Zkušenosti a názor na šifrovaný mailbox Tutanota.com

[privatmail]

Nasel jsem par mesicu na zpet poskytovatele sifrovaneho mailu tutanota.com, ozkousel jsem to, a vypada, ze funguje dobre, par veci jsem si vygooglil, ale chci se zeptat na zkusenosti.

Pomerne jasne uvadeji, ze mailova schranka je sifrovana a maily v ramci sluzby jsou end-to-end sifrovane. Malily mimo server (jiny prijemce) je mozne take zasifrovat a zvolit heslo. ALE to ze je mailbox bezpecne sifrovany, to nelze nijak dokazat, ze tam neni backdoor. Na zaklade provareneho incidentu by jedine slo potvrdit, ze tam backdoor je, coz se zatim nestalo.

Neni potreba zadavat sekundarni mail, nebo dokonce telefon, heslo neni mozne obnovit, co je znameni, ze tam backdoor spise neni.

Svoji polohu, i IP adresu lze skryt prez Tor, a to i pri zalozeni, cely text mailu, vc. hlavicky je mozne editovat, spise dobre znameni.

OTAZKA - mate vy nejake dobre ci spatne zkusenosti z tutanota ? Myslite si, ze poskytovatel nedava-nemuze dat obsah mailove schranky tretim stranam, uradum ? Chranit je potreba hlavne seznam kontaktu a kdy jsem si s kym psal. Pak take samotny obsah mailu. Logy, kdy a odkud jsem se prihlasil, poskytovatel samozreme ma, poloha lze ale skryt prez Tor. A cas na serverech je podle vseho UTC.

Je spise pravdepodobne, ze poskutovatel muze dat obsah mailu, seznam kontaktu treti strane ci nikoliv ? Pravdou je, ze se jedna o Nemeckeho poskytovatele a tam osobni svoboda opet zacina upadat.

[Reklama]

[barney]

Nema to pristup cez IMAP. Musis pouzivat ich web klienta.

[beather]

Ja tutanotu pouzivam jako mailserver i pro moje domeny... rozhodoval jsem se mezi protonmailem a tuta, nakonec jsem zvolil tuta protoze je to mene zname reseni a maji lepsi ceny a hlavne prijemnejsi politiku !

[privatmail]

Take jsem protonmail zkousel, rozhodoval jsem se mezi protonmail a tutanota.
U protonmail musis zadat sekundarni mail pred vytvorenim, hesla se tam zadavaji dve. I protonmail jde zalozit a pouzivat prez Tor. Protonmail ma podle vseho komplikovanejsi JS skripty - zere vic CPU.

Narozdil od tutanota se pri zalozeni protonmail par dni ceka.

Nevyhoda obou je, ze nemaji IMAP, jen web rozhrani s JS nutnum a na slabsim PC JS sezere dost CPU.

U obou jsem zkousel jen free verzi. U Tutanota to vypada na lepsi ceny, navic je mozne platit v BTC, u protonmail nevim. Upgrade na premium na tutanota je za euro mesicne, ted s akci 5 GB volneho mista misto 1 GB.

HLAVNI OTAZKA - u obou nebyl zatim objeven backdor (protonmail jsem moc nestudoval teda), zadna kauza nevyplula na povrch, Pokud davaji data uradum, tak jen v zavaznych situacich, pro bezne lidi to neni tedy podstatne. Poloha lze skryt prez Tor, obsah mailu a kontakty nikoliv. Ale jak rikam, end-to-end sifrovani nelze potvrdit ci vyvrtatit zatim.

Jinak v Evrope neznamy - existuje jeste Hushmail, na ten jsem narazil na rootu na foru poprve. Znaky jsou podobne. Sifrovany mailbox (v Kanade backkdor pritomnost sppis asi ano ?), nelze obnovit heslo, pristup prez web pouze s JS, jestli jde IMAP nevim. Zalozit i pouzivat prez TOR jde, takze min. poloha jde skryt.

POZOR u Hushmailu kdyz se 3 tydny neprihlasis, tak mail zamknou, dokud nedas upgrade na preminum. A NAVIC pri registraci hushmailu je potreba prijmout potvrzovaci SMS, minimalne kdyz jsem to zkousel.

Takze vsechny 3 poskytovatele maji plus minus podobne znaky. Tutanota se mi jevi z techto tri nejlepsi.

