Proton Mail

Proton Mail (ранее стилизованно как ProtonMail) — сервис веб-почты с шифрованием, созданный в 2013 году сотрудниками ЦЕРН (Европейская организация по ядерным исследованиям). Серверы и штаб-квартира находятся в Швейцарии^[2]. Владелец — компания Proton AG из Женевы^[3].

Proton Mail
англ. Proton Mail
URL	proton.me
Коммерческий	Нет
Тип сайта	Электронная почта
Регистрация	обязательна
Язык (-и)	английский, французский, немецкий, турецкий, русский, украинский
Язык программирования	PHP и JavaScript
Владелец	Proton AG (Женева, Швейцария)
Начало работы	29 августа 2013 года
Текущий статус	Активный
Медиафайлы на Викискладе[1]

18 марта 2016 года вышли в свет мобильные клиенты в App Store (универсальное приложение с поддержкой iPhone, iPod Touch и iPad) и магазине Google Play для смартфонов и планшетов на базе Android. Неделей ранее приложение было официально запущено в швейцарском App Store.

История

Идея создания сервиса, к содержимому которого получает доступ только его владелец, пришла в голову студенту Caltech и Гарварда Энди Йену во время ланча в ресторане ЦЕРНа^[4]. Первая версия сервиса была создана летом 2013 года. Создатели сервиса — сотрудники ЦЕРНа Джейсон Стокман, Энди Йен и Вэй Сун. В разработке участвовали специалисты Гарвардского университета и Массачусетского технологического университета^[5].

Серверы электронной почты находятся в Швейцарии и, таким образом, по мнению разработчиков^[6], позволяют избежать действия американских и европейских законов. Proton Mail был создан в связи с сообщениями об усилении контроля над интернет-сообщениями, в первую очередь со стороны Агентства национальной безопасности США. Учредители сервиса, по их словам, руководствовались целями обеспечить безопасность интернета и уважение к частной жизни пользователей^[7].

Создатели Proton Mail признают, что при создании сервиса электронной почты ориентировались на дизайн и функциональность Gmail, уровень безопасности Lavabit и некоторые дополнительные возможности Snapchat^[8][9].

Proton Mail имел около 250 000 пользователей уже в августе 2014 года. После этого была даже приостановлена на время свободная регистрация пользователей, так как серверы не смогли справиться с регистрацией новых клиентов. По данным Alexa, Proton Mail занимает 2976-е место в рейтинге популярности в мире, в США — 1710-е место на 25 февраля 2019 года^[10][11].

Серверы Proton Mail.

22 мая 2017 года появился интерфейс на русском языке^{[источник не указан 266 дней]}.

Возможности

Proton Mail отличается от многих других почтовых сервисов возможностью шифрования письма, прежде чем оно отправляется на сервер. Письма между пользователями Proton Mail шифруются всегда автоматически. Электронное сообщение Proton Mail, направленное адресату, использующему сервис других поставщиков, может быть зашифровано по желанию клиента, а может пересылаться в незашифрованном виде. При шифровании используется алгоритм AES-256 с паролем, который должен быть известен как адресату, так и отправителю. В электронном сообщении, полученном адресатом, находится ссылка, которая направляет к серверу Proton Mail. После перехода по ссылке получатель вводит пароль, что позволяет прочесть сообщение. Вложения в электронное письмо шифруются вместе с текстом письма^[12].

Функциональность создана на JavaScript^[13]. Клиентские приложения: для платформ Android и iOS.

• Все письма распределяются по папкам: «Полученные», «Отправленные» и «Черновики». Существуют папки «Спам» и «Корзина». Возможность создания папок пользователем на данный момент уже реализована.
• Поиск осуществляется по имени отправителя, теме письма или по фрагментам текста тех писем, которые хранятся в электронном ящике в открытом виде.
• В сервисе реализована возможность создания собственного домена (только для платных аккаунтов)^[14].

