Ich bin Jason, einer der ProtonMail-Entwickler.

Bei der Entschlüsselung wird eine Kombination aus asymmetrischer (RSA) und symmetrischer (AES) Verschlüsselung verwendet.

Für PM-zu-PM-E-Mails verwenden wir eine Implementierung von PGP, bei der wir den Schlüsselaustausch übernehmen. Wir haben also alle öffentlichen Schlüssel. Wenn Sie ein Konto erstellen, werden die privaten Schlüssel in Ihrem Browser generiert und dann mit Ihrem Postfachkennwort verschlüsselt (auf das wir keinen Zugriff haben). Anschließend wird der verschlüsselte private Schlüssel an den Server gesendet, damit wir ihn bei jeder Anmeldung an Sie zurücksenden können. Wir speichern Ihren privaten Schlüssel auch, ja, aber da es sich um den verschlüsselten privaten Schlüssel handelt, haben wir keinen Zugriff auf Ihren Schlüssel.

Für PM-E-Mails von außen ist die Verschlüsselung optional. Wenn Sie die Verschlüsselung auswählen, verwenden wir die symmetrische Verschlüsselung mit einem Kennwort, das Sie für diese Nachricht festgelegt haben. Dieses Passwort kann ALLES sein. Es sollte NICHT Ihr Mailbox-Passwort sein. Sie müssen dieses Passwort dem Empfänger irgendwie mitteilen.

Wir haben noch ein paar andere Tricks, um die schreckliche Leistung von RSA zu umgehen.

Wir werden schließlich ein Whitepaper mit Vollversion schreiben Details, die jeder verstehen kann. Aber so etwas ist ein einwöchiges Projekt für sich. Ich entschuldige mich im Voraus, wenn meine Antwort nur für Krypto-Leute sinnvoll ist.

Ich habe diese Antwort nach der Antwort von Jason und einem E-Mail-Gespräch erheblich geändert. Das Original ist weiterhin im Bearbeitungsverlauf verfügbar.

Hier gibt es zwei verschiedene Fälle: ProtonMail-to-ProtonMail- und ProtonMail-to-Other-Mails.

Für PM -zu-PM-E-Mails ist das System in der Lage, die Verteilung von öffentlichen und privaten Schlüsseln zu handhaben. Da sie den Code geschrieben haben, der die privaten Schlüssel generiert und die öffentlichen Schlüssel an den Server sendet, und den Empfänger der E-Mail vor dem Verschlüsseln kennen, können sie mit dem öffentlichen Schlüssel des Empfängers verschlüsseln und der Empfänger kann mit seinem privaten Schlüssel entschlüsseln. Dies kann für die Benutzer des Systems transparent sein. Sie erwähnen nicht das Signieren von E-Mails mit Ihrem privaten Schlüssel, dies sollte jedoch ebenso möglich und transparent sein.

PM-to-Other-E-Mails verwenden keine asymmetrische Verschlüsselung. Wenn Sie eine E-Mail an einen Empfänger erstellen, der ProtonMail nicht verwendet, generieren Sie ein neues Kennwort, mit dem ein symmetrischer Schlüssel abgeleitet wird, mit dem die Nachricht verschlüsselt wird. Anschließend müssen Sie Ihrem Empfänger dieses Kennwort auf unterschiedliche Weise mit einer anderen, unabhängig sicheren Methode übermitteln. Wenn Sie Ihrem Empfänger den Entschlüsselungsschlüssel und dann die verschlüsselte E-Mail per E-Mail senden, entspricht dies der Nichtverschlüsselung, wenn Ihr Bedrohungsmodell einen Angreifer enthält, der Ihre E-Mail abfangen kann. (Wenn Ihr Bedrohungsmodell diese Funktion nicht enthält, warum benötigen Sie dann überhaupt verschlüsselte E-Mails?)

Die E-Mails, die Ihr Empfänger tatsächlich in seinem E-Mail-Client empfängt, sind nicht verschlüsselt und sind es auch nicht deine ursprüngliche Nachricht. Es ist einfach ein Link zur ProtonMail-Website, auf der sie das Passwort verwenden können, das Sie ihnen bereits mitgeteilt haben, um Ihre Nachricht zu entschlüsseln.

