Remove ads

Proton Mail是一个端到端加密电邮服务,由在欧洲核子研究组织(CERN)研究设施工作过的科学家于2013年在瑞士日内瓦创立。[9] Proton Mail使用客户端加密来保护电邮内容和用户数据,然后再发送到Proton Mail伺服器,这与GmailOutlook.com等其他普通电邮供应商不同。该服务可以通过网络邮件客户端、Tor网络或专用的iOSAndroid应用程式访问。

事实速览 网站类型, 语言 ...
Proton Mail
Protonmail的徽标
网站类型
Webmail
语言23种语言
语言列表
英文、西班牙文(西班牙、拉丁美洲)、德文、法文(法国、加拿大)、意大利文、日文、荷兰文、波兰文、葡萄牙文(葡萄牙、巴西)、罗马尼亚文、俄文、土耳其文、乌克兰文、中文(繁体、简体)、加泰隆尼亚文、捷克文、丹麦文、希腊文、克罗埃西亚文、匈牙利文、印度尼西亚文、卡柏尔文
持有者瑞士日内瓦质子科技英语Proton Technologies
创始人Andy Yen (严育铨)、Jason Stockman、Wei Sun
代表人物
  • Dr. Andy Yen (CEO/创始人)
  • Dr. Bart Butler (CTO)
[1]
网址
商业性质
注册必需
用户5000万(截止2020年)[2]
推出时间2014年5月16日,​10年前​(2014-05-16
关闭
事实速览 当前版本, 原始码库 ...
客户端(专有Web服务)
当前版本
  • 3.15.0(2024年11月13日;稳定版本)[4]
编辑维基数据链接
原始码库github.com/ProtonMail
编程语言JavaScriptPHP
许可协议
网站
关闭
描绘瑞士Proton Mail伺服器位置的地图:洛桑(左)和阿廷豪森英语Attinghausen [Attinghausen](右)

Proton Mail由其母公司Proton Technologies AG经营,该公司位于日内瓦州。[10] 该公司还经营ProtonVPN,一项VPN服务。Proton Mail通过众筹活动获得初始资金。虽然默认的账户设置是免费的,但该服务由可选的付费服务来维持。最初只有邀请,Proton Mail在2016年3月向公众开放。2017年,Proton Mail有200多万用户,[11] 到2018年9月增长到500多万,[12] 到2019年底达到2000万,[13] 到2020年超过5000万。[2]

Remove ads

历史

发展

2014年5月16日,Proton Mail进入公开测试阶段。[14]它得到了足够的响应,以至于三天后他们需要暂时停止测试注册以扩大伺服器容量。[15]两个月后,Proton Mail通过Indiegogo上的众筹活动从10,576名捐助者那里获得550,377美元,而目标是100,000美元。[16]在该活动期间,PayPal冻结了Proton Mail的PayPal账户,从而阻止提取价值251,721美元的捐款。PayPal表示,账户被冻结的原因是对加密的合法性有疑问,反对者说这种说法是没有根据的。

2015年3月18日,Proton Mail从Charles River Ventures和Fondation Genevoise pour l'Innovation Technologique(Fongit)获得200万美元。[17] 2015年8月14日,Proton Mail发布了2.0主要版本,其中包括为其网络界面重新编写的代码库。2016年3月17日,Proton Mail发布了3.0主要版本,标志着Proton Mail从测试版正式推出。随着网络客户端的新界面,3.0版本还包括公开推出Proton Mail的iOS和Android测试版应用程式。[18]

2017年1月19日,Proton Mail宣布支持通过Tor,隐藏的服务地址protonirockerxow.onion(随着洋葱服务v2版本的弃用,该地址已不可用)[11][19]2017年11月21日,Proton Mail推出了Proton Mail Contacts,一个零访问的加密联络人管理器。Proton Mail联络人还利用数码签名来验证联络人数据的完整性。[20] 2017年12月6日,Proton Mail推出了Proton Mail Bridge,这是一个为任何支持IMAPSMTP的桌面客户端提供端到端电邮加密的应用程式,如Microsoft Outlook、Mozilla Thunderbird和Apple Mail,用于WindowsMacOS