U VSECH TRI PLATI ZE BACKDOR NEJDE POTVRDIT NEBO VYVRATIT. Detailneji jsem hledal jen u Tutanota.

[riseup]

nedavno tu bola diskusia o sifrovanych mailoch, ja este pridam - co tak skusit riseup.net? zda sa mi najviac doveryhodny

[Reklama]

[none_]

Mozna to spatne chapu, ale jaka je vyhoda techto emailu oproti treba Gmailu pri pouziti IMAP a treba Thunderbird + Enigmail + GnuPG (popripade jakakoliv obdoba tohoto reseni)?

Vzdyt to, ze vyuzivate nejakyho JS klienta je sama o sobe dira jak krava. Nebo teda pokud to funguje tak, jak si predstavuju. Tzn otevru emailovyho klienta, napisu plain text email, ten se v lepsim pripade zasifruje v okne prohlizece, v horsim posle plain text na server, ktery se o to stara, a nasledne se to cele odesle nekomu. Je moje predstava spravna? Nebo se to chova jinak?

Pokud je moje predstava spravna, tak cela bezpecnost zacina a konci na tom, jestli verite poskytovateli. A uplne stejne tak muzete verit Googlu.

[privatmail]

none

Si troll ? https ti nic nerika ? zmineny Tor navic sifruje veskery traffic. Mezi PC  uzivatele a serverem je to zasifrovany, zrovna to je zakladni podminka a samozrejmost.
Na poskytovateli pripojeni fakt bezpecnost a backdory nestoji. Neco si o tom zjisti.

Gmail, to je jako facebook. Proc mu neverit, to by byl dlouhy rozpis. Google si svoje servery sice chrani a velmi dobre, ale je to obrovska centralizovana korporace, zadni vratka tam jsou jiste a prokazatelne, spada pod pravo USA, hlave ma po celem internetu soucasti na webu - obrovske moznosti sledovani. Neco si nejdriv o tom precti.

[privatmail]

nedavno tu bola diskusia o sifrovanych mailoch, ja este pridam - co tak skusit riseup.net? zda sa mi najviac doveryhodny

V podstate dalsi moznost, o ktere toho moc nevim. Riseup je popularni prave u proti-systemovych levicovych hnuti, spolehlivost a nespoluprace s urady cas ukazal. Kdo ale server vlastni a pod pravem jake zeme ? I tady muze byt past, viz ten politicky proces s utokem na vlak v CR. Riseup cas ukazuje jako spolehlivy a bez backdoru.

Tam ale musis mit nejakou pozvanku, nebo tak neco ne ? Pred 1-2 roky mi to tam neslo.

[JardaP .]

Kdyz chce nekdo byt tak strasne tajny konspirator, neni lepsi si text zasifrovat pres GPG a poslat jako soubor pres Torchat nebo neco? Tady clovek aspon vi, ze ma minimalne sifrovaci fazi v rukach.

[none_]

Si troll ? https ti nic nerika ? zmineny Tor navic sifruje veskery traffic. Mezi PC  uzivatele a serverem je to zasifrovany, zrovna to je zakladni podminka a samozrejmost.
Na poskytovateli pripojeni fakt bezpecnost a backdory nestoji. Neco si o tom zjisti.

Samozrejme ze vim, co je HTTPS, ale taky vim, ze to znamena, ze komunikace je sifrovana mezi tebou a vlastnikem toho serveru. Tzn ten server vidi tvuj email v plain textu. Pokud chces bezpecnost, musis sifrovat opravdu end to end. Tzn text neopusti tvuj PC dokud neni zasifrovany. A pokud od tebe ten text odejde zasifrovanej, tak to pak klidne muzes posilat pres HTTP a Google. Je to uplne jedno.

Tor nic neresi. Ten "schova" cestu mezi tebou a cilovym serverem (treba tim riseup.net), ale opet riseup si muze zvesela precist, co mu posilas. A nevim, kde beres jistotu, ze zrovna riseup.net neni provozovany CIA/FBI/(dopln si svoji oblibenou agenturu)

[none_]

Pokud chces opravu bezpecnou komunikaci, porid si certifikat od nejaky duveryhodny autority, hod si public key na flash disk, dojdi k tomu cloveku, kterymu chces psat, vymen si klice a pak si piste jak chcete. Klidne pres forum tady na rootu. Pokud je oba spravne pouzijete. Tzn podepisete svym private a zasifrujete jeho public, tak jste v klidu.