In beiden Fällen wird behauptet, dass die Ver- und Entschlüsselung mit Javascript in Ihrem erfolgt Der Browser und die zentralisierten Server sehen immer nur verschlüsselte Daten.

Wenn Sie über eine unabhängige, sichere Kommunikationsmethode für das Entschlüsselungskennwort verfügen, können Sie diese anstelle von ProtonMail verwenden.

Ein Grund könnte sein, dass Ihre unabhängige Methode nicht so bequem ist. Möglicherweise wird der Empfänger persönlich besucht oder angerufen. Ein weiterer möglicher Grund sind Werbe- oder Verkaufsförderungszwecke. Wenn Sie ProtonMail mögen und möchten, dass Ihre Kontakte es verwenden, wird dies durch E-Mail-Nachrichten von ProtonMail gefördert.

Wenn Sie jedoch eine Methode haben, die Sie für sicher und bequem halten (OTR, Cryptocat) , Skype, was auch immer Sie vertrauen) Warum nutzen Sie das dann nicht einfach?

Ich bin von Natur aus vorsichtig und habe Vorbehalte gegen diesen Dienst, zumindest bis er durch Feuer getestet wurde. P. >

1. Es gibt keine Möglichkeit, ein Postfachkennwort zu widerrufen oder zu ändern. Wenn Ihr Postfachkennwort jemals verloren geht, müssen Sie nur Ihr Konto schließen und ein neues erstellen. Vermutlich ähnelt dies dem Abrufen einer neuen E-Mail-Adresse, was bedeutet, dass viele E-Mails nach dem Schließen an Ihre alte Adresse gesendet werden und niemand Ihre neue Adresse kennt. Ich gehe davon aus, dass Sie auch den Zugriff auf alle Ihre alten E-Mails verlieren würden. Es gibt keinen kryptografischen Grund, warum Ihre Empfänger den Zugriff auf die von Ihnen gesendete E-Mail verlieren würden, aber das System kann alle E-Mails löschen, wenn der Absender gelöscht wird, da alle auf ihren Servern gespeichert sind.
2. Für Nicht-ProtonMail-Benutzer, die Wenn ProtonMail-Benutzer viele verschlüsselte E-Mails erhalten, müssen sie das Entschlüsselungskennwort für jede E-Mail irgendwo speichern und eine Zuordnung zwischen ihnen vornehmen. Für jede einzelne E-Mail muss ein neues Passwort gesucht und eingegeben werden. Ich würde behaupten, dass dies nicht verwendbar ist.
3. Ansprüche geltend zu machen ist einfach. Ladar Levison sagte, Lavabit habe keine Schlüssel gespeichert, so dass er nicht gezwungen werden könne, sie offenzulegen. Dies stellte sich als falsch heraus. Das Design von ProtonMail sieht deutlich besser aus, aber Behauptungen von "Auch wir können Ihre E-Mails nicht lesen" sind bis zum Beweis immer noch verdächtig.
4. Sie lassen wichtige Details in ihren FAQ / Anweisungen weg. Wenn beispielsweise behauptet wird, E-Mails zu einem bestimmten Zeitpunkt löschen zu können, wird nicht erwähnt, dass ein Benutzer diese E-Mail in ein anderes Programm kopieren kann, bevor sie gelöscht wird, und die Kopie wird nicht gelöscht. Sie lassen auch das Detail aus, dass Sie Ihre eigene sichere Methode zum Verteilen des Entschlüsselungskennworts für PM-an-andere E-Mails finden müssen.
5. Die Ablaufzeitfunktion verweist auf SnapChat , das das tatsächlich nicht löscht Bilder, sondern hört einfach auf, sie in der App aufzulisten.
6. Einige kluge Leute haben auch Vorbehalte dazu.
7. Die einzigen erwähnten Metadaten sind IP-Adressen und Zugriffszeiten. Metadaten wie An: und Von: Adressen müssen auf ihren Servern in einem zugänglichen Format (d. H. Nur Text oder mit verfügbaren Verschlüsselungsschlüsseln) gespeichert werden, damit die E-Mail an die richtige Person gesendet werden kann. IP-Adressen und Zugriffszeiten können natürlich weiterhin von Angreifern erfasst und gespeichert werden.
8. Das System kann nicht verwendet werden, wenn Sie offline sind. Kein Aufholen Ihrer E-Mails während eines Fluges oder der U-Bahn. Sie haben keine Kopie Ihrer E-Mail, wenn der Dienst heruntergefahren wird.
9. Ihr privater Schlüssel wird auf den ProtonMail-Servern gespeichert, verschlüsselt mit AES256 unter Verwendung Ihres Postfachkennworts. Dies ist wahrscheinlich, damit Sie ProtonMail auf einem anderen Computer verwenden können und dieser einfach Ihren privaten Schlüssel an diesen Computer senden kann, damit Sie ihn mit Ihrem Postfachkennwort entschlüsseln können. Dies ist ein Kompromiss der Sicherheit für Benutzerfreundlichkeit / Komfort. Dies steht auch im Widerspruch zu der Sicherheitsseite auf der Website, auf der steht, dass sie nicht an den Server gesendet werden.
10. In Jasons Antwort werden "Tricks" zur Verbesserung der Leistung von RSA erwähnt. Scheinbar harmlose Änderungen wurden zuvor an Kryptocode vorgenommen, die seine Sicherheit vollständig gefährdet haben.
ol>

