ProtonMail

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
ProtonMail
Logo
URL
Commerciale
Tipo di sitoWebmail
Linguafrancese, inglese, italiano, nederlandese, polacco, russo, spagnolo, tedesco, turco, ucraino
Registrazioneobbligatoria (tuttavia si può creare una comunicazione crittata con chi non è iscritto)
ProprietarioProton Technologies AG
Creato daJason Stockman, Andy Yen, Wei Sun, comunità globale
Lancio16 maggio 2014
FatturatoAccount a pagamento con funzionalità esclusive, donazioni
Stato attualeAttivo

ProtonMail è un servizio di posta elettronica criptata fondato nell'anno 2013 in Svizzera, presso il centro di ricerca CERN.[1]

Storia[modifica | modifica wikitesto]

Ideato da Jason Stockman, Andy Yen e Wei Sun.

ProtonMail utilizza la crittografia dal lato client per proteggere il contenuto della posta elettronica ed i dati degli utenti prima di inviarli ai server di ProtonMail, a differenza dei servizi di posta elettronica più comuni come Gmail, Yahoo! Mail o Outlook.com.[2]

Si può usufruire del servizio accedendo via World Wide Web oppure con le apposite applicazioni per Android e iOS.[3]

ProtonMail è gestito da Proton Technologies AG, una compagnia svizzera con sede nel Canton Ginevra.[4]

I suoi server si trovano in due località in Svizzera, in territorio europeo ma al di fuori della giurisdizione degli Stati Uniti e dell'UE.[5]

Il servizio ha ricevuto finanziamenti iniziali attraverso una campagna di crowdfunding.

Inizialmente solo su invito, è stato aperto al pubblico a marzo del 2016.

A partire da gennaio 2017 ha oltre 2 milioni di utenti.[6]

L'impostazione predefinita dell'account è gratuita ed il servizio è supportato da servizi a pagamento facoltativi.

Con la versione 3.12 ha rafforzato anche la sicurezza del suo contact manager, ProtonMail Contacts, al fine di proteggere ulteriormente i contatti salvati in rubrica dai propri utenti.[7]

La rubrica sicura di ProtonMail permette di salvare i contatti e-mail utilizzando la crittografia e la firma digitale; questo assicura che solo l’utente potrà accedere a tali informazioni, con un netto aumento della protezione contro gli attacchi hacker.[8]

Inoltre, dal 19 gennaio 2017, i suoi utenti possono già utilizzare il servizio dalla rete TOR (acronimo di The Onion Router) collegandosi a un indirizzo “onion“, ossia https://protonirockerxow.onion.[9][10][11]

Sviluppo[modifica | modifica wikitesto]

Il 16 maggio 2014, ProtonMail è entrato in beta pubblica.[12]

Nel giro di tre giorni, ha ricevuto una risposta schiacciante ed è stato costretto a sospendere temporaneamente le registrazioni beta mentre lavoravano per espandere la capacità del server.[13]

Il 31 luglio 2014 ha ricevuto circa 470.000 euro (US$ 550.377) da 10.576 donatori attraverso una campagna di crowdfunding su Indiegogo, mentre puntava a circa 85.000 euro (US$ 100.000).[14]

Durante la campagna, PayPal ha congelato l'account PayPal di ProtonMail, impedendo in tal modo il ritiro di donazioni per un valore di circa 214.000 euro (251.721 USD).

PayPal ha dichiarato che il conto è stato congelato a causa di dubbi sulla legalità della crittografia, dichiarazioni che gli avversari hanno dichiarato infondate.[15][16]

Le restrizioni sono state revocate il giorno seguente.[17]

Il 18 marzo 2015, ProtonMail ha ricevuto circa 1.700.000 euro (2 milioni di USD) da Charles River Ventures e dalla Fondation Genevoise per l'Innovation Technologique (Fongit).[18]

Il 13 agosto 2015 ha rilasciato la versione 2.0, che è stato l'aggiornamento più significativo nella sua storia ed ha incluso un nuovo codebase per la sua interfaccia web introducendo miglioramenti significativi delle prestazioni.