Особенности

Схема обработки данных Proton Mail

• Proton Mail использует два пароля для входа на сервис: один для идентификации пользователя (Password), а второй для расшифровки им хранящихся на сервере данных (Mailbox Password). Вся процедура шифрования/дешифрования происходит непосредственно в браузере, и на сервере Proton Mail сохраняются только зашифрованные данные. Первый пароль пользователя хранится на серверах Proton Mail (он может быть изменён по желанию пользователя), в то время как второй известен только самому пользователю, поэтому Proton Mail не предлагает возможность восстановить или изменить этот пароль. Владельцы сервиса, по их утверждению, не могут расшифровать сообщения даже в судебном порядке.
• Proton Mail использует комбинацию из двух решений шифрования: криптографии с открытым ключом (RSA) и протокол симметричного шифрования (AES).
• Имеется двухфакторная аутентификация^[15].
• Протокол Transport Layer Security (TLS) используется для обеспечения безопасности и шифрования всех обменов между Proton Mail и пользователями других сервисов.
• Proton Mail обеспечивает возможность поставить дату истечения срока хранения писем. Сообщения могут быть подвергнуты самоуничтожению после определённого периода времени.

Ограничения

• Поддержка POP3/IMAP/SMTP отсутствует^{[уточнить]}.
• Пользователю предоставляется минимальные возможности редактирования текста сообщения: жирный шрифт или курсив, заголовки, списки. Возможность сложного редактирования письма предоставлена в HTML. Сложное форматирование сохраняется в случае прямого копирования заготовки сообщения из текстового процессора.

Особенности платных версий

Основные параметры:

	Proton Мail Free	Proton Mail Plus	Proton Mail Visionary
Размер почтового ящика	500 Мб[16][17]	5 Гб	20 Гб
Пользовательский домен	Нет	От 1 до 10 — начиная с 5 € за 1 в месяц (в зависимости от их количества)	10 доменов
Адрес	1	5—50	больше 50
Количество исходящих писем в день	150	1000	Нет ограничений
Теги	20	200	Нет ограничений
Техническая поддержка	Ограниченная	Есть	Приоритетная
Оплата	Бесплатно	От 5 € в месяц, 48 € за год	30 € в месяц, 288 € за год

Уязвимости

• Программист Майк Кардвелл, специализирующийся на поисках уязвимостей в ПО, в 2014 году обнаружил уязвимость у сервиса Proton Mail, которая позволяла исполнить произвольный JavaScript-код на компьютере ничего не подозревающего пользователя и получить открытый доступ к его аккаунту электронной почты^{[18][неавторитетный источник]}.

Сотрудничество с правоохранительными органами

С 2017 года Proton ежегодно публикует "отчёт о прозрачности", в котором содержится статистика по удовлетворённым и оспоренным запросам правоохранительных органов на раскрытие данных пользователей. В частности, в 2022 году из почти 7 тысяч таких запросов удовлетворено почти 6 тысяч, а оспорено немногим более 1 тысячи. В прессе широко освещались следующие случаи:

