ProtonMail-安全电子邮件

2020-07-05 02:50:24

跳转到导航跳转到搜索ProtonMail是一项端到端加密电子邮件服务,由在CERN研究机构相遇的科学家于2013年在瑞士日内瓦创立。[7]与Gmail和Outlook.com等其他常见电子邮件提供商不同,ProtonMail在将电子邮件内容和用户数据发送到ProtonMail服务器之前,使用客户端加密来保护它们。这项服务可以通过网络邮件客户端、Tor网络或专用的iOS和Android应用程序访问。[8]。

ProtonMail由总部设在日内瓦的Proton Technologies AG运营[9]。它的服务器位于瑞士的两个地点,不在美国和欧盟的管辖范围内。[10]该公司还运营ProtonVPN,这是一项VPN服务。ProtonMail通过众筹活动获得了初始资金。虽然默认账户设置是免费的,但这项服务是由可选的付费服务维持的。截至2017年1月,ProtonMail拥有200多万用户[11],到2018年9月[12]增长到500多万,到2018年年底增长到1000多万。[2]ProtonMail最初仅限邀请,于2016年3月向公众开放。

2014年5月16日,ProtonMail进入公测阶段。[13]它得到了足够的响应,三天后,他们需要暂时暂停测试版注册,以扩大服务器容量。[14]两个月后,ProtonMail通过Indiegogo上的众筹活动从10,576名捐赠者那里获得了550,377美元,同时目标是100,000美元。[15]在活动期间,PayPal冻结了ProtonMail的PayPal账户,从而阻止了价值251,721美元的捐款被提取。贝宝表示,由于对加密合法性的怀疑,该账户被冻结,反对者称这些说法是没有根据的。[16][17]第二天,这些限制就取消了。[18]。

2015年3月18日,ProtonMail从Charles River Ventures和Genevoise Pour l';Innovation Technologique(Fongit)获得200万美元的投资。[19]2015年8月14日,ProtonMail发布了主版2.0,其中包含了针对其Web界面重新编写的代码库。ProtonMail团队同时在开放源码许可下发布了Web界面的源代码。[20]2016年3月17日,ProtonMail发布了主版3.0,正式发布了ProtonMail的测试版。凭借新的网络客户端界面,3.0版还包括公开发布ProtonMail的iOS和Android测试版应用程序。[21]。

2017年1月19日,ProtonMail通过隐藏服务地址protonirockerxow.onion的Tor宣布支持。[22][23]2017年11月21日,ProtonMail推出了零访问加密联系人管理器ProtonMail Contacts。ProtonMail联系人还使用数字签名来验证联系人数据的完整性。[24]2017年12月6日,ProtonMail发布了ProtonMail Bridge,这是一款应用程序,可为任何支持IMAP和SMTP的桌面客户端(如Windows和MacOS版的Microsoft Outlook、Mozilla Thunderbird和Apple Mail)提供端到端电子邮件加密。[25]。

2018年7月25日,ProtonMail引入了地址验证和PGP支持,使ProtonMail可以与其他PGP客户端互操作。[26]2019年10月30日,ProtonMail开源其iOS应用,在GitHub上发布代码,并通过SEC咨询发布审计结果。[27]2019年12月,ProtonMail发布了一款完全加密的日历ProtonCalendar。[28][28]。

2020年4月15日,ProtonMail开源ProtonMail Bridge应用程序,在GitHub上发布代码,并通过SEC咨询发布审计结果。[29]随后,在2020年4月23日,ProtonMail也对其Android应用程序进行了开源。Android的代码在GitHub上发布,并由SEC咨询公司发布审计结果。[30][30]。

从2015年11月3日到7日,ProtonMail遭受了几次DDoS攻击,导致用户基本上无法使用该服务。[31]在攻击期间,该公司在推特上表示,它正在瑞士寻找一个新的数据中心,并表示,由于针对我们的攻击规模之大,许多人感到害怕。[32][font=宋体]

2018年7月,ProtonMail报告称,它再次遭受DDoS攻击,首席执行官安迪·严(Andy Yen)声称,攻击者是由不明身份的人付钱发动攻击的。[33]2018年9月,其中一名ProtonMail袭击者被英国执法部门逮捕,并被控与其他一系列针对学校和航空公司的高调网络攻击有关。[34][34]。

