ProtonMail – Snoudena līmeņa e-pasts

[samurajs]

Eiropas kodolpētījumu laboratorijas CERN zinātnieku grupa radījusi jaunu elektroniskā pasta dienestu ProtonMail, kuru tā vienkārši izspiegot vis neizdosies. Izstrādātāji apgalvo, ka viņu pakalpojums esot drošāks par nu jau slēgto Lavabit, kuru citu vidū lietoja arī Edvards Snoudens. 15. maijā ProtonMail uzsāka beta testēšanu, kurā gribētāju skaits bija tik liels, ka nācās ieviest ielūgumu sistēmu – serveri vienkārši neizturēja.

Servisa monetizācija paredzēta pēc Freemium principa: bāzes komplekts vienmēr būs bezmaksas, bet Pro versija par nelielu abonentmaksu.

Kādas ir ProtonMail īpatnības?

* Vēstules tiek šifrētas klienta pusē; uz servera plaintekstā neglabājas nekas

* Lietotājam ir 2 paroles: pirmā e-pasta pārbaudei un ielādei; otrā vēstuļu atšifrēšanai

* Nav privātās/publiskās atslēgas menedžmenta, jo tādas publiskās atslēgas vienkārši nav

* Aizmirsi paroli? Tad ir “čau”! Nekāda atkopšana nav iespējama, lai izslēgtu paroles pārraidi tīklā

* Vēstulēm ir dzīves laiks TTL. Izlasīta vai neizlasīta – pēc zināma laika vēstules pašiznīcinās: nav ko krāt pierādījumus pret sevi

* Serveri atrodas neitrālajā Š veicē, tātad nav pakļauti ne ASV jurisdikcijai, ne Briseles.

* ProtonMail saderīgs ar citiem email dienestiem

Pieteikties invaitam – šeit[/url][/color]

[img]https://notepad.lv/userpix/28_cern_2.jpg[/img]

ProtonMail mājaslapa

[E-500]

Quote:

* Vēstules tiek šifrētas klienta pusē; uz servera plaintekstā neglabājas nekas

* Lietotājam ir 2 paroles: pirmā e-pasta pārbaudei un ielādei; otrā vēstuļu atšifrēšanai

Pietiek ar to, ka tiek kompromitēts serveris un klienta puses JS tiek aizvietots ar ļaunprātīgu, lai nākamajā reizē lietotājam ielogojoties un ievadot otro paroli e-pasta atšifrēšanai, turpmāk monitorētu visu saraksti.

Š o uzbrukuma vektoru var novērst izlaižot pārlūka papildinājumu, bez automātiskas atjaunināšanas, lai atšifrēšana nebalstītos uz to JavaScript kodu, ko iedod serveris.

[Autors]

Ieraksti