Il suo team ha rilasciato simultaneamente il codice sorgente per l'interfaccia web sotto una licenza open-source.[19]

Il 17 marzo 2016 ProtonMail ha rilasciato la versione 3.0 che ha visto il lancio ufficiale di ProtonMail fuori dalla beta.

Con una nuova interfaccia per il client web, la versione 3.0 includeva anche il lancio pubblico delle applicazioni beta iOS e Android.

Queste applicazioni sono costruite nativamente per ciascuna rispettiva piattaforma mantenendo i gesti e le azioni familiari a ciascun sistema operativo.[20]

Le app mobili hanno dimostrato di essere un successo con rapporti di maggiore efficienza e la possibilità di lasciare altri provider di posta elettronica come Gmail a causa dell'usabilità e del set di funzionalità trovato in ProtonMail.

Dopo aver ricevuto centinaia di migliaia di download nella prima settimana e migliaia di recensioni, le app mobili di ProtonMail hanno ottenuto il punteggio più alto nell'app e nel play store.[21]

Il 21 novembre 2017 ha introdotto ProtonMail Contacts, un gestore di contatti in crittografia a accesso zero; i contatti di ProtonMail utilizzano anche le firme digitali per verificare l'integrità dei dati dei contatti.[22]

Il 6 dicembre 2017 ha lanciato ProtonMail Bridge, un'applicazione che fornisce la crittografia e-mail end-to-end a qualsiasi client desktop che supporti IMAP e SMTP, come Microsoft Outlook, Mozilla Thunderbird e Apple Mail per Windows e MacOS.[23]

Attacchi DDoS nel 2015[modifica | modifica wikitesto]

Dal 3 al 7 novembre 2015, ProtonMail ha subito numerosi attacchi DDoS che hanno reso il servizio largamente non disponibile per gli utenti.[24]

ProtonMail riteneva di essere stato colpito da due attacchi separati, il primo guidato da un gruppo di hacker noto come "Collettivo di Armada" (in inglese "Armada Collective") ed il secondo da un gruppo sconosciuto, tecnicamente più avanzato con abilità simili a un gruppo sponsorizzato dallo stato.

Il primo attacco è stato legato a un riscatto di 15 Bitcoin (circa 16.000 US$) che il ProtonMail alla fine ha pagato a causa delle pressioni degli ISP e di altre società colpite dall'attacco.

Gli attacchi DDoS, tuttavia, non si sono fermati e hanno invece iniziato ad assumere maggiore sofisticazione, con tassi superiori a 100 Gbit / s.

La società ha ricevuto un'e-mail dal "Collettivo di Armada" (in inglese "Armada Collective") in cui hanno negato la responsabilità dell'attacco in corso.[25][26][27][28]

Durante l'attacco, la società ha dichiarato su Twitter che stava cercando un nuovo data center in Svizzera, dicendo che "molti hanno paura a causa della portata dell'attacco contro di noi".

Da allora hanno dichiarato di avere "una soluzione completa a lungo termine che è già in fase di attuazione".[29]

Invio di e-mail[modifica | modifica wikitesto]

Da ProtonMail a ProtonMail[modifica | modifica wikitesto]

Un'email inviata ad un altro account ProtonMail viene automaticamente crittografata con la chiave pubblica del destinatario.

Una volta crittografata, solo la chiave privata del destinatario può decrittografare l'e-mail.

Quando il destinatario accede, la sua password della casella di posta decodifica la chiave privata e sblocca la posta in arrivo.

Da ProtonMail a non ProtonMail[modifica | modifica wikitesto]

Le e-mail ad indirizzi e-mail non ProtonMail possono essere facoltativamente inviate con crittografia end-to-end poiché si possono anche inviare semplicemente in formato testo.

Con la crittografia, l'e-mail viene crittografata con AES con una password fornita dall'utente.

Il destinatario riceve un collegamento al sito web ProtonMail sul quale è possibile inserire la password e leggere l'e-mail decrittografata.

ProtonMail presume che il mittente ed il destinatario abbiano scambiato questa password attraverso un canale posteriore.[30]

Tali e-mail possono essere impostate per autodistruggersi dopo un periodo di tempo.[31]

Crittografia[modifica | modifica wikitesto]

ProtonMail utilizza una combinazione di crittografia a chiave pubblica e protocolli di crittografia simmetrica per offrire una crittografia "end-to-end".

