Implicazioni pratiche dell'utilizzo di un servizio come ProtonMail

Naviga le tue risposte
0

Recentemente ho scoperto ProtonMail, che è stato promosso come servizio di posta elettronica più sicuro di servizi come Gmail.

Secondo i creatori di ProtonMail, Google può leggere tutte le email di Gmail e spesso lo fa (in modo automatico) per presentare annunci mirati ai propri utenti. Google potrebbe anche rilasciare tutte le email di un utente Gmail a un'agenzia governativa o leggere tutte le e-mail dell'utente per altri scopi. Inoltre, le e-mail non sono crittografate, quindi qualsiasi computer tra il mittente e la ricezione può intercettare e leggere le e-mail.

Se passo a un servizio come ProtonMail, quali saranno le implicazioni pratiche?

Anche le persone con cui comunico devono utilizzare un servizio simile per ottenere i vantaggi in termini di sicurezza? Se invio un'email da un account ProtonMail a un account Gmail, la invieremo semplicemente non crittografata come una normale email, in grado di essere intercettata e letta facilmente?

    
posta Gimme the 411 14.08.2018 - 04:29
fonte

1 risposta

1

È un po 'fuorviante dire che le email di Gmail non sono crittografate durante il trasferimento, perché non sono crittografate solo quando il ricevitore non ha abilitato TLS (vedi questo link ). Gmail e tutti gli altri principali servizi di posta elettronica hanno abilitato TLS, il che significa che la tua email è crittografata durante il trasferimento. Ciò significa che non significa che le e-mail sono sempre crittografate sul server o sul client di posta o durante il trasferimento tra te e il server di posta. Gmail non esegue la crittografia sul client prima di inviarlo ai propri server di posta, tutta la crittografia per loro viene eseguita sul server di posta.

È qui che vengono offerti servizi come ProtonMail e Tutanota Fanno la crittografia sul computer dell'utente, prima che il pacchetto lasci l'host. Ciò significa che qualcuno non può completare con successo un attacco man-in-the-middle sniffando quel pacchetto con la tua email in esso.

Questi servizi offrono la crittografia end-to-end se si invia a qualcuno anche su quel servizio per impostazione predefinita. Viene offerta anche l'opzione di inviare un collegamento al sito Web del servizio a qualcuno che non si trova su quella piattaforma e digita una password per decodificare l'email una volta lì. Assumono che tu dia questa password a una persona avanzata, preferibilmente di persona.

Un altro vantaggio dell'utilizzo di uno di questi due servizi è il fatto che non hanno sede negli Stati Uniti, il che li rende meno propensi a cooperare con il governo degli Stati Uniti per qualsiasi ragione. Anche in questo caso, poiché le e-mail sono crittografate dall'utente e non dal server, è quasi impossibile persino per i proprietari dei servizi leggere le tue e-mail.

Alcuni scenari del mondo reale in cui ciò potrebbe essere utile è l'invio di e-mail commerciali con un IP non annunciato, l'invio di informazioni sulla carta di credito (non ancora una buona idea anche con questi servizi), l'invio di informazioni personali o se si sta tentando di non consentire al governo del tuo paese l'accesso alla tua email.

    
risposta data 17.08.2018 - 19:48
fonte

Leggi altre domande sui tag

In che modo le autorità di certificazione impostano e determinano subjectAltNames se non forniti dall'utente finale? La migliore strategia per condividere alcuni dati utente sensibili tra Nodo e PHP