2019年11月15日,Proton证实白俄罗斯已在全国范围内发布了ProtonMail和ProtonVPN IP地址块。4天后,这个街区就不再存在了。没有向ProtonMail解释阻塞的原因,也没有解释阻塞被解除的原因。[35]。

2020年1月29日,俄罗斯联邦通信、信息技术和大众媒体监督局报告称,它已经在俄罗斯境内实施了ProtonMail服务的全面封锁。[36]作为屏蔽的一个原因,它引用了ProtonMail拒绝提供与据称发送带有恐怖威胁的垃圾邮件的账户相关的信息。[37]然而,ProtonMail声称,它没有收到俄罗斯当局关于任何此类账户的任何请求。[39]作为对屏蔽的回应,ProtonMail Twitter账户建议合法用户通过VPN或ToR绕过屏蔽。

2020年3月,该公司宣布,尽管俄罗斯的禁令并不是特别成功,而且这项服务在俄罗斯仍然很大程度上可以在没有使用VPN的情况下使用,但ProtonMail将在ProtonMail和ProtonVPN桌面和移动应用程序中发布新的反审查功能,这将允许更多的屏蔽尝试被自动规避。[41][font=宋体]。

ProtonMail维护并拥有自己的服务器硬件和网络,以避免利用第三方。它维护着两个数据中心,一个在洛桑,另一个在阿廷豪森(在1000米花岗岩下的前K7军用掩体中)作为备份。[42]由于数据中心位于瑞士,因此它们在法律上不在美国和欧盟的管辖范围内。根据瑞士法律,所有来自外国的监视请求都必须通过瑞士法院,并受国际条约的约束。潜在的监视目标会得到及时通知,并可以在法庭上对请求提出上诉。[需要引用]。

每个数据中心使用跨Web、邮件和SQL服务器的负载平衡、冗余电源、采用全磁盘加密的硬盘驱动器,以及Linux和其他开源软件的独占使用。[45]2014年12月,ProtonMail加入了成熟的NCC,努力更直接地控制周围的互联网基础设施。[46][中英文对照]。

ProtonMail结合使用公钥加密和对称加密协议来提供端到端加密。当用户创建ProtonMail帐户时,其浏览器会生成一对公钥和私钥RSA:

能够解密用户数据的私钥使用用户的邮箱密码进行对称加密。

这种对称加密使用AES-256在用户的Web浏览器中进行。在帐户注册时,要求用户提供其帐户的登录密码。ProtonMail还为用户提供了使用双密码模式登录的选项,该模式需要登录密码和邮箱密码。

邮箱密码加密用户的邮箱,其中包含接收到的电子邮件、联系人和用户信息以及私人加密密钥。

登录时,用户必须提供两个密码。这是为了访问帐户和加密邮箱及其私有加密密钥。解密在客户端进行,或者在Web浏览器中进行,或者在其中一个应用程序中进行。公钥和加密的私钥都存储在ProtonMail服务器上。因此,ProtonMail仅以加密形式存储解密密钥,因此ProtonMail开发人员无法检索用户电子邮件或重置用户邮箱密码。[47]此系统免除了ProtonMail在以下方面的责任:

ProtonMail专门支持HTTPS,并使用具有临时密钥交换的TLS来加密用户和ProtonMail服务器之间的所有互联网通信。他们的4096位RSA SSL证书由Quovadis Trustlink Schweiz AG签署,支持扩展验证、证书透明度、[49]公钥锁定和严格的传输安全。Protonmail.com拥有Qualys SSL实验室的A+34;评级。[50][50]。

2015年9月,ProtonMail在他们的Web界面和移动应用程序中添加了原生支持,以实现相当好的隐私(PGP)。这允许用户将其ProtonMail PGP编码的公钥导出到ProtonMail之外的其他人,使他们能够使用该密钥进行电子邮件加密。ProtonMail团队计划支持从ProtonMail到外部用户的PGP加密。[51][font=宋体]。

从一个ProtonMail帐户发送到另一个帐户的电子邮件会使用收件人的公钥自动加密。一旦加密,只有收件人的私钥才能解密电子邮件。当收件人登录时,他们的邮箱密码会解密他们的私钥并解锁他们的收件箱。

