Несколько сотрудников Европейской лаборатории по ядерным исследованиям (ЦЕРН) разработали почтовый сервис ProtonMail, который претендует на то, чтобы стать одним из самых защищённых — всё содержимое почтовых ящиков шифруется на стороне клиента, а серверы ProtonMail расположены в Швейцарии, которая славится своими законами о защите персональных данных. Создатели сервиса утверждают, что ProtonMail способен и превзойти по защищённости недавно закрывшийся Lavabit, которым пользовался среди прочих и Эдвард Сноуден.
ProtonMail успел занять несколько призовых мест на конкурсах стартапов, а 15 мая началось открытое бета-тестирование. Правда количество желающих попробовать сервис оказалось настолько большим, что серверы не выдержали нагрузки и сейчас временно введён режим регистрации по инвайтам. Как только команда проекта нарастит мощности, регистрация вновь станет открытой. Монетизировать ProtonMail предполагается по модели Freemium. Создатели обещают, что минимальный набор услуг будет бесплатным всегда.
Сообщения ProtonMail не хранятся на серверах в открытом виде — они шифруются на стороне клиента. Для авторизации используются два пароля — один для входа в аккаунт и загрузки зашифрованных данных, второй — для их расшифровки. Восстановление пароля для расшифровки писем невозможно, при его потере переписка не подлежит восстановлению — такова неизбежная цена повышенной безопасности. Наряду с зашифрованной перепиской, почтовым ящиком ProtonMail можно пользоваться так же как и любым другим, отправлять и принимать как открытые, так и зашифрованные сообщения. При переписке между двумя клиентами ProtonMail также возможна отправка сообщений с ограниченным временем жизни, которые самоуничтожаются через заданный интервал времени.
Кроме технических средств защиты приватности и анонимности, ProtonMail использует выгодные особенности швейцарского законодательства. Швейцария не только не подчиняется законам США, но и не является частью ЕС, и чтобы обязать компанию выдать данные клиента, нужно пройти долгий и дорогостоящий путь в швейцарских судах. И даже после этого получить доступ к переписке невозможно, так как даже сами хозяева сервиса не имеют ключей шифрования. Для обхода таких ситуаций в законодательстве многих стран есть нормы, которые обязывают компанию встраивать жучки в свои продукты по требованию спецслужб. Однако в Швейцарии это возможно только для провайдеров доступа в интернет, а для провайдеров услуг такой нормы нет.
Разрешено ли в России использовать подобные сервисы? И если нет, то существуют ли отечественные аналоги с сертифицированным методом шифрования, например, ГОСТ 28147-89?