• 10 мая 2019 года с докладом на конференции по безопасности выступал руководитель швейцарского Центра по вопросам киберпреступности, прокурор Стефан Уолдер (Stephan Walder)^[19]. Его выступление в реальном времени транслировал в Twitter^[20] швейцарский адвокат Мартин Штайгер (Martin Steiger)^[21]. Согласно твитам Штайгера, во время выступления Уолдер прямо заявил о том, что компания ProtonMail добровольно предлагает свою помощь властям и добровольно следит за своими пользователями едва ли не в реальном времени, не требуя при этом ордер из федерального суда. И хотя ProtonMail – это защищенный сервис со сквозным шифрованием и фактическое содержание электронных писем клиентов администрация знать не может, разработчики все же имеют доступ к метаданным. Ссылаясь на практику Агентства национальной безопасности США, Штайгер отметил, что метаданные тоже могут быть крайне ценны для правоохранительных органов и спецслужб. Штайгер подчеркивает, что ProtonMail базируется в Швейцарии и использует это в качестве маркетингового преимущества, ссылаясь на строгие швейцарские законы о конфиденциальности. Но фактически при этом сервис подчиняется местным законам, а по словам Уолдера, якобы и вовсе добровольно помогает правоохранительным органам^[22][23][24].
• 6 сентября 2021 года, несмотря на заявление компании, что она не ведёт журнал IP-адресов, а для создания защищенной учетной записи электронной почты не требуется никакой личной информации, французским властям были предоставлены данные ряда участников движения Youth for Climate^[англ.]*, после чего пользователи оказались под арестом^[25][26].
• 7 мая 2024 в СМИ появилась информация^[27] о сотрудничестве Proton с правоохранительными органами Испании и Швейцарии в рамках уголовного преследования члена организации «Демократическое цунами» (Democratic Tsunami), выступающей за независимость Каталонии. По требованию швейцарских органов власти Proton выдал полиции Испании адрес электронной почты Apple, указанной преследуемым лицом при регистрации учётной записи Proton в качестве резервного электронного адреса, обычно используемого для восстановления доступа к почте^[28][28].

Блокировки

В марте 2019 года ФСБ Российской Федерации потребовала заблокировать IP-адреса Proton Mail для «обеспечения безопасности» во время проведения Зимней Универсиады^[29].

29 января 2020 года Роскомнадзор сообщил, что на территории России введена полная блокировка услуг Proton Mail; причиной стала рассылка анонимных писем о минированиях на территории России^[30].

"Тема с письмами о ложных минированиях — порядком утомившая безграмотная чушь. Если силовикам надоело реагировать на анонимные письма/сообщения, то надо просто перестать на них реагировать. Единичная блокировка почтовых сервисов не решит проблему анонимок ни с какой точки зрения.

Нормативно-правовая база Российской Федерации не подразумевает такой блокировки. Она противозаконна. “Мы просто исполняем закон” тут не применимо». - https://xakep.ru/2020/01/29/protonmail-blocked/

"Почему спецслужбы потратили два месяца на поиск источника ложных сообщений о минировании, который технически занимает 30 секунд: комментарий эксперта.

...выявить, откуда, с какого сервиса было отправлено почтовое сообщение, — это занимает порядка 30 секунд. То есть любой заголовок почтового сообщения доступен абсолютно любому пользователю, и понять, откуда сообщение пришло, даже если у него в заголовке написано другое, не составляет большого труда. - https://novayagazeta.ru/articles/2020/01/24/83607-dyry-v-pakete-yarovoy

Интересные факты

• Участники проекта Proton Mail Хой Нгуйен-Нгуйен и Ян Веверка объясняют название сервиса тем, что он был создан в ЦЕРНе людьми, которые работали над Большим адронным коллайдером: на нём сталкивают протоны, поэтому и возникла идея назвать свой продукт Proton Mail^[4].
• 17 июня 2014 года сервис Proton Mail начал кампанию по сбору добровольных пожертвований пользователей для покупки серверов, финансирования разработок и деятельности сервиса. Целью был сбор 100 000 долл. на работу по совершенствованию электронной почты^[31][32]. В качестве бонуса пожертвовавшим предоставлялась возможность немедленной регистрации на сервисе. Уже к 31 июля 2014 года собранные средства достигли 550 492 $. В ходе этой кампании, 30 июня 2014 года счет Proton Mail был заблокирован компанией PayPal; представитель PayPal объявил, что они заблокировали учётную запись, потому что компания сомневается в законности данного сбора средств. Блокировка была снята на следующий день (1 июля 2014 года).
• Некоторое смущение пользователей сервиса вызвало символическое заявление учредителей Proton Mail в связи с делом Эдварда Сноудена о том, что они заблокировали несуществующий аккаунт snowden@protonmail.ch^[33].
• 3 ноября 2015 года администрация Proton Mail получила электронное письмо с требованием выплатить деньги, в противном случае на сайт будет осуществлена DDoS-атака. Вскоре сервер был атакован и выведен из строя на 15 минут. 4 ноября была осуществлена ещё более мощная DDoS-атака. Она вывела из строя дата-центр и системы провайдера. Компания после этого выплатила выкуп в размере 15 биткойнов (около 384 000 рублей по курсу 2015 года)^[34]. Тем не менее, хакеры продолжили атаку. Ответственность за инцидент была возложена на хакерскую группу Armada Collective. Proton Mail собирается заключить контракт с компанией, занимающейся защитой от киберугроз. Чтобы собрать необходимые 100 000 $, операторы сайта организовали кампанию по сбору средств среди пользователей.

