it-swarm.com.de

Ist eine E-Mail-Verschlüsselung, wie von ProtonMail behauptet, möglich?

Ist es möglich, einen Webdienst zu erstellen, der alle Nachrichten verschlüsselt, sodass nur der Verfasser und die Person, an die die E-Mail gesendet wird, sie lesen können? Mit anderen Worten, ist die Theorie hinter ProtonMail gültig?

24
novice

Genau genommen ist dies aus folgendem Grund nicht möglich: Wenn der Webdienst verschlüsselt die Nachricht, dann gelangt der Webdienst bei einigen zu siehe der unverschlüsselten Nachricht Punkt (Hinweis: Ich schreibe Service, nicht Server). Bestenfalls kann der Dienst ehrlich sein und sein Bestes geben, um sich die Nachrichten nicht anzusehen, wenn sie fließen.

Nun sehen wir uns die Behauptungen dieses "ProtonMail" -Dienstes :

  • Swiss Based. Nun, ich sehe keinen Grund, dies unplausibel zu finden. Die Schweiz ist ein echtes Land und es gibt Menschen, die dort leben. Sie schlagen vor, dass die Daten als "Schweizer Dienst" sofort unter das Schweizer Recht fallen, was eine ziemlich kühne Aussage ist. Elektronen haben keine Nationalität, und im Gegensatz zu einem Stück Papier hat eine elektronische Nachricht nicht immer eine genau definierte geografische Position.

  • Kein Zugriff auf Benutzerdaten. Dieser ist nicht vollständig wahr. Wenn Sie Ihre Nachricht schreiben, tun Sie dies auf ihrer Website. Selbst wenn die gesamte Verschlüsselung in Ihrem Browser technisch erfolgt, erfolgt dies immer noch mit dem Javascript-Code, den sie bei jeder Verbindung mit ihrem Dienst an Sie sendet. Wenn sie Ihre Nachrichten lesen möchten, ohne dass Sie es bemerken, können sie dies.

  • End-to-End-Verschlüsselung. Dies ist möglich, wenn die Verschlüsselung auf dem Browser des Absenders auf Javascript basiert und die Entschlüsselung wiederum auf der des Empfängers auf Javascript basiert Browser. Berücksichtigt man die Fallstricke beim Krypto in Javascript .

  • Anonym. Ich glaube das nicht, zumindest nicht auf lange Sicht. Sie behaupten nichts zu protokollieren; Die Erfahrung früherer anonymer Remailer zeigt jedoch, dass in einigen extremen Fällen (z. B. wenn der Dienst zur Koordinierung einiger terroristischer Aktionen verwendet wird) nur die Protokolle zwischen den Remailer-Betreibern und dem Gefängnis stehen. Fast immer erweist sich die Behauptung, nicht zu protokollieren, nach einer Weile als Fälschung. In ähnlicher Weise reicht das Abhören auf der Seite des Netzwerkanbieters aus, um viele Metadaten abzurufen und beispielsweise herauszufinden, wer mit wem spricht, selbst wenn die Site-Betreiber idealistisch genug sind, um nichts zu protokollieren. Dies nennt man Verkehrsanalyse . Es funktioniert gut und kein Webdienst kann sich davor schützen (nur netzwerkweite Systeme wie Tor haben eine theoretische Chance, die Verkehrsanalyse zu besiegen).

  • Kommunizieren Sie sicher mit anderen E-Mail-Anbietern. Das lässt mich ein bisschen zusammenzucken. Sie bedeuten, dass der Empfänger, wenn er kein ProtonMail-registrierter Benutzer ist, eine normale E-Mail mit einem eingebetteten Link zu seiner Site sendet, damit der Benutzer die verschlüsselte E-Mail und das Javascript herunterladen kann, das sie entschlüsselt. Dies setzt voraus, dass Sie dem Empfänger zuvor ein Kennwort mit einem nicht festgelegten Mittel mitgeteilt haben. Der schlechte Teil hier ist, dass es Züge Personen ist, auf per E-Mail erhaltene Links zu klicken und dann ihre Passwörter auf der resultierenden Webseite einzugeben.

  • Selbstzerstörende Nachrichten. Diese Funktion funktioniert genauso gut oder genauso schlecht wie Kopierschutz für Filme. Die rohe Tatsache ist, dass der Empfänger, wenn er die Nachricht irgendwann lesen könnte, eine Kopie auf unbestimmte Zeit erhalten kann (wenn auch nur durch Fotografieren des Bildschirms mit seinem Smartphone). Die "Selbstzerstörung" ist eher eine Absichtserklärung (bitte speichern Sie diese E-Mail nicht) als eine Sicherheitsmaßnahme, die wirklich durchgesetzt werden kann. (Die automatische Zerstörung von Nachrichten nach einiger Zeit wird den ProtonMail-Administratoren jedoch sicherlich helfen, da sie die verschlüsselten E-Mails auf ihren Systemen speichern und dies nicht auf unbestimmte Zeit tun möchten, da der Speicherplatz zwar billig, aber nicht frei ist.)

  • Open Source-Kryptographie. Das ist glaubwürdig und eine gute Nachricht. Zumindest Sie erfinden ihre Krypto nicht neu, sondern verwenden altehrwürdige Standards (in diesem Fall OpenPGP ). (Ich erkenne keinen Namen in ihrer Liste von Sicherheitsexperten , aber ich kenne nicht jeden. Die Bemühungen um Transparenz sind gut.)

  • Sicherheit auf Hardwareebene. Sie bedeuten nicht HSM ; Sie bedeuten, dass sie die Türen ihrer Serverräume abschließen und die Festplattenverschlüsselung verwenden. Das letzte bisschen ist komisch: Sollten die E-Mails nicht schon verschlüsselt sein? Welche privaten Daten bleiben, dass sie der Meinung sind, dass sie verschlüsselt werden sollten wieder? Das sieht für mich nach Sicherheitstheater aus.

