Тайная переписка. Выбираем почтовый сервис с наилучшей защитой

Содержание статьи

Критерии выбора
Открытый исходный код
Юрисдикция
Шифрование
ProtonMail
Tuta
Mailfence
Runbox
Выводы

Популярность электронной почты для общения потихоньку падает, но без «мыла» в наше время все равно никуда. Часто на него завязаны аккаунты, на него приходит разная чувствительная инфа, так что кража или утечка почты — вещь крайне неприятная. Традиционные провайдеры не дают высокого уровня защиты и конфиденциальности, поэтому сегодня поговорим о специальных защищенных сервисах.

В чем их принципиальное отличие? В первую очередь — должно поддерживаться сквозное шифрование, а также неплохо бы иметь какие‑то гарантии отсутствия потенциальной слежки. Как известно, даже если содержимое зашифровано, время отправки сообщения и адресат все еще могут сказать о многом.

К сожалению, мы сможем лишь посмотреть, что обещают создатели сервисов, а не проверить эти обещания. Иногда в таких вопросах приходится ориентироваться по косвенным признакам. Их и разберем.

Критерии выбора

Главными ориентирами нам послужат открытый исходный код, репутация страны, где располагаются мощности, и, конечно же, наличие и качество шифрования данных.

Открытый исходный код

Под открытыми исходниками я имею в виду открытость и кодов программ (клиентов), и серверного бэка. Само собой, ПО с открытым исходным кодом намного легче изучить, что делает его более надежным с точки зрения безопасности. Любой специалист может проанализировать код на наличие уязвимостей, бэкдоров или других проблем, связанных с безопасностью. Это снижает (хотя и не исключает полностью) вероятность скрытого сбора данных или использования вредоносных компонентов. Также активное сообщество разработчиков, поддерживающих проект, часто способствует быстрому исправлению ошибок и повышению надежности сервиса.

Юрисдикция

Юрисдикция, или страна, в которой зарегистрирован сервис, — это важный фактор для защиты данных. Разные государства имеют разные законы, регулирующие вопросы конфиденциальности, слежки и доступа к данным. Например, сервисы, работающие в странах альянса «14 глаз», могут быть вынуждены передавать данные пользователей правительственным службам. Поэтому стоит выбирать страны с сильными законами о защите данных и высоким уровнем уважения к приватности, такие как Швейцария, Швеция или Германия, где действует строгая политика в отношении пользовательских данных и вмешательства со стороны властей. Кроме этого, нужно внимательно читать политику конфиденциальности и условия использования — в этих документах тоже может быть много интересного. В обзоре я старался избегать стран, в которых есть аналоги NSL (письма о национальной безопасности) и Gag order, широко используемых в США.

Шифрование

Шифрование — это основа безопасности данных в современных онлайновых сервисах. Оно обеспечивает конфиденциальность, гарантируя, что доступ к данным могут получить только авторизованные пользователи. При выборе сервиса следует учитывать, какие типы шифрования использует почта, хранит ли письма в зашифрованном виде, есть ли возможность передавать защищенные письма в сторонние почтовые ящики.

На мой взгляд, это основные критерии, но есть еще несколько пунктов, на которые хотелось бы обратить внимание: возможность создать почту без номера телефона или каких‑то других данных и возможность оплачивать сервис криптовалютой (либо использовать бесплатный тариф). Эти пункты я тоже включу в критерии обзора.

info

В обзор не входит почта с обязательной деанонимизацией пользователя: когда запрашивают номер телефона или отсутствует бесплатный тариф, а криптовалютой оплатить невозможно.

ProtonMail

Сайт: proton.me
Открытый исходный код: да (клиентская часть)
Принимает крипту: да
Анонимная регистрация: частично (требуется только email)
Юрисдикция: Швейцария

Наверное, самая популярная почта в этом обзоре, что, впрочем, неудивительно: базируется в Швейцарии, создана учеными CERN, позиционирует себя как один из самых защищенных почтовых сервисов в мире! Код фронтенда открыт, в том числе и криптографическая составляющая. Кроме того, у Proton есть сайт в сети Tor. Регулярно публикуется отчет о прозрачности и свидетельство канарейки — информация о запросах данных правоохранительными органами. Тут можно возмутиться: если владельцы заботятся о конфиденциальности, то почему вообще выполняют такие запросы? Но все мы живем в реальном мире, и юридическое лицо, находящееся в Швейцарии, должно выполнять законы Швейцарии, от этого никуда не денешься. Хорошо, что отчеты об этом вообще публикуются.

Почта шифруется и находится в зашифрованном состоянии на серверах ProtonMail. Если оба корреспондента используют ProtonMail, то письма расшифровываются только получателями. Можно отправить зашифрованное письмо адресату, не пользующемуся ProtonMail, — тогда ему придет только письмо со ссылкой на сервер Proton, по которой будет приглашение на ввод пароля. Пароль придется сообщить адресату по другому каналу — по аналогии с любым симметричным шифрованием. Еще плюс — за сервис можно платить криптовалютой, если не хватит возможностей бесплатного тарифного плана.

У ProtonMail действительно много плюсов, но есть и минусы. Например, в самом начале ProtonMail позиционировался как почта, находящаяся только в Швейцарии, вместе с серверами. По факту в политике конфиденциальности написано, что серверы находятся в двух странах — Швейцарии и Германии.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Количество атак трояна SpyNote на Android-устройства в России выросло в 4,5 раза

Далее → В коде многих приложений для iOS и Android нашли ключи для AWS и Azure