В культуре

• Фрагмент использования сервиса Proton Mail показывается в одном из эпизодов американского телесериала «Мистер Робот» и в фильме "Достать ножи".

Награды и оценки

• Proton Mail вышел в полуфинал MIT 100K 2014 года^[35].
• Оценка Proton Mail на сайте Cryptocoins News — 4,6 из 5 звёзд^[36].

См. также

• Proton VPN
• Tutanota — аналогичный сервис

Литература

• ProtonMail или что же это на самом деле? // Хабрахабр, 25.06.2014
• Khandelwal, Swati, ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service // The Hacker News. May 26, 2014
• Sardesai, Neil. An Inside Look at ProtonMail: End-to-End Encrypted Email // Cryptocoins News (приводится большое интервью с создателями почтового сервиса)
• ProtonMail — не открытка, а письмо в конверте // NashaGazeta.ch, 23.10.2014

Ссылки

• Официальный сайт Proton Mail (рус.)

Примечания

1. https://commons.wikimedia.org/wiki/Category:Proton_Mail
2. Серверы: ns1.protonmail.ch, IP 37.35.106.40; ns2.protonmail.ch, IP 185.70.40.19. Whois Web Hosting Information for website — protonmail.ch/
3. Юридический адрес — Proton Technologies AG, Rue de Lausanne 25, CH-1201, Genève, Switzerland.
4. Татьяна Гурко. РrotonMail — не открытка, а письмо в конверте (ProtonMail, ce n’est pas une carte postale mais une lettre dans une enveloppe). Наша газета. 23. 10. 2014.  (неопр.) Дата обращения: 1 мая 2016. Архивировано 1 июня 2016 года.
5. Khandelwal, Swati, ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service. The Hacker News. Monday, May 26, 2014.  (неопр.) Дата обращения: 28 января 2015. Архивировано 29 января 2015 года.
6. Статья учредителей «Why Switzerland?» Архивная копия от 28 декабря 2014 на Wayback Machine специально посвящена данной проблеме. Критики утверждают, что подобных прецедентов ещё не было, хотя признают наличие соответствующих пробелов именно в швейцарском законодательстве.
7. Энди Йен. Считаете, что ваша электронная почта личная? Подумайте ещё раз (англ.). Дата обращения: 25 февраля 2019. Архивировано 20 января 2019 года.
8. В криптопочте ProtonMail зарегистрировано уже 5 млн аккаунтов  (рус.). habr.com. Дата обращения: 25 февраля 2019. Архивировано 25 февраля 2019 года.
9. Security Features  (неопр.). Proton Mail. Дата обращения: 25 февраля 2019. Архивировано 28 октября 2015 года.
10. protonmail.com: информация о сайте, посещаемость, кто владелец, стоимость $ 5,036,040.00  (неопр.). Дата обращения: 18 июля 2018. Архивировано 18 июля 2018 года.
11. ProtonMail на сайте Alexa  (неопр.). Дата обращения: 27 июня 2016. Архивировано 5 марта 2016 года.
12. Шифрование вложений  (неопр.). Дата обращения: 24 марта 2016. Архивировано 9 апреля 2016 года.
13. Is email encryption, as claimed by ProtonMail, possible? Information Security. Nov. 9, 2014.  (неопр.) Дата обращения: 28 января 2015. Архивировано 8 марта 2015 года.
14. Собственные домены  (неопр.). Дата обращения: 24 марта 2016. Архивировано 9 апреля 2016 года.
15. Двухфакторная аутентификация — это метод идентификации в сервисе Интернета при помощи запроса аутентификационных данных двух разных типов. Обычно: 1) логин и пароль, 2) специальный код, приходящий по SMS или электронной почте.
16. Пользователю, тестировавшему Beta-версию, предоставляется 1 Гб пространства для хранения данных.
