Czy ProtonMail jest bezpieczny? Zdecydowanie. Czy jest anonimowy? Zdecydowanie nie. Uargumentuję to w ten sposób, że z jednej strony użytkownikom usługi zagwarantowano szyfrowanie poczty tzw. end-to-end z użyciem ich klucza publicznego. Usługę wysyłania i odbierania maili zaprojektowano zgodnie z filozofią secure-by-design oraz secure-by-default, gdzie u podłoża bezpieczeństwa leży prewencja i zapobieganie, a nie naprawianie szkód po incydencie. Natomiast ProtonMail nie jest privacy-by-design, czyli prywatność tej usługi nie jest najmocniejszą stroną.
Usługa ProtonMail może być używana do wysyłania w bezpieczny sposób wiadomości pomiędzy użytkownikami ProtonMail oraz innych usług pocztowych*
*pod warunkiem, że nadawca użyje Twojego klucza publicznego do zaszyfrowania swojej wiadomości i odwrotnie (zobacz import kluczy).
Kiedy zadziała szyfrowanie end-to-end?
- ProtonMail <–> ProtonMail: zagwarantowane szyfrowanie E2E.
- ProtonMail<–> Google, Outlook, iCloud, inni: domyślnie brak szyfrowania, jeżeli chcesz otrzymywać zaszyfrowane maile od innych osób, musisz im udostępnić swój klucz publiczny. Jeżeli to Ty chcesz szyfrować do kogoś spoza ProtonMail, musisz zaimportować jego klucz publiczny.
Firma Proton nie ma dostępu do treści wiadomości, jeżeli używane jest szyfrowanie end-to-end. Nie ma też dostępu do treści załączników. Ze względu na ograniczenia protokołu SMTP (wysyłanie maili) ma za to dostęp do:
– adresów email nadawcy i odbiorcy,
– godziny wysyłania i odebrania wiadomości,
– temat każdej wiadomości wysłanej
– adresu IP nadawcy,
– nazwy użytkownika nadawcy,
– nazwy załączników (nie ich treści).
Czasami te dane wystarczą, aby powiązać użytkownika z kontami w innych serwisach. Odpowiednie organy mogą wystąpić do firm technologicznych o udostępnienie wszystkiego na temat konkretnych użytkowników. Protonu, firmy ze Szwajcarii, obowiązuje nakaz współpracy z organami. Z tego powodu ProtonMail nie zapewnia anonimowości w 100%.
Jurysdykcja szwajcarska zezwala organom na wgląd do danych
W prasie zostały opublikowane informacje, jakoby Proton przekazał hiszpańskiej policji metadane należące do użytkownika usługi ProtonMail. Cóż, zgodnie ze szwajcarskim prawem, istnieje obowiązek gromadzenia pewnych informacji na temat użytkownika i taki sam obowiązek udostępnienia tych danych wnioskodawcy.
Podsumowując wiadomości mail, pliki i załączniki są szyfrowane i nie ma możliwości, aby ProtonMail mógł je odszyfrować.
Na stronie transparentności czytamy, że zgodnie z art. 271 szwajcarskiego kodeksu karnego, ProtonMail nie może przesyłać żadnych danych do zagranicznych organów, dlatego odrzucane są wszelkie wnioski od władz zagranicznych, ale… Od czasu do czasu władze szwajcarskie pomagają organom zagranicznym. W roku 2023 takich wniosków ProtonMail otrzymał aż 6378, z czego 407 odrzucono, przyjęto 5971.
Jaka jest różnica pomiędzy bezpieczeństwem a anonimowością?
Ogromna! ProtonMail zabezpiecza przesłane załączniki, pliki, treść wiadomości z wykorzystaniem bardzo silnej metody klucza publicznego, praktycznie nie do złamania. Domyślnie jest to algorytm ECC Curve25519, ale można go zmienić na RSA-4096.
Pamiętaj, że każdy wygenerowany klucz może mieć swoją „datę ważności”, możesz go wycofać w dowolnym momencie, utworzyć nowy i przekazać osobie trzeciej do szyfrowania nim wiadomości. W szczególnych przypadkach, dla każdej wiadomości o krytycznym znaczeniu, można utworzyć dedykowany klucz, użyć go tylko raz i usunąć.
ProtonMail nie gwarantuje anonimowości, ponieważ gromadzi zbyt wiele szczegółów: adres e-mail, adres IP (warto używać VPN, jeżeli jest istotne), do kogo wysyłasz wiadomości, od kogo odbierasz, temat oraz nazwy załączników.
Jakie są wady i zalety ProtonMail?
Firma Proton stworzyła niemały ekosystem swoich aplikacji, które mogą być używane w firmach i nie tylko. Możliwe jest korzystane z szyfrowanej poczty, szyfrowanego dysk na pliki, sieci VPN, kalendarza oraz dobrego menadżera haseł. Wszystkie te aplikacje są oparte na kodzie open-source, przechodzą audyty bezpieczeństwa, co jest bardzo ważne.
Do zalet zaliczamy wysoki wskaźnik bezpieczeństwa oprogramowania i usług Proton. Jeżeli priorytetem jest utajnianie wiadomości, plików, to ProtonMail i Proton Drive będą dobrym wyborem, jako świetna alternatywa dla ogólnodostępnych dysków w chmurze szyfrowanych kluczami operatora, a nie użytkownika, dlatego OneDrive, Dropbox, Google Drive są mniej bezpieczne pod tym kątem.
Wadą jest brak gwarancji anonimowości. W dzisiejszym świecie z wielkimi firmami technologicznymi i lokalnymi regulacjami, raczej niemożliwe jest zagwarantowanie anonimowych, masowych usług cyfrowych na cały świat.
