免費的網絡郵件服務安全嗎?
免費的網絡郵件服務更糟。他們掃描所有電子郵件的內容,以了解有關用戶的詳細詳細信息,以便他們可以通過為越來越量身定制的廣告提供詳細的詳細資料。此外,感謝愛德華·斯諾登(Edward Snowden)先生,我們現在知道它們將大部分信息傳遞給NSA和GCHQ之類的(無論如何都沒有傳遞的東西!)
傳統上,保護電子郵件免受不必要的眼睛的最佳方法是使用PGP加密。這可以安全地加密電子郵件的主體和任何附件,但不會隱藏元數據(例如主題行,誰,來自誰以及發送)。
不幸的是,儘管如果正確實施PGP加密非常安全,但使用也很複雜且令人困惑。這意味著,即使您可能會不願學習如何使用PGP來加密電子郵件(實際上是這樣做!),您認識的大多數人都不會。由於PGP僅在發件人和收件人都使用PGP的情況下工作……好吧...我們只是說它從未真正抓住過。
使用Chiaramail
Chiaramail是一種新的安全網絡郵件服務,它使用它術語的“信封內部分裂(ECS)技術”來使發送電子郵件更加安全。
當用戶打開ECS消息時,Chiaramail軟件隨後將信封重新連接使用消息的內容(不需要密碼或其他驗證。)每當訪問消息時,這就是“按需”,因此,如果更改消息(請參見稍後,請參見稍後),每當他或她打開消息時,收件人都會看到新內容。
該系統的最大優勢是它的操作完全透明。當一個Chiaramail用戶在啟用Chiaramail的電子郵件客戶端中從另一個Chiaramail用戶收到一條加密的消息時,體驗與收到常規電子郵件基本相同。這使系統非常易於使用(例如,與PGP不同),因此即使是技術挑戰最多的家庭成員也應該沒有問題。這也意味著用戶無需設置新的電子郵件帳戶,而是遵守遷移到該帳戶的艱鉅任務。
此消息與信封一起發送給收件人。
但是,目前,唯一的軟件在Android平台上,它使用了受歡迎的第三方電子郵件客戶端的修改版本。 Chiaramail目前還正在開發一個網絡郵件客戶端,併計劃在“今年夏天晚些時候”推出。
由於明智的DRM安全限制,我們無法屏幕截圖,但該應用程序基本上是經過改進的版本的流行,有吸引力且功能強大的K-9郵件的版本
即使忽略了目前缺乏Chiaramail軟件,這種需要下載和使用其他應用程序/擴展名也是缺點,並且與ProtonMail和Tutanota都形成了鮮明對比,這使得非用戶可以接收加密的電子郵件而無需任何其他軟件。另一方面,Tutanota和Protonmail都要求非用戶知道預共享密碼,而Chiaramail並不需要。
另一個問題是,通過通過常規電子郵件將“信封”發送給用戶,電子郵件仍受NSA進行的元數據監視。雖然這是傳統電子郵件工作方式固有的問題,但Tutanota設法克服了問題。
在這裡,我們可以看到Chiaramail用戶可用的各種特殊選項。
由於電子郵件的內容存儲在Chiaramail的服務器上,因此Chiaramail可以提供獨特的功能 - 發送電子郵件後可以更改電子郵件的內容!如果您修改通過Chiaramail(ECS)發送的電子郵件的內容,則下次收件人查看電子郵件時,他們將看到更新的內容!這是一個很棒的功能,在某些情況下可能是救生員!
另一個時髦的功能是自我毀滅的電子郵件。當您通過ECS發送電子郵件時,您可以為其設置計時器(並選擇計時器長度)。果然,當收件人查看電子郵件時,稍微計時器在角落裡倒數,當它達到0時,電子郵件就會消失。
將ECS消息發送給幾個收件人時,使用“包括內容”,其中一些人無法讀取ECS。如果選擇了“包含內容”,則內容包含在消息中,以及ECS標頭字段,從而向所有人提供可讀的消息。當然,在這種情況下,沿發件人和收件人之間網絡路徑的每個人都可以看到消息內容,因此不安全,但是啟用ECS的收件人至少保留了知道該消息確實確實來自聲稱自己是誰的好處。
這觸及了Chiaramail的另一個大優勢 - 它完全消除了電子郵件地址欺騙和網絡釣魚的可能性。在這個Chiaramail中,聲稱是一些專家的唯一解決方案計算全球成本約為1萬億美元。這本身使Chiaramail成為引人入勝的產品。
隱私和安全
關於Chiaramail的第一件事是,與Tutanota不同,該技術不是開源的(儘管K-9郵件Android App該技術目前是INSO的IS)。現在,我們通常不建議(甚至審查)封閉式軟件,因為沒有辦法保證它正在做開發人員所說的事情……
但是,與ProtonMail一樣,Chiaramail開發人員渴望對該專家進行尊敬的專家對軟件進行獨立審核。為此,Chiaramail一直在與Mario Heiderich討論治療53在德國。除了幫助Chiaramail服務器中的修補程序漏洞外,Cure53還同意對Chiaramail軟件進行完整的審核。
但是,一項獨立的審核花費很大(顯然是引用了Chiaramail $ 27,500),因此,為了滿足此費用(和其他資金要求)Chiaramail已開始Indiegogo籌款活動。
