Тайная переписка. Выбираем почтовый сервис с наилучшей защитой

[Жоржъ Борманъ]

Популярность электронной почты для общения потихоньку падает, но без «мыла» в наше время все равно никуда. Часто на него завязаны аккаунты, на него приходит разная чувствительная инфа, так что кража или утечка почты — вещь крайне неприятная. Традиционные провайдеры не дают высокого уровня защиты и конфиденциальности, поэтому сегодня поговорим о специальных защищенных сервисах.

В чем их принципиальное отличие? В первую очередь — должно поддерживаться сквозное шифрование, а также неплохо бы иметь какие‑то гарантии отсутствия потенциальной слежки. Как известно, даже если содержимое зашифровано, время отправки сообщения и адресат все еще могут сказать о многом.

К сожалению, мы сможем лишь посмотреть, что обещают создатели сервисов, а не проверить эти обещания. Иногда в таких вопросах приходится ориентироваться по косвенным признакам. Их и разберем.

Критерии выбора​

Главными ориентирами нам послужат открытый исходный код, репутация страны, где располагаются мощности, и, конечно же, наличие и качество шифрования данных.

Открытый исходный код​

Под открытыми исходниками я имею в виду открытость и кодов программ (клиентов), и серверного бэка. Само собой, ПО с открытым исходным кодом намного легче изучить, что делает его более надежным с точки зрения безопасности. Любой специалист может проанализировать код на наличие уязвимостей, бэкдоров или других проблем, связанных с безопасностью. Это снижает (хотя и не исключает полностью) вероятность скрытого сбора данных или использования вредоносных компонентов. Также активное сообщество разработчиков, поддерживающих проект, часто способствует быстрому исправлению ошибок и повышению надежности сервиса.

Юрисдикция​

Юрисдикция, или страна, в которой зарегистрирован сервис, — это важный фактор для защиты данных. Разные государства имеют разные законы, регулирующие вопросы конфиденциальности, слежки и доступа к данным. Например, сервисы, работающие в странах альянса «14 глаз», могут быть вынуждены передавать данные пользователей правительственным службам. Поэтому стоит выбирать страны с сильными законами о защите данных и высоким уровнем уважения к приватности, такие как Швейцария, Швеция или Германия, где действует строгая политика в отношении пользовательских данных и вмешательства со стороны властей. Кроме этого, нужно внимательно читать политику конфиденциальности и условия использования — в этих документах тоже может быть много интересного. В обзоре я старался избегать стран, в которых есть аналоги

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

(письма о национальной безопасности) и

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, широко используемых в США.

Шифрование​

Шифрование — это основа безопасности данных в современных онлайновых сервисах. Оно обеспечивает конфиденциальность, гарантируя, что доступ к данным могут получить только авторизованные пользователи. При выборе сервиса следует учитывать, какие типы шифрования использует почта, хранит ли письма в зашифрованном виде, есть ли возможность передавать защищенные письма в сторонние почтовые ящики.

На мой взгляд, это основные критерии, но есть еще несколько пунктов, на которые хотелось бы обратить внимание: возможность создать почту без номера телефона или каких‑то других данных и возможность оплачивать сервис криптовалютой (либо использовать бесплатный тариф). Эти пункты я тоже включу в критерии обзора.

В обзор не входит почта с обязательной деанонимизацией пользователя: когда запрашивают номер телефона или отсутствует бесплатный тариф, а криптовалютой оплатить невозможно.

ProtonMail​

• Сайт:
  Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
• Открытый исходный код: да (клиентская часть)
• Принимает крипту: да
• Анонимная регистрация: частично (требуется только email)
• Юрисдикция: Швейцария

Наверное, самая популярная почта в этом обзоре, что, впрочем, неудивительно: базируется в Швейцарии, создана учеными

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, позиционирует себя как один из самых защищенных почтовых сервисов в мире! Код фронтенда

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, в том числе и

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

. Кроме того, у Proton есть

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

в сети Tor. Регулярно публикуется

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

и свидетельство канарейки — информация о запросах данных правоохранительными органами. Тут можно возмутиться: если владельцы заботятся о конфиденциальности, то почему вообще выполняют такие запросы? Но все мы живем в реальном мире, и юридическое лицо, находящееся в Швейцарии, должно выполнять законы Швейцарии, от этого никуда не денешься. Хорошо, что отчеты об этом вообще публикуются.

Почта шифруется и находится в зашифрованном состоянии на серверах ProtonMail. Если оба корреспондента используют ProtonMail, то письма расшифровываются только получателями. Можно отправить зашифрованное письмо адресату, не пользующемуся ProtonMail, — тогда ему придет только письмо со ссылкой на сервер Proton, по которой будет приглашение на ввод пароля. Пароль придется сообщить адресату по другому каналу — по аналогии с любым симметричным шифрованием. Еще плюс — за сервис можно платить криптовалютой, если не хватит возможностей бесплатного тарифного плана.

У ProtonMail действительно много плюсов, но есть и минусы. Например, в самом начале ProtonMail позиционировался как почта, находящаяся только в Швейцарии, вместе с серверами. По факту в

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

написано, что серверы находятся в двух странах — Швейцарии и Германии.

При регистрации нужно указать почтовый ящик для восстановления. Это не проблема, но было бы круто, если бы для регистрации не требовалось вообще никаких данных.