从ProtonMail发送到非ProtonMail电子邮件地址的电子邮件可以选择以纯文本或端到端加密发送。使用加密时,电子邮件将在用户提供的密码下使用AES加密。收件人收到指向ProtonMail网站的链接,他们可以在该网站上输入密码并阅读解密的电子邮件。ProtonMail假定发件人和收件人已通过反向通道交换了此密码。[47]可以将此类电子邮件设置为在一段时间后自毁。[42]。

ProtonMail目前支持使用TOTP令牌进行登录过程的双因素身份验证。[52]截至2019年10月,根据ProtonMail官方博客,U2F对YubiKey和FIDO物理安全密钥的支持目前正在开发中,将在V4.0发布后很快推出。[53][font=宋体]

ProtonMail于2017年12月出现在美剧《机器人先生》的第一季和第三季中。[57][font=宋体]。

ProtonMail也出现在2019年的电影Knves Out中。该服务没有为其在电影中的亮相付费,但电影制片人联系了该服务,以获得使用该品牌名称的许可。[58][58]。

^a b Andy Yen(2018年12月31日)。回顾2018年和我们对未来的展望。ProtonMail博客。

日内瓦商业登记处。共和共和国和日内瓦州立大学(RéRepublic ique et Canton de Genève)。2014年7月18日。

^&34;通过Tor";使用ProtonMail加密电子邮件对抗审查。ProtonMail博客。2017年1月19日。

^&34;Über-Secure ProtonMail Beta版仅需60小时即可完成所有服务器。信息安全杂志。2014年5月22日。

帕特里克·尼尔·豪厄尔(Howell O';Neill)(2014年7月1日)。";PayPal冻结电子邮件加密初创公司ProtonMail[Update]";的帐户。“每日邮报”。

^Yen,Andy(2015年3月18日)。ProtonMail已经筹集了200万美元来保护在线隐私。ProtonMail博客。

^&34;通过Tor";使用ProtonMail加密电子邮件对抗审查。ProtonMail博客。2017年1月19日。

^Martin,Alexander J.(2017年1月19日)。ProtonMail推出Tor隐藏服务以规避极权审查。注册纪录册。于2017年1月20日从原件存档。

^M.,Irina(2017年12月6日)。介绍ProtonMail Bridge、适用于Outlook、Thunderbird和Apple Mail的电子邮件加密。ProtonMail博客。

^";介绍地址验证和完全PGP支持-ProtonMail博客";。ProtonMail博客。2018年7月25日。

^#34;ProtonMail Bridge在MacOS、Windows和Linux上是开源的。ProtonMail博客。2020年4月15日。

约翰·莱登(2015年11月5日)。ProtonMail仍受到DDoS轰炸的攻击。注册纪录册。

^Lynch,贾斯汀(2018年7月2日)。ProtonMail首席执行官:攻击仍在继续。视线传媒集团。

攻击ProtonMail的阿波菲斯小队成员已被逮捕-ProtonMail博客。ProtonMail博客。2018年9月6日。

Tsydenova,Nadezhda;Ivanova,Polina(2020年1月29日)。马克·海因里希(编辑)。俄罗斯屏蔽加密电子邮件服务ProtonMail";。路透社。

^";ПочтовыйсервисProtonMailзаблокироваливРоссиз-засообщенийоминированиях";。www.kommersant.ru(俄语)。2020年1月29日。

^路透社(2020年1月29日)。俄罗斯阻止加密的瑞士电子邮件服务ProtonMail";。“莫斯科时报”。

^";ProtonMailнеполучалапросьбопомощивпоискахлжеминеров";。Interfax.ru(俄语)。

^";Россиянеобращаласьзаинформациейо";минерах";,заявиливProtonMail";。РИАНовости(俄语)。2020年1月29日。

^ProtonMail(2020年3月13日)。我们正在推出技术,帮助我们更好地克服拦截ProtonMail的企图。雷迪特。

我是格黑门·达登堡·冯·阿廷豪森。Schweiz aktuell(视频)(德语)。SRF。2012年9月5日。

^Yen,Andy(2014年12月17日)。ProtonMail加入Réseaux IP Européens(RIPE NCC)";。ProtonMail博客。

^a b Stockman,Jason(2014年5月22日)。";ProtonMail密钥是如何分发的?";。堆栈交换。

^Khandelwal,Swati(2014年5月26日)。";ProtonMail:';NSA-Proof';端到端加密电子邮件服务";。黑客新闻。

如果您不使用双因素身份验证,则您的帐户容易受到攻击。客户对ProtonMail的反馈。2019年10月10日。