原則上,我們更希望看到代碼開源,以便任何人都可以檢查,但(值得審計的)經過審核的封閉源代碼可以說是比未經審核的開源代碼更好(大多數開源代碼是)。但是,在進行此審核之前,早期採用者將不得不相信Chiaramail的完整性,並承諾即將進行的審計作為真誠的標誌。
默認情況下,使用強AES-256密碼對消息的內容進行加密(但在歐洲央行模式,這被認為最弱AES實現的形式。 )加密是使用默認Android庫執行客戶端(即端到端)的,但密碼不是。 Chiaramail解釋說,
``當用戶使用我們的郵件客戶端配置帳戶時,請求將發送到Java Servlet將用戶註冊在我們的數據庫中並生成密碼。生成後,在將其存儲在數據庫中並將其返回到郵件客戶端之前(客戶端和服務器之間的所有通信都是通過安全鏈接完成的)。
此處生成的密碼是內容服務器密碼,並在需要獲取,發送,更新等時,客戶端將其發送到內容服務器。例如,如果用戶想發送ECS消息,則通過將消息內容髮送給內容服務器以及發件人的電子郵件地址和內容服務器密碼來驗證發件人確實是它聲稱的核心(這是我們身份驗證方案的核心,並且是如此困難的原因,即使不是不可能,可以欺騙ECS郵件消息)。
當內容加密後,將加密密鑰添加到消息標題中,因此收件人可以訪問其在內容服務器提供後需要解密內容所需的訪問權限。當然,任何可以訪問用戶收件箱(犯罪分子,郵件服務提供商等)的人也可以看到鑰匙,但是除非他們也可以訪問用戶的設備,否則他們將無論如何都無法獲取內容。所以這是安全的。同樣,如果某人獲得對內容的訪問權(例如,NSA或某些犯罪分子),而不是對用戶收件箱的訪問權,則數據同樣不可讀。最後,如果他們可以訪問兩者,則發件人可能仍會更改或刪除其內容,然後才能抓住它”
這對我們來說似乎是安全的,反對外部對手,可以說比Protonmail和Tutanota對使用JavaScript在瀏覽器中執行加密的依賴。但是,我們有點擔心Chiaramail工作人員本身是否可以訪問用戶的內容(例如,如果發布了FISA法院逮捕令)。 Chiaramail首席執行官Bob Uomini回答,
``這個問題之前已經出現了,實際上,我知道我或任何人都無法閱讀沒有加密密鑰的服務器上存儲的內容。由於鍵是在客戶端中生成的,並且永遠不會發送到內容服務器,因此一旦將內容文件提供給當局,我們的合規性職責結束了。當然,如果當局要獲得內容和加密密鑰的FISA訂單,他們可以來找我們來獲取內容,例如Google獲取郵件/標題(其中包含加密密鑰),並且都可以閱讀消息。但是...一旦發件人被告知傳票,他就可以更改或刪除內容。這是PGP加密消息無法使用的選項。
如前所述,Android客戶端是在K-9郵件客戶端建立的。要使用此客戶,您必須登錄常規電子郵件帳戶。這確實有些擔心,但是當使用任何第三方電子郵件客戶端(例如Mozilla Thunderbird)時,也是如此,Chiaramail向我們保證,'ECS絕不連接到您的電子郵件憑據;特別是,您的電子郵件密碼永遠不會通過我們的服務發送或通過我們的服務發送。它僅用於發送和查看電子郵件,而僅存儲在電子郵件客戶端中。在進行審核之前,我們將不得不對此採取Chiaramail的話。
Chiaramail正確為之驕傲的一件事是實現A+結果在Qualys Labs的SSL Server測試報告中(Google只能獲取b)。作為參考,我們還檢查了ProtonMail(A+)和tutanota(一個)。
結論
在我們的測試中,Chiaramail效果很好,如果您可以說服其他朋友,家人和同事加入,它提供了一種幾乎透明的方法來保護電子郵件內容。我們還認為,發送電子郵件後更改電子郵件的能力非常時髦。
Chiaramail要克服的最大障礙之一是所有各方都必須使用它來使ECS工作。但是,Chiaramail在這方面有很大的野心,但是,它希望“例如,蘋果,Facebook或Microsoft可以將ECS支持添加到他們的郵件客戶端中。他們都談論對用戶隱私的尊重,但是如果他們認真對待,他們會將EC烘烤到他們的產品中,我們很樂意為他們提供免費的源代碼許可證。
關於Chiaramail的最好的事情之一是,它使電子郵件欺騙和網絡釣魚不可能,這可能是這一方面,而不是其電子郵件內容保護功能,從而導致更廣泛的採用。
Chiaramail並不是我們的開源錯誤,但我們確實看到它的價值得到了充分的審核(但是直到實際發生,我們只能向ECS技術的早期採用者和發燒友推薦Chiaramail)。
一個不太容易解決的問題是,元數據(政府間諜機構的主要目標)並非隱藏。我們不會為此而對Chiaramail過於努力,因為這是所有傳統電子郵件系統的一個基本問題,但是我們希望看到下一代電子郵件服務找到隱藏此元數據的解決方案(如Tutanota所做的那樣)。
假設Chiaramail是一種創新且易於使用的方式來改善電子郵件隱私,不需要用戶更改其電子郵件帳戶。為此,它應該受到讚揚並獲得我們的大拇指。