ProtonMail - Neuer Dienst mit Ende zu Ende Verschlüsselung

[kramel]

Hallo.

Es läuft grad Crowdfunding für einen sicheren Email Dienst: ProtonMail
Habt ihr von dem Projekt schon gehört? Was haltet ihr davon?


Versprochen wird ja sehr viel:

- Zero Access to User Data. Your data is never accessible to us.
- End-to-End Encryption. Messages are fully encrypted at all times.
- 100% Anonymous. No tracking or logging of personally identifiable information.
- Securely communicate with other email providers. Even your communication with non-ProtonMail users is secure.
- Self Destructing Messages. With ProtonMail, emails are no longer permanent.
- Trusted Cryptography. Time-tested encryption that is proven to be secure.
- Hardware Level Security. Full disk encryption and storage in secured datacenters.
- Server Side Integrity Checks. Protection even in the event of a full system compromise.
(

You do not have permission to view link please Anmelden or Registrieren

)

Einen Kryptographie-Experten vom CERN haben sie an Bord:
Wei SunBack-End Developer - Wei is our lead backend developer and resident cryptography expert. He builds software for the RE1 Experiment at CERN and is the author of numerous theoretical physics papers. Wei studied physics at MIT.

Besteht überhaupt die Chance daß sich so ein Service länger hält?

Naja, ich hab mal was gespendet. Sowas unterstütze ich gerne.

LG

PS:

You do not have permission to view link please Anmelden or Registrieren

zur Kampagne falls das noch jemand unterstützen möchte.

 

[mathmos]

Bedingt durch die

You do not have permission to view link please Anmelden or Registrieren

von letzter Woche hält sich meine Begeisterung in Grenzen.

 

[Kugelfisch]

Die Idee, verschlüsselte Kommunikation für unbedarfte Benutzer zugänglich zu machen, scheint mir sehr sinnvoll. Der Dienst hat jedoch mit einigen Problemen zu kämpfen, die teilweise inhärent mit dem Konzept von browserbasierter Verschlüsselung verbunden sind. Dazu zählt insbesondere, dass es für den Nutzer nicht ohne Weiteres möglich ist, festzustellen, ob das Verschlüsselungspasswort wie beschrieben nicht an den Server übertragen wird. Die Betreiber könnten den entsprechenden JavaScript-Code so erweitern, dass sie das Passwort beim nächsten Login erhalten. Das Problem besteht allerdings bei lokal installierter Software in ähnlicher Form auch, sofern man nicht eine bestimmte Version überprüft, selbst kompiliert, und nicht aktualisiert.
Ein weiteres Problem besteht darin, dass die HTML-Inhalte von E-Mails bei Webmail-Lösungen sehr strikt gefiltert werden müssen (was bei ProtonMail ursprünglich offenbar nicht geschah), da die E-Mails üblicherweise in demselben Kontext angezeigt werden, wie das Interface selbst. Damit führen XSS-Schwachstellen zur Kompromittierung des Benutzerkontos und der kryptografischen Schlüssel. Das liesse sich entschärfen, wenn man die E-Mails in einem Sandbox-iframe anzeigen würde. Ob das geschieht, ist mir nicht bekannt.
Die `selbstzerstörenden` E-Mails sind meines Erachtens eine Option, die man zumindest nicht ohne Warnung bieten sollte. Schliesslich lassen sich die Inhalte trivial kopieren oder ein Screenshot anfertigen, während die Nachricht angezeigt wird.

Besteht überhaupt die Chance daß sich so ein Service länger hält?

Die Voraussetzungen dafür sind meines Erachtens nicht schlecht. Mitarbeiter des CERN stehen sowohl in Frankreich als auch in der Schweiz unter besonderem Schutz (konsularischer bzw. diplomatischer Status) und die CERN-Sites sind zwar formal der Schweiz zugehörig, gelten jedoch als extraterritorial und dürfen von schweizerischen Behörden nicht ohne Zustimmung des CERN betreten werden. Allerdings stellt sich natürlich die Frage, in wie weit das CERN den Dienst im Zweifelsfall unterstützt. Um ein offizielles Projekt handelt es sich ja scheinbar nicht.

 

[DarkSpl0it]

Bedingt durch die

You do not have permission to view link please Anmelden or Registrieren

von letzter Woche hält sich meine Begeisterung in Grenzen.

Meine auch...
Lieber einfach bei einem X-beliebigen Freemail Anbieter anmelden und PGP benutzen

 

[kramel]

You do not have permission to view link please Anmelden or Registrieren

Den Artikel kannte ich nicht. Das trübt die anfängliche Freude ein wenig.

You do not have permission to view link please Anmelden or Registrieren

Danke für die Einsichten.


Ich hab jetzt mal einen Account zum testen.
Zum Glück ist ja noch Beta-Phase und die Hoffnung stirbt zuletzt

 

[XNOR]

Da könnte man doch gleich den Service nutzen:

You do not have permission to view link please Anmelden or Registrieren

Ich vertraue solchen Diensten irgendwie nicht und kann auch gar nicht verstehen, wieso gerade bei der E-Mail die Menschen so eine riesige Sicherheit haben wollen. Ich bin da vielleicht ein wenig altmodisch, doch wirklich wichtige Sachen laufen bei mir immer nur über Brief und nicht über E-Mail. Naja egal, wers braucht, der soll sich die "heftige Verschlüsselung und Serverabsicherung" ruhig gönnen. Der Service klingt ja mehr nach: "Alle Vorteile von Wegwerf-Mailadressen vereint mit einem normalen Postfach". Wegen Selbstzerstörung und so.

 

[john5]

Endlich habe ich zugriff auf meine Reservierten Email Adressen.
Aber Protonmail in Thnderbird kann man (noch)vergessen oder?
zumindest bekomme ich es nicht in Thunderbird unter :-/
Weiß da einer mehr? gibt es schon irgendwo ein Forum (o. Aktuelle Diskussionen) über Protonmail, alles was ich finde sind news :-(

 

[p3Eq]

Ich kann ehrlich gesagt nicht nachvollziehen, wieso solche Anbieter immer wieder den gleichen Ansatz wählen, um Ende zu Ende-Verschlüsselung zum Nutzer zu bringen. Die Methoden stehen jedes mal aufs neue in Kritik.

Ich sehe das so: ein guter, sicherer Anbieter würde auf das Webinterface erstmal verzichten und stattdessen einen minimalistischen Client für PCs raus bringen. Der Client ermöglicht es, ein CSR per Maus Klicks anzufertigen, dieser wird im Anschluss an den Anbieter geschickt und signiert. Das so erhalten Zertifikat wird dann für s/mime benutzt.
Einziger Punkt wäre die Verteilung von Zertifikaten. Innerhalb der Nutzergruppe eines solchen Mail Clients sicher kein Problem: Zertifikate werden beim Anbieter verfügbar gemacht und von dem Client automatisch runter geladen. Nach außerhalb müsste man aber ggf. Weitere Möglichkeiten anbieten. Bin mir gerade nicht sicher, ob es dazu Vorschläge im Rahmen von s/mime gibt oder ob man da dran arbeiten oder so...