質子郵件評論

什麼是質子郵件？

ProtonMail 是一種注重隱私的網絡郵件服務，旨在提供 Gmail 等服務的功能和易用性，但它是安全的，不會監視用戶的通信以鞭打他們的東西，或移交給 NSA……至少我們是這麼認為的。

它是由麻省理工學院和哈佛大學的研究生團隊開發的，由哈佛大學博士生和歐洲核子研究中心研究員領導甄子丹，最初是由一家非常成功的公司眾籌的IndieGoGo 活動。

定價和計劃

最重要的發展之一是推出保費計劃。非常有用的免費套餐仍然存在（ProtonMail 承諾它將永遠繼續存在），但高級計劃添加了一些非常有用的功能，例如自定義域和網址，以及每天增加的存儲和消息。

ProtonMail Plus 套餐起價為每月 5 美元（如果按年付費則為每月 4 美元），但可以進一步定制。 ProtonMail Visionary 計劃起價為每月 30 美元，顯然是針對企業的。

自定義域- 如果您有自己的域名，您可以使用您的 ProtonMail 帳戶（例如在[電子郵件受保護]）。

質子郵件地址- 這是您可以擁有的@protonmail.ch 或@protonmail.com 地址的數量。 ProtonMail 計劃在未來版本中為這些添加排序功能。

為每個新的自定義域或 ProtonMail 別名生成新密鑰。

對於普通用戶來說，免費服務可能已經足夠了，但對於高級用戶來說，額外的高級服務是一個受歡迎的補充，並且是為服務提供資金的絕佳方式（請記住，ProtonMail 不會通過廣告或向廣告商出售數據來賺錢！）。

更新：為了在 COVID-19 封鎖期間幫助家庭工作者，Proton VPN 增加了所有付費計劃的可用存儲空間：

• Plus 套餐+5 GB
• 專業計劃 +5 GB/用戶
• +10 GB 用於 Visionary 計劃

2025 年 4 月 30 日之前開始的所有訂閱都將有資格享受此增加，只要您的訂閱處於活動狀態，這種增加就是永久性的。

特徵

• 端到端加密電子郵件。
• 可以向非 ProtonMail 用戶發送加密電子郵件。
• 自毀電子郵件。
• 改進的 Web 界面，具有拖放消息、聯繫人管理器、身份驗證日誌和更多的
• 質子日曆。該日曆對活動標題、描述、地點和參與者進行加密，使任何第三方（包括 ProtonMail）無法查看日曆條目的詳細信息。
• 適用於 Android 和 iOS 的應用程序。
• 總部設在瑞士（稍後詳細介紹）。
• 完全開源。
• 公鑰導出（發送給其他 PGP 用戶並手動驗證消息）。

為了應對 Covide-19 危機，Proton 正在捐贈備用計算資源羅塞塔@home，華盛頓大學運行的一個項目，預測重要冠狀病毒蛋白的原子尺度結構。

瑞士

ProtonMail 在瑞士境外運營對許多用戶來說具有很大的吸引力，因為瑞士不在美國和歐盟的管轄範圍內，並且在瑞士享有盛譽。強有力的隱私法。監視指令必須通過法院獲得，並且沒有任何限制權力，必須通知目標，僅允許針對 ISP 而不是“純粹的”互聯網應用提供商（例如電子郵件服務）等對電子通信進行技術攔截。

然而，這種聲譽是否完全合理還不清楚。例如，人們常說瑞士當局無意與美國及其盟國合作，但美國逃稅者2013 年發現，雖然他們將財富存入瑞士銀行賬戶，但情況並非總是如此。維克多·維塔爾Barnes & Thornburg 的出庭律師告訴我們有線那，

“人們似乎認為歐洲或外國的數據隱私法會帶來問題或成為障礙，但事實並非如此，因為根據這些條約，各國有義務進行盡可能廣泛和盡可能多的合作。”

更令人擔憂的是，強大的新監視法去年巴黎恐怖襲擊事件發生後，瑞士政府正在推動制定 Nachrichtendienstgesetzt (NDG) 或“BÜPF”，這將極大地擴大國家的監控權力。

由於瑞士的民​​主制度，NDG 被擱置，直到 6 月舉行全民公投，ProtonMail 因競選活動籌集實現這一目標所需的 70,000 個簽名。 BÜPF“將在議會春季會議上進行投票，但可能會被修改或推遲。”

因此，我認為可以公平地說，儘管 ProtonMail索賠即使全民公投通過，也不會受到NDG法的影響。

隱私

ProtonMail 帳戶受兩個密碼保護，第一個密碼用於驗證用戶身份並檢索正確的帳戶（ProtonMail 保留該帳戶的副本），第二個密碼僅由用戶保留，用於解密其郵箱。正如 Intercept 專注於隱私和密碼學的技術專家 Micah Lee 所說，