Es ist definitiv nicht NSA-sicher, aber die ganze Begeisterung verwendet genau diesen Ausdruck, um zu behaupten, dass es das ist. In ihrem eigenen Blogbeitrag zu Bedrohungsmodellen heißt es, dass dies nicht NSA-sicher ist.

Es kann für Sie nützlich sein, aber nicht, wenn Sie versuchen, eine Revolution zu organisieren.

"Das getrennte Authentifizierungs- und Entschlüsselungssystem von ProtonMail bedeutet, dass Sie sich bei einem ProtonMail-Konto anmelden, für das zwei Kennwörter erforderlich sind. Das erste Kennwort wird verwendet, um den Benutzer zu authentifizieren und das richtige Konto abzurufen. Danach werden verschlüsselte Daten gesendet Das zweite Kennwort ist ein Entschlüsselungskennwort , das niemals an uns gesendet wird. [ Das zweite Kennwort wird] verwendet, um die Daten des Benutzers im Browser zu entschlüsseln , sodass wir dies niemals tun Zugriff auf die entschlüsselten Daten oder das Entschlüsselungskennwort haben. Aus diesem Grund können wir auch keine Kennwortwiederherstellung durchführen. Wenn Sie Ihr Entschlüsselungskennwort vergessen, können wir Ihre Daten nicht wiederherstellen. "

Als Kommentar zu Dies würde ich sagen, dass dies immer noch anfällig für einen SSL-Schlüsselkompromiss im NSA-gegen-Lavabit-Stil ist. Wenn Sie ihren SSL-Schlüssel erhalten können, geben Sie sich als ProtonMail aus und stehlen mithilfe von Javascript sowohl das erste als auch das zweite Passwort aller Benutzer. Dies kann das gesamte Verschlüsselungsprotokoll beschädigen.

Auf diese Weise ist es nicht das "einzige E-Mail-System, auf das die NSA nicht zugreifen kann": http://www.forbes.com/ sites / hollieslade / 2014/05/19 / das-einzige-E-Mail-System-das-nsa-Cant-Access /

Auf der Registerkarte "Sicherheit" ihrer Seite heißt es:

Wir unterstützen das Senden verschlüsselter Kommunikation an Nicht-ProtonMail-Benutzer über symmetrische Verschlüsselung. Wenn Sie eine verschlüsselte Nachricht an einen Nicht-ProtonMail-Benutzer senden, erhalten diese einen Link, über den die verschlüsselte Nachricht in ihren Browser geladen wird, den sie mit einer von ihnen freigegebenen Entschlüsselungspassphrase entschlüsseln können.