  • SSL-gesicherte Verbindungen. Dies ist sehr plausibel und wird dringend benötigt, um Manipulationen durch Dritte an ihrem Javascript zu vermeiden. Die Nichtverwendung von SSL wäre ein tödlicher Fehler in ihrem System. Leider beeinträchtigen sie den Effekt, indem sie hinzufügen: "Damit äußerst sicherheitsbewusste Benutzer weiter überprüfen können, ob sie tatsächlich eine Verbindung zu unserem Server herstellen, werden wir auch den SHA3-Hash für unseren öffentlichen SSL-Schlüssel veröffentlichen." Das Veröffentlichen des Hashs Ihres öffentlichen Schlüssels ist nur dann sinnvoll, wenn Benutzer den Hash auf nicht manipulierbare Weise erhalten können. Wenn dieser Hash einfach auf Ihrer eigenen SSL-Website übertragen wird, werden Sie im Kreis ausgeführt. Die Berufung auf die Magie von "SHA3" zeigt das Ausmaß der Ernsthaftigkeit dieser Behauptung: Dies ist wirklich nur ein weiteres Sicherheitstheater (nicht zuletzt, da SHA-3 noch nicht existiert: im Moment FIPS) = 202 ist noch ein Entwurf ). (Tatsächlich haben sie den SHA-1-Hash veröffentlicht, nicht SHA-3.)

  • Einfach zu bedienen. Für diesen Fall müssen Sie selbst beurteilen. "Benutzerfreundlichkeit" hängt davon ab, wer es verwendet.

Zusammenfassung: ProtonMail scheint in etwa der Verwendung von PGP zu entsprechen, außer dass es webbasiert und somit zentralisiert ist. Es bringt viele Probleme zurück, die PGP lösen sollte, nämlich dass es einen zentralen Server gibt, der sehen kann, wer mit wem spricht, und der den eigentlichen Code wiederholt bereitstellt. Dieser zentrale Server ist somit ein saftiges Ziel für alle, die Menschen ausspionieren wollen. Der dezentrale Charakter von PGP ist das größte Kapital gegen Angreifer. Indem sie es webbasiert machen, erhöhen sie die Benutzerfreundlichkeit, geben diese Dezentralisierung jedoch auf.

Während ProtonMail sicherlich besser ist als einfache, unverschlüsselte E-Mails, wäre es falsch zu glauben, dass dies die ultimative Antwort auf die E-Mail-Sicherheit ist. Zumindest haben sie einige Anstrengungen unternommen:

  • Sie verwenden bestehende Standards.
  • Sie haben ein explizites Bedrohungsmodell . Auch wenn es nicht sehr detailliert ist, kennen sie zumindest den Ausdruck "Bedrohungsmodell", wodurch sie zu den Top 5% der Anbieter von Sicherheitssystemen gehören.
  • Sie versuchen transparent zu sein.

Weniger hell gesehen habe ich nichts im Zusammenhang mit OpenSourceness gesehen. Das heißt, sie sagen, dass sie "Open-Source-Bibliotheken" für die Kryptographie verwenden, aber sie sagen nicht wirklich welche Bibliotheken, die dies sind; und sie zeigen auch keinen eigenen Quellcode. Die Benutzer schauen sich wieder den Javascript-Code an und führen ihr eigenes Reverse Engineering durch, und das sieht für mich nicht sehr offen aus.

Sie haben auch keine Details zu ihrem Protokoll angegeben. Da sie das "Postfachkennwort" des Empfängers nicht kennen (oder so sagen), stellt sich die Frage, wie sie eine E-Mail in dieses Postfach verschieben können. Wir können schließen, dass das Postfach ein öffentliches/privates Schlüsselpaar enthält und das Postfachkennwort wirklich zum Verschlüsseln des privaten Schlüssels verwendet wird, nicht des Postfachs selbst; Dies ist sinnvoll bei den Informationen, die sie geben (insbesondere in Bezug auf OpenPGP). Aber es wäre besser, wenn sie es sagten. Wenn das Protokoll in Ordnung ist, sollte es veröffentlicht werden. Es gibt keinen Grund, dies nicht zu tun. Keine Quelle und kein Protokoll sind sehr schlechte Punkte und sie sollten das wirklich beheben.

Zusammenfassung der Zusammenfassung: Die Sicherheit von ProtonMail kann wie folgt zusammengefasst werden: Ihr System ist sicher, weil sie sagen, dass sie gute Jungs sind, ehrlich und alle, und sie behaupten, kompetent zu sein. Also ist alles in Ordnung, was?

44
Tom Leek

Proton-Mail an Nicht-Proton-Mail scheint äußerst anfällig für einen MITM-Angriff zu sein, bei dem der Benutzer auf eine falsche Webseite geleitet wird, die sein geheimes gemeinsames Passwort erhält (es muss eines geben, sonst gibt es überhaupt keine Sicherheit) und die Mail dann an anderer Stelle dekodiert Verwenden Sie dieses Kennwort und senden Sie die dekodierten Ergebnisse in einem Stil an den Benutzer, der der tatsächlichen Seite ähnelt.

0
Sy Verpunk

Ja. ProtonMail verwendet die clientseitige Verschlüsselung. Ihr Browser verschlüsselt die Nachricht. Sie sind auf die Schwäche Ihres Browsers beschränkt, aber ja, es ist so, wie sie behaupten. Ende zu Ende ohne Kenntnis Ihrer Nachricht.

0
user116272