Quando un utente crea un account, il suo browser genera una coppia di chiavi RSA pubbliche e private: la chiave pubblica viene utilizzata per crittografare i messaggi di posta elettronica ed altri dati; la chiave privata, in grado di decifrare i dati dell'utente, viene simmetricamente crittografata con la password della casella di posta elettronica.

Questa crittografia simmetrica avviene nel browser Web dell'utente utilizzando AES-256.

ProtonMail inizialmente offriva agli utenti l'accesso solo con passwords in due modalità che richiedevano una password di accesso e una password della casella di posta.

Quella di accesso veniva utilizzata per l'autenticazione; quella della casella di posta elettronica crittografava la casella contenente le e-mail ricevute, i contatti e le informazioni utente, nonché una chiave di crittografia privata.

Al momento del login, l'utente doveva fornire obbligatoriamente entrambe le password; questo per accedere all'account, alla casella postale crittografata ed alla sua chiave di crittografia privata; la decrittografia avveniva sul lato client in un browser Web o in una delle applicazioni mobili; la chiave pubblica e la chiave privata crittografata erano entrambe archiviate sui server ProtonMail e pertanto ProtonMail memorizzava le chiavi di decodifica solo nella loro forma crittografata, in modo che gli sviluppatori di ProtonMail non erano in grado di recuperare le e-mail degli utenti né di reimpostare le passwords delle caselle di posta.[32]

Attualmente, dopo la registrazione dell'account, viene richiesto di fornire una sola password di accesso per il proprio account.

Questo sistema assolve ProtonMail da:

  • Memorizzare i dati non crittografati o la password della casella di posta.
  • Divulgazione dei contenuti delle e-mail precedenti ma non delle e-mail future.
  • Decifrare la casella di posta elettronica solo se richiesta o obbligata da un ordine del tribunale.[33]

ProtonMail supporta esclusivamente HTTPS e utilizza TLS con scambio di chiavi effimero per crittografare tutto il traffico Internet tra utenti e server ProtonMail.

Il loro certificato SSL RSA 4096 bit è firmato da QuoVadis Trustlink Schweiz AG e supporta Extended Validation, Certificate Transparency, Public Key Pinning e Strict Transport Security.[34]

Protonmail.com detiene una valutazione "A +" di Qualys SSL Labs.[35]

A settembre 2015, ProtonMail ha aggiunto il supporto nativo alla loro interfaccia web e app mobile per Pretty Good Privacy (PGP).

Ciò consente a un utente di esportare la sua chiave pubblica codificata con ProtonMail PGP ad altri al di fuori di ProtonMail, consentendo loro di utilizzare la chiave per la crittografia della posta elettronica.

Il team di ProtonMail prevede di supportare la crittografia PGP da ProtonMail ad utenti esterni.[36]

Architettura del centro elaborazione dati[modifica | modifica wikitesto]

ProtonMail mantiene e possiede l'hardware e la rete del server per evitare di fidarsi di terzi.

Sono in mantenimento due ridondanti centri elaborazione dati a Losanna e Attinghausen (nell'ex bunker militare K7 sotto i 1.000 metri di roccia granitica).[37][38][39]

Poiché i data center si trovano in Svizzera, essi sono legalmente al di fuori della giurisdizione degli Stati Uniti e dell'UE.

Secondo la legge svizzera tutte le richieste di sorveglianza provenienti da paesi stranieri devono passare attraverso un tribunale svizzero e sono soggette a trattati internazionali.

Gli obiettivi di sorveglianza prospettici vengono notificati e possono presentare ricorso in tribunale.