Sieht so aus, als müssten Sie zuerst die Entschlüsselungspassphrase mit dem Empfänger teilen.

Das getrennte Authentifizierungs- und Entschlüsselungssystem von ProtonMail bedeutet, dass Sie sich bei einem ProtonMail-Konto anmelden, für das zwei Kennwörter erforderlich sind. Das erste Passwort wird verwendet, um den Benutzer zu authentifizieren und das richtige Konto abzurufen. Danach werden verschlüsselte Daten an den Benutzer gesendet. Das zweite Passwort ist ein Entschlüsselungspasswort, das niemals an uns gesendet wird. Es wird verwendet, um die Daten des Benutzers im Browser zu entschlüsseln, sodass wir niemals Zugriff auf die entschlüsselten Daten oder das Entschlüsselungskennwort haben. Aus diesem Grund können wir auch keine Kennwortwiederherstellung durchführen. Wenn Sie Ihr Entschlüsselungskennwort vergessen haben, können wir Ihre Daten nicht wiederherstellen.

Quelle

Es scheint also, dass ein Kennwort zur Authentifizierung verwendet wird Ein zweites Kennwort (der Entschlüsselungsschlüssel) wird verwendet, um Ihre Daten wiederherzustellen und in Ihrem Browser anzuzeigen (über HTTPS). Ihr zweites Passwort / Entschlüsselungsschlüssel wird nicht auf den Servern gespeichert, und die gesamte Entschlüsselung erfolgt lokal in Ihrem System. Sie können nicht entschlüsseln, wofür sie keine Schlüssel haben. Dies bedeutet jedoch nicht, dass ein Keylogger auf Ihrem System nicht die zum Entschlüsseln Ihrer Daten erforderlichen Informationen abrufen kann.

Zum Senden sicherer E-Mails an Nicht-Proton-Benutzer:

Auch Ihre Kommunikation mit Nicht-ProtonMail-Benutzern ist sicher.

Wir unterstützen das Senden verschlüsselter Kommunikation an Nicht-ProtonMail-Benutzer über symmetrische Verschlüsselung. Wenn Sie eine verschlüsselte Nachricht an einen Nicht-ProtonMail-Benutzer senden, erhalten diese einen Link, über den die verschlüsselte Nachricht in ihren Browser geladen wird, den sie mit einer von ihnen freigegebenen Entschlüsselungspassphrase entschlüsseln können. Sie können auch unverschlüsselte Nachrichten wie normale E-Mails an Google Mail, Yahoo, Outlook und andere senden.

Aus persönlicher Sicht sieht es sehr sicher aus. Wenn ihre Server jemals beschlagnahmt würden, könnten sie anscheinend nichts tun, um die Daten zu entsperren. Das schwächste Glied sind die Endbenutzer, die von ihnen verwendeten Passwörter und ob ihre Passwörter kompromittiert werden oder nicht (obwohl es so aussieht, als ob die Passwortdatenbank von ProtonMail für das erste Passwort gehackt worden wäre, hätten alle Angreifer nur verschlüsselte Daten, wie nein Datenbank wird zum Speichern des zweiten Passworts verwendet.

Ich vermute, sie verwenden einen PGP-Schlüssel mit einem öffentlichen und einem privaten Schlüssel. Sie speichern Ihren öffentlichen Schlüssel und Ihren privaten Schlüssel, der mit Ihrem Passwort verschlüsselt ist (Sie müssen darauf vertrauen, dass sie nur den verschlüsselten privaten Schlüssel speichern). Sie haben Ihren öffentlichen Schlüssel, damit sie alle eingehenden E-Mails verschlüsseln können. Wenn Sie Ihre E-Mails lesen möchten Sobald Sie identifiziert sind, senden sie Ihnen (dies ist transparent) den privaten Schlüssel, der mit Ihrem Passwort verschlüsselt ist, das mit Ihrem Passwort beschrieben wird, und Sie können diesen privaten Schlüssel dann zum Entschlüsseln Ihrer E-Mails verwenden. Wenn dies der Fall ist, scheint dies ziemlich gut zu sein mich.