“他們有兩套密碼實際上真的很好。登錄密碼被發送到服務器，這就是您證明您的用戶名確實是您的方式。第二個是郵箱密碼，它永遠不會發送到 ProtonMail 的服務器。第二個密碼在您的瀏覽器中運行並解密您的消息。”

郵件以加密方式存儲在 ProtonMail 的服務器上，因此 ProtonMail 員工無法訪問它們，而且這些服務器本身“利用具有多個密碼層的完全加密硬盤，因此即使我們的硬件被扣押，也能保證數據安全。”

ProtonMail 成員之間發送的所有消息均經過加密。發送給非 ProtonMail 會員的消息也可以加密發送，也可以通過常規純文本電子郵件不加密發送。

根據 ProtonMail 的說法，不會保留任何元數據，也不會記錄用戶連接的 IP（儘管從技術上來說沒有什麼可以阻止它這樣做）。正如 ProtonMail 還指出的那樣，由於消息是加密的，因此它無法掃描它們以提供有針對性的廣告。

更新：我在最初撰寫這篇評論時錯過的一個主要問題（由於我使用現有的 ProtonMail 帳戶）是 ProtonMail 現在在註冊新帳戶時要求進行人工驗證（通常通過短信）。

這在很多方面都是相當可以理解的（可能是必要的）預防措施，以防止服務被垃圾郵件發送者和垃圾郵件機器人濫用，但它確實完全破壞了任何匿名概念。不願意提供電子郵件或電話號碼的用戶可以通過升級到高級帳戶（可以使用比特幣匿名支付）來避免這樣做。

最後，值得注意的是，ProtonMail 現在推出了 ProtonCalendar 功能。這是對電子郵件套件的極好的補充，許多競爭電子郵件服務中都可以找到該套件。然而，ProtonMail 的日曆是獨一無二的，因為它實際上加密了日曆條目的事件標題、描述、位置和參與者。這使得任何第三方（包括 ProtonMail）都無法查看這些用戶創建的條目的詳細信息。

技術保障

ProtonMail 使用開源 AES、RSA 和 OpenPGP 庫（TLS 1.0、AES-128 CBC、DHE RSA 握手和 SHA3 哈希身份驗證）的“安全實現”對加密消息進行端到端加密。

這沒關係，雖然TL 1.0有點過時了，大多數專家認為 AES-256 比 AES-128 更安全（不過，這是有爭議的，因為 AES-128 具有更強的安全性）關鍵時間表）。

SSL 證書是現在簽署人QuoVadis Trustlink 瑞士股份公司,

“我們新證書的高級功能包括擴展驗證 (EV)、4096 位 RSA、SHA-256 哈希，以及證書透明度 (CT)。我們將與 QuoVadis 一起繼續保持 SSL 證書技術的最前沿，以確保 ProtonMail 用戶獲得最高級別的安全性。”

我們在使用 ProtonMail 時遇到的一個大問題是它的軟件不完全開源，但這一切都變了，現在是100% 開源。然而，與許多開源代碼不同的是，ProtonMail 已經過由知名且受人尊敬的密碼學家組成的團隊的廣泛審核。自願的（免費）監督該項目，尋找後門和其他骯髒行為。

到目前為止一切順利，但消息並不那麼樂觀。正如耶爾·格勞爾（Yael Grauer）有線解釋說，

“其中一個大問題是，很難知道發送給另一個 ProtonMail 用戶的消息是否正在被發送。加密為接收者的正確公鑰，存儲在 ProtonMail 的密鑰服務器上。例如，如果 Alice 向 Bob 發送一條用他的公鑰加密的消息，那麼其他人就很難讀取該消息。但由於 ProtonMail 將加密密鑰分發給用戶，因此它有技術能力為 Alice 提供自己的除了鮑勃的密鑰之外，還擁有鮑勃的密鑰，從而以允許竊聽的方式對消息進行加密。 ”

這是 Apple iMessage 所共有的一個弱點，但已在諸如訊號通過驗證公共加密密鑰。

另一個明顯的問題是所有加密都是使用 JavaScript 在用戶瀏覽器中執行的。這對於端到端執行加密（而不是由 ProtonMail 執行，由 ProtonMail 持有私鑰）至關重要，但 JavaScript 加密本質上是非常不安全的。

這個問題不應該影響移動應用程序的用戶，只要他們記得僅有的使用移動應用程序訪問他們的 ProtonMail 帳戶，因為這些帳戶不使用 JavaScript 進行加密。

當向非用戶發送加密電子郵件時，電子郵件的內容和所有附件都會被加密。普通電子郵件元數據信息是但是，包含在標頭中，包括發件人的電子郵件地址、收到電子郵件的時間以及主題標題（當然，可以非常詳細）揭示）。

這裡的要點是 ProtonMail 比“常規”網絡郵件服務安全得多，可以抵抗全面監視（儘管它是 100%定NSA 和其他安全部門將大力監控 ProtonMail 帳戶），並且 ProtonMail 不會監視您的電子郵件以將您的數據出售給廣告商。

然而，ProtonMail 聲稱它提供“匿名電子郵件”，對此我們應該持保留態度，並且應該清楚地理解，使用此服務遠不如使用安裝了良好 PGP 插件的獨立電子郵件客戶端安全（請參閱我們的使用教程）GP4win），甚至是帶有附加組件的瀏覽器，例如信封安裝。

使用中的 ProtonMail

登入

登錄需要您輸入兩個密碼...