Ogni data center utilizza il bilanciamento del carico tra server web, posta e linguaggio informatico SQL (structured query language), ridondante power supply, dischi rigidi con crittografia completa del disco ed uso esclusivo sia di Linux che di altri software open source.[40]

Nel dicembre 2014 ProtonMail ha aderito al RIPE NCC nel tentativo di avere un controllo più diretto sull'infrastruttura Internet circostante.[41]

Note[modifica | modifica wikitesto]

  1. ^ About ProtonMail, su ProtonMail. URL consultato l'8 febbraio 2017.
  2. ^ ProtonMail, l’alternativa a GMail sicura e criptata, su lastampa.it.
  3. ^ Posta elettronica anonima e sicura con ProtonMail, su pcprimipassi.it.
  4. ^ (FR) "Registre du Commerce du Canton de Genève", su ge.ch.
  5. ^ (EN) Why Switzerland?, su protonmail.com.
  6. ^ (EN) Fighting Censorship with ProtonMail Encrypted Email Over Tor, su protonmail.com.
  7. ^ ProtonMail, dopo la posta elettronica cifra anche i contatti, su wired.it.
  8. ^ ProtonMail porta la sua nuova rubrica sicura anche su Android e iOS, su mobileworld.it.
  9. ^ ProtonMail si sposta su TOR per garantire più privacy ai suoi utenti, su tecnologia.libero.it.
  10. ^ (EN) Fighting Censorship with ProtonMail Encrypted Email Over Tor, su protonmail.com.
  11. ^ (EN) ProtonMail launches Tor hidden service to dodge totalitarian censorship, su theregister.co.uk.
  12. ^ (EN) ProtonMail now in Public Beta!!, su protonmail.com.
  13. ^ (EN) Über-Secure ProtonMail Beta Maxes Out Servers in Just 60 Hours, su infosecurity-magazine.com.
  14. ^ (EN) ProtonMail, su indiegogo.com.
  15. ^ (EN) ProtonMail hit by PayPal account freeze, su bit-tech.net.
  16. ^ (EN) PayPal freezes account of email encryption startup ProtonMail [Update], su dailydot.com.
  17. ^ (EN) Paypal Freezes ProtonMail Campaign Funds, su protonmail.com.
  18. ^ (EN) ProtonMail has raised $2M USD to protect online privacy, su protonmail.com.
  19. ^ (EN) ProtonMail goes Open Source with version 2.0, su protonmail.com.
  20. ^ (EN) Announcement: ProtonMail has launched worldwide!, su protonmail.com.
  21. ^ (EN) The ProtonMail Mobile Apps are about to get even better!, su protonmail.com.
  22. ^ (EN) Introducing ProtonMail Contacts – the world’s first encrypted contacts manager, su protonmail.com.
  23. ^ (EN) Introducing ProtonMail Bridge, email encryption for Outlook, Thunderbird, and Apple Mail, su protonmail.com.
  24. ^ (EN) ProtonMail still under attack by DDoS bombardment, su theregister.co.uk.
  25. ^ (EN) DDOS Update, su protonmaildotcom.wordpress.com.
  26. ^ (EN) ProtonMail Statement about the DDOS Attack, su protonmaildotcom.wordpress.com.
  27. ^ (EN) Armada Collective blackmails Swiss Hosting Providers, su govcert.admin.ch.
  28. ^ (EN) ProtonMail Pays Crooks $6,000 In Bitcoin To Cease DDoS Bombardment, su forbes.com.
  29. ^ (EN) We are seeking a datacenter in Switzerland brave enough to host ProtonMail, many are afraid due to the magnitude of the attack against us., su twitter.com.
  30. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
  31. ^ (EN) End-to-End Encryption, su protonmail.com.
  32. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
  33. ^ (EN) ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service, su thehackernews.com.
  34. ^ (EN) SSL Certificate Update, su protonmail.com.
  35. ^ (EN) SSL Report: protonmail.com, su ssllabs.com.
  36. ^ (EN) ProtonMail adds Facebook PGP integration, su protonmail.com.
  37. ^ (EN) End-to-End Encryption, su protonmail.com.
  38. ^ (EN) Exclusive: Inside the ProtonMail siege: how two small companies fought off one of Europe's largest DDoS attacks, su techrepublic.com.
  39. ^ (DE) Im geheimen Datenbunker von Attinghausen, su srf.ch.
  40. ^ (EN) Infrastructure Upgrades, su protonmail.com.
  41. ^ (EN) ProtonMail joins Réseaux IP Européens (RIPE NCC), su protonmail.com.

Altri progetti[modifica | modifica wikitesto]