Tuta​

• Сайт:
  Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
• Открытый исходный код: да (клиентская часть)
• Принимает крипту: да (частично)
• Анонимная регистрация: да
• Юрисдикция: Германия

Перед нами защищенная почта из Германии — Tutanota. Тоже достойный кандидат: доступен

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, вся хранимая переписка зашифрована, открыты исходники

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, как и в ProtonMail, есть возможность слать защищенные письма на сторонний ящик — принцип тот же, нужно будет ввести пароль для расшифровки письма по ссылке.

Из минусов —

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, установленный по решению немецкого суда. Компания уверяет, что все письма, зашифрованные до появления бэкдора, расшифровать нельзя. Кроме того, бэкдор не действует на письма, зашифрованные end-to-end. Такое шифрование работает, если оба участника переписки имеют ящик на Tutanota. Через бэкдор могут быть прочитаны незашифрованные письма, поступающие на серверы Tutanota.

Еще небольшой минус — не принимается оплата криптовалютой, но это легко обойти: сама компания предлагает покупать подарочные карты через крипту, а ими оплачивать почту. Да и бесплатный тариф тоже есть. Но имей в виду: в соответствии с

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

компании все платежные данные собираются. То же касается и персональных данных, которые ты сам укажешь, — так написано в

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

. Хорошо, что хоть для регистрации не обязательно указывать никакие данные и можно оставаться анонимным.

Mailfence​

• Сайт:
  Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
• Открытый исходный код: нет
• Принимает крипту: нет
• Анонимная регистрация: частично (требуется только email)
• Юрисдикция: Бельгия

Офис компании находится в Бельгии, как и все серверы. Здесь есть как бесплатный тарифный план, так и платный. Можно включить шифрование переписки: использовать либо OpenPGP, либо шифрование по паролю. Во втором случае адресату придет только письмо со ссылкой на сервер Mailfence, по которой будет приглашение ввести пароль. Точно так же, как в предыдущих двух сервисах, пароль нужно передавать отдельно. Примечательно, что при использовании OpenPGP можно генерировать пары ключей для каждого адресата. Еще из положительных моментов: сервис поддерживает отчеты о прозрачности и

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

.

Из минусов: на официальном сайте говорится о возможности оплатить в криптовалютах, хотя по факту ее нет (так мне ответили в поддержке сервиса), но зато есть бесплатный тарифный план. Исходный код почтовика

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

. Кроме этого, в

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

указано, что компания собирает и хранит IP-адреса, платежные данные и еще кучу информации. Настораживает и фраза «входящие и исходящие сообщения автоматически анализируются нашими процедурами проверки на предмет спама, вирусов и злоупотреблений» — довольно интересная заявка от компании, которая обещает полную конфиденциальность. Ну и при регистрации нужно будет ввести внешний адрес почты, чтобы получить код активации и продолжить регистрацию.

Runbox​

• Сайт:
  Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
• Открытый исходный код: нет
• Принимает крипту: да
• Анонимная регистрация: частично (требуется только email)
• Юрисдикция: Норвегия

Сайт этого почтового сервиса на каждом шагу пытается убедить пользователя, насколько крутая здесь защита переписки и насколько сильно разработчики сервиса заботятся о безопасности пользовательских данных. Давай посмотрим, чего стоит эта реклама и как дела обстоят в реальности.

Из хорошего: за почту можно платить криптовалютой! Но, кажется, на этом плюсы и заканчиваются.

Для регистрации требуется ввести сторонний адрес электронной почты, и если не активировать учетную запись по ссылке, которая туда придет, то не получится отправить ни одного письма: «Error: Please subscribe or validate your alternative email address to send email from your account». Бесплатного тарифа нет, но есть пробный семидневный период. Еще из интересного — в

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

указано, что «для обеспечения защиты от вирусов и спама входящие и исходящие письма могут автоматически сканироваться. Кроме того, происходит автоматическое индексирование содержимого писем для предоставления возможностей поиска писем». Вот такая вот приватность!

Очевидно, что письма не шифруются при хранении, зато сервис

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

использовать OpenPGP самостоятельно. Наверное, чтобы твои письма не читали разработчики этого полностью конфиденциального сервиса!

Короче, это отличная демонстрация случая, когда за громкими словами о приватности и безопасности ни того ни другого нет.

Выводы​

Не так давно у нас был обзор

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, из которого стало понятно, что достойных кандидатов не так уж и много. В случае с сервисами электронной почты ситуация значительно хуже — из всех претендентов более‑менее приемлемо выглядит ProtonMail, на втором месте — Tuta (если не считать бэкдор!). У остальных все совсем печально: похоже, защита там только в рекламных баннерах, которые не имеют ничего общего с реальностью, описанной в пользовательских соглашениях.

Конечно, выход есть — самостоятельно использовать асимметричное шифрование при важных переписках, но это не всегда возможно со всеми адресатами. С конфиденциальностью дела совсем плохи: у основной массы сервисов нет бесплатных тарифов, они не принимают криптовалюты и вынуждают пользователей оплачивать услуги банковскими переводами или платежными сервисами с процедурой KYC, полностью ставя крест на анонимности.

 

[big dope]

лучше голубей отправлять

 

[Zver2019]

очень познавательно и полезно

 

[ливси]

Майл ру круче

 

[ливси]

ну да, если любишь Садо Мазо

У меня без впн работает

 

[Brainstorm]

лучше голубей отправлять

Обезьянку приручить

 

[LSD]

Дерьмовые почтовые сервисы ты конечно нашёл.

RiseUp, A/I. Period.