您的帳戶密碼，ProtonMail 知道...

...以及您的郵箱密碼，該密碼應該只有您自己知道。

任何熟悉網絡郵件服務的人都會立即對 ProtonMail 感到賓至如歸。新的2.0界面看起來不錯，並且運行流暢。

發送給其他 ProtonMail 用戶的消息會自動加密，而發送給非 ProtonMail 用戶的消息可以選擇加密。此類消息將在 28 天后過期（自動銷毀），或者您可以選擇更早的時間。

收件人會收到加密消息的鏈接（加上提示，如果使用的話）。請注意，此消息將在一小時後過期，但還要注意，沒有隱藏任何元數據。

當他們輸入密碼時...

...他們可以閱讀該消息。

如果消息已過期，則鏈接將失效。

儘管目前還沒有可用的移動應用程序（在撰寫本文時仍處於測試階段），但 ProtonMail 的響應式網站設計意味著它在移動網絡瀏覽器中看起來很棒。

其他平台

2016 年 3 月更新：當然，可以通過常規瀏覽器在所有平台上使用 Web 界面。 ProtonMail 現在還發布了適用於 Android 和iOS系統。

Android 應用程序看起來很智能並且運行良好

電子郵件隱私測試儀結果

我使用以下方法測試了 ProtonMail電子郵件隱私測試儀工具開發者邁克·卡德威爾。

這些與我在進行測試時獲得的結果相同經測試大約一年前，即使在那時，他們的表現也不如 Tutanota 的好

結論

我喜歡

• 很多比普通電子郵件更安全。
• 電子郵件不會出於廣告目的而被監視。
• 易於使用且看起來很棒。
• 完全開源。
• 可以向非用戶發送加密的電子郵件。
• 自毀電子郵件。
• 真正有用的高級選項（包括自己的域名）。
• 從 ProtonMail 4.0 開始添加了深色模式。

我不太確定

• 遠沒有“正確的”PGP 電子郵件那麼安全。
• 總部設在瑞士的好處值得商榷。
• Apple 和 Play 商店中仍無法使用移動應用程序。
• 註冊時的短信驗證（可以通過升級到高級帳戶來避免）。

我討厭

• 將服務誤稱為“匿名”。它不是。
• 電子郵件隱私測試儀的結果並不引人注目。
• 使用 ProtonMail 會引起注意（本身不是它的錯，但值得注意）。
• 將 ProtonMail 用戶信息移交給美國當局。

人們經常爭論，在安全通信方面，過時的電子郵件系統已經完全崩潰，ProtonMail 不會改變這一點。此外，任何在瀏覽器內實現加密（使用 JavaScript）的網絡郵件系統也可能從根本上不安全。正如 ProtonMail 自己在其網站上承認的那樣威脅模型頁，

不推薦：愛德華·斯諾登 – 如果您是愛德華·斯諾登，或下一個愛德華·斯諾登，並且面臨需要隱私的生死攸關的情況，我們不建議使用 ProtonMail。對於極其敏感的情況，使用電子郵件作為溝通媒介根本不是一個好主意。

然而，ProtonMail 是一種非常易於使用的網絡郵件服務（與 Gmail 等類似服務相當），比大多數此類網絡郵件服務安全得多，並且不會（無法）監視您的所有信件以投放廣告（如穀歌、微軟、蘋果等公司所做的那樣）。

此外，雖然它不太可能抵禦有針對性的 NSA 攻擊（用戶應該知道 NSA 可能會針對該服務的用戶），但 ProtonMail 在大多數用途（包括國家執法機構的調查）中都提供了高度的隱私性，並且總部位於瑞士，它應該能夠抵禦許多合法形式的攻擊。

在可用性方面，ProtonMail 自推出以來添加了大量功能，使其成為主流網絡郵件服務的非常可行的替代方案，並且向完全開源的轉變是非常受歡迎的。

簡而言之，只要認識到其（相當大的）局限性，使用 ProtonMail 就可以成為改善您的隱私和抵制政府全面監視的積極一步。只是不要指望它能提供真正的匿名性，或者在您從事任何非常非法的事情時保護您。

1 用戶評論