[none_]

...certifikat od nejaky duveryhodny autority...

Tak presne timhle krokem tu bezpecnost razantne zhorsis.

No dobra, tak si je vygenerujte sami. Moje otazka ale porad zustava stejna. V cem jsou tyhle emaily lepsi nez pouziti asymetricke kryptografie + jakohokoliv zpusobu prenosu dat?

[j]

No dobra, tak si je vygenerujte sami. Moje otazka ale porad zustava stejna. V cem jsou tyhle emaily lepsi nez pouziti asymetricke kryptografie + jakohokoliv zpusobu prenosu dat?

V nicem, je to placebo pro takovy tupce jako privatmail a spol. Ostatne, vykladat ti, jak tvoje data na mym serveru sou sifrovany je presne totez - overit si to stejne nijak nemuzes, a stejne k tem datum mam pristup. Je to presne totez, jako kdyz ti budu vykladat, ze tvoje osobni udaje u me sou uplne vazne a zcela 100% v naprostym bezpeci. Coz je videt denne v podobe milionu zaznamu ke stazeni vsude mozne po netu.

Jenze vis jak, strasna tragedie ... zasifrovanej mail si pres web neprectes. Katastrofa. (a mezi nama, asi to pudu schvalne testnout, protoze si myslim, ze specielne na hromade fremailu ti neco takovyho mozna ani neproleze pres server).

[privatmail]

none_

Tak to potom jo, to mas samozrejme pravdu ve vsem. https samozrejme sifruje mezi tebou a sreverem a co se deje na serveru, to vicemene nikdo nevi. Tedy poku d nemas mail-server svuj. Jak funguje TOR vim - ukryje mou IP, takze kdyz nekdo dostane logy serveru, ty tam vzdy vice-mene jsou, tak zjisti, kde jsem i kde jsem byl, bez pouziti TORU, s TOREM nikoliv. Plus minus samozrejme, uplne jednoduchy to neni. S tim, co se deje na mail-serveru (jestli si to spravce precist muze), to TOR neovlivni.

Me totiz zmatlo spolehnout se na poskytovatele - bral jsem to jakoze se musim spolehat na sveho poskytovatele pripojeni. Ten muze odchytit jen nesifrovane http.

TOR resi, ze zasifruje nezabezpecene http spojeni, kde muze poskytovatel internetu data odchytit, s TOR nikoliv.

Pokud samotny text mailu nezasifruji u sebe na PC, tak se musim spolehat na ten mailserver, ze me nezradi (jeho spravce), to mas samozrejme pravdu. A jestli se da Tutanote verit, to je prave dotaz v tomto vlaknu.

[privatmail]

Si troll ? https ti nic nerika ? zmineny Tor navic sifruje veskery traffic. Mezi PC  uzivatele a serverem je to zasifrovany, zrovna to je zakladni podminka a samozrejmost.
Na poskytovateli pripojeni fakt bezpecnost a backdory nestoji. Neco si o tom zjisti.

Samozrejme ze vim, co je HTTPS, ale taky vim, ze to znamena, ze komunikace je sifrovana mezi tebou a vlastnikem toho serveru. Tzn ten server vidi tvuj email v plain textu. Pokud chces bezpecnost, musis sifrovat opravdu end to end. Tzn text neopusti tvuj PC dokud neni zasifrovany. A pokud od tebe ten text odejde zasifrovanej, tak to pak klidne muzes posilat pres HTTP a Google. Je to uplne jedno.

Tor nic neresi. Ten "schova" cestu mezi tebou a cilovym serverem (treba tim riseup.net), ale opet riseup si muze zvesela precist, co mu posilas. A nevim, kde beres jistotu, ze zrovna riseup.net neni provozovany CIA/FBI/(dopln si svoji oblibenou agenturu)

Poskytovatel pripojeni nebo mailserveru tedy ? https a TOR resi neduveryhodneho poskytovatele PRIPOJENI. V pripade poskytovatele mailu mu TOR zabrani trackovat, kde jsem (byl).

Ja jsem psal, ze to se prave nevi, kym je ten ci onen server provozovan. Proto jsem se ptal na nazory na Tutanota. Riseup tu zminil nekdo jiny, naopak jsem napsal, ze muze byt klidne provozovan urady, policii. Logo a jmeno bezpecnost neovlivni.