17. По состоянию на 12.02.2023 бесплатному пользователю предоставляется 1 Гб пространства для хранения данных, также изменились платные тарифные планы.
18. Текст сообщения Майка Кардвелла создателям сервиса ProtonMail  (неопр.). Дата обращения: 28 января 2015. Архивировано 20 октября 2014 года.
19. Стефан Уолдер (Stephan Walder)  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
20. Трансляция в Твиттер (X)  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
21. Мартин Штайгер (Martin Steiger)  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
22. ProtonMail обвинили в слежке за пользователями и помощи правоохранительным органам  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
23. ProtonMail обвинили в слежке  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
24. Компанию ProtonMail обвинили в раскрытии данных пользователей правоохранительным органам  (неопр.). Дата обращения: 4 августа 2023. Архивировано 4 августа 2023 года.
25. Antipov, Alexander. Protonmail сдал своих пользователей-активистов властям Франции  (рус.). Positive Technologies (6 сентября 2021). Дата обращения: 13 марта 2022. Архивировано 4 ноября 2021 года.
26. Нефёдова, Мария. ProtonMail раскрыл IP-адрес активиста правоохранительным органам  (рус.). Хакер (8 сентября 2021). Дата обращения: 13 марта 2022. Архивировано 12 сентября 2021 года.
27. «Защищенный почтовый клиент» Proton Mail предоставил властям Испании данные каталонского активиста, позволив его идентифицировать  (рус.). The Insider. Дата обращения: 14 мая 2024.
28. Знаменитая почта для секретной переписки Proton сдала своего клиента полиции. Никто не защищен - CNews  (неопр.). CNews.ru. Дата обращения: 14 мая 2024.
29. ФСБ потребовала заблокировать IP-адреса защищенной почты ProtonMail для «обеспечения безопасности» во время Универсиады // Новая газета : Газета. — 2019. — 12 марта (№ 14 (2387)). — С. 8—9. Архивировано 3 июля 2019 года.
30. В России заблокировали сверхзащищенную «почту для параноиков» // CNews, 29 января 2020
31. Biggs, John. ProtonMail Is A Swiss Secure Mail Provider That Won’t Give You Up To The NSA. TechCrunch Daily. Jun 23, 2014.  (неопр.) Дата обращения: 28 января 2015. Архивировано 25 октября 2015 года.
32. Osborne, Charlie. PayPal freezes out ProtonMail, asks if startup has 'government permission' to encrypt email. CBS Interactive. July 1, 2014.  (неопр.) Дата обращения: 28 января 2015. Архивировано 14 февраля 2015 года.
33. Huge demand for NSA-proof email: ProtonMail uses a month’s server capacity in 3 days. Network World. May 19, 2014. Архивная копия от 6 ноября 2014 на Wayback Machine: «In case Mr. Snowden was foolish enough to try, we have already blocked the username snowden@protonmail.ch.»
34. Protonmail выплатил выкуп за прекращение DDoS-атаки. SecurityLab.ru.  (неопр.) Дата обращения: 5 декабря 2015. Архивировано 8 декабря 2015 года.
35. ProtonMail или что же это на самом деле? // Хабрахабр  (неопр.). Дата обращения: 28 января 2015. Архивировано 10 января 2015 года.
36. Sardesai, Neil. An Inside Look at ProtonMail: End-to-End Encrypted Email. Cryptocoins News.  (неопр.) Дата обращения: 28 января 2015. Архивировано 9 декабря 2014 года.