеют надавить, увы

Fermion ()

только хорошее шифрование на стороне клиента спасет.

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 2)
Ответ на: комментарий от aidan

Вроде как разные Гуглы и Майкрософты тоже клянутся, что они никому и никогда.

По-моему они таки клянутся, что ни за что не отвечают и ни в чем не виноваты.

goingUp ★★★★★ ()
Ответ на: комментарий от edigaryev

If you use ProtonMail, use it because it’s not Google or Yahoo, use it because you like how it looks, use it because you like the name as the words after the @…but please, please, PLEASE - don’t use it for security.

с этим согласен. но, согласись, что если вместо, например, mail.ru люди начнут использовать хотя бы это, то это все равно будет большой прогресс.

BMX ★★☆ ()
Ответ на: комментарий от BMX

но, согласись, что если вместо, например, mail.ru люди начнут использовать хотя бы это, то это все равно будет большой прогресс.

Я думаю что если люди начнут использовать то же гмыло вместо мейлру — уже будет большой прогресс, ибо мейлру это зашквар полный.

edigaryev ★★★★★ ()

Шизофрения - шифрование. Не даром эти слова так созвучны.

nihil ★★★★★ ()

Из названия и происхождения авторов, первое, о чем подумал- изобрели переписку с помощью направленного пучка протонов.

keyran ★★ ()
Ответ на: комментарий от BMX

а у них есть CA на территории России, выдающая сертификаты? или она технические средства шифрования здесь производят? читая внимательно твою же цитату, никто тебе не запрещает пользоваться подобными сервисами

George ()

Какая-то ерунда. Если оно не требует перед отправкой шифровать письма на стороне клиента, который пишет тебе с ящика на gmail и т.п., то это иллюзия безопасности. Если требует, то оно не лучше переписки с шифрованием парой gpg-ключей через любой почтовый сервис.

Deleted ()
Ответ на: комментарий от Deleted

оно не лучше переписки с шифрованием парой gpg-ключей через любой почтовый сервис.

тоже так подумал. Возможно, тут фича в том, что шифруется с помощью пароля, который, якобы, хранится в голове, а не на стороне

Sahas ★★★★★ ()
Ответ на: комментарий от Sahas

Возможно, тут фича в том, что шифруется с помощью пароля, который, якобы, хранится в голове, а не на стороне

Суда по описанию, так и есть, но тайна переписки со входящими письмами в этом случае работает только на честном слове владельцев сервиса.

Deleted ()
Ответ на: комментарий от Deleted

Хотя я это написал не подумав. Исходящие письма на ящики других сервисов тоже должны расшифровываться перед отправкой на стороне сервера, иначе получатель не сможет их прочитать.

Deleted ()

Бред какой-то. Адресату кто и как расшифровывает текст?

Xellos ★★★★★ ()
Ответ на: комментарий от beastie

Шифрофрения!

Необходимо закрепить сей неологизм)).

nihil ★★★★★ ()

а серверы ProtonMail расположены в Швейцарии, которая славится своими законами о защите персональных данных

По сравнению с обычным шифрованием, доп защита сводится к швейцарскому законодательству? Я бы не сказал, что это серьезно.

cvs-255 ★★★★★ ()
Ответ на: комментарий от Hurenweibel

красавчик, я тоже его давно получил, шляпа полная, слишком ограниченно, пускай фсб и фбр уж читает мои письма лучше

umren ★★★★★ ()
Ответ на: комментарий от umren

Это ещё бета пока. Фичи будут прикручивать.
Единственное, что там априори будет хреново - только веб-интерфейс, никаких клиентов.

Hurenweibel ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.