2018年7月25日,Proton Mail引入了地址验证和Pretty Good Privacy(PGP)支持,使Proton Mail与其他PGP客户端具有互通性。[21] 2019年12月,Proton Mail推出了 "ProtonCalendar",一个完全加密的日历。

后台的原始码仍然是闭源的。[22][23] 然而,Proton Mail在开源许可下发布了网页界面的原始码。[24] Proton Mail还开源了他们的iOS和Android的移动客户端,[25][25]以及Proton Mail Bridge应用程式。[26]他们所有的原始码都可以在GitHub上找到。

2020年9月,据了解,Proton Mail已经加入了应用程式公平联盟,该联盟旨在为他们的应用程式在应用程式商店中的收录争取更好的条件。[26]

Remove ads

DDoS攻击

从2015年11月3日至7日,Proton Mail遭受了几次拒绝服务攻击,使用户基本无法使用该服务。[27] 在攻击期间,该公司在Twitter上表示,它正在瑞士寻找一个新的数据中心,并说:"由于对我们的攻击的规模,许多人都很害怕。" 。[28]

2018年7月,Proton Mail报告说它再次遭受了DDoS攻击。行政总裁Andy Yen声称,攻击者是由一个不知名的人支付的,以发起攻击。[29] 2018年9月,Proton Mail的一名疑似攻击者被英国执法部门逮捕,并被指控与其他一系列针对学校和航空公司的高调网络攻击有关[30]

在白俄罗斯受阻

2019年11月15日,Proton证实,白俄罗斯共和国政府已经在全国范围内对Proton Mail和ProtonVPN的IP地址进行了封锁。4天后,该封锁不再存在。没有向Proton Mail解释封锁的原因,也没有解释封锁被取消的原因。[31]

在俄罗斯的封锁

2020年1月29日,俄罗斯联邦通信资讯科技和大众传媒监督局报告说,它已经在俄罗斯联邦境内完全封锁了Proton Mail的服务。 [32]作为封锁的一个原因,它引用了Proton Mail拒绝提供与据称发送恐怖威胁的垃圾邮件的账户有关的资讯。 [33][34] 然而,Proton Mail声称它没有收到俄罗斯当局关于任何此类账户的请求。 [35][36]为了回应封锁,Proton Mail的Twitter账户建议合法用户通过VPN或Tor规避封锁。

2020年3月,该公司宣布,尽管俄罗斯的禁令并不特别成功,而且该服务在俄罗斯仍然可以在不利用VPN的情况下使用,但Proton Mail将在Proton Mail和ProtonVPN桌面和流动应用程序中发布新的反审查功能,这将允许更多的封锁尝试被自动规避。[37]

遵守瑞士法院命令和IP记录

根据Proton Mail的透明度报告,它在法律上有义务遵守瑞士法院的命令,在2020年,ProtonMail收到了来自瑞士当局的3,572个命令,并对其中的750个提出异议。[38]

不同服务下的不同隐私政策

由于使用加密技术,Proton Mail在任何情况下并无法移交加密电邮的内容,不过2021年9月5日根据官方隐私政策表示,指出 "如果你违反了瑞士法律,Proton Mail是可以依法强制提交你的IP地址记录,作为瑞士刑事调查的一部分。[39]" 为此,该公司强烈建议用户,如果您需要隐藏身份不想让瑞士政府识别出您的用户活动纪录,那么强烈建议用户可选用该公司的ProtonVPN服务。[40] 2022年5月,除了更新Proton Mail隐私政策之外,并明确为其Proton VPN服务做出了两相区隔的隐私政策,该政策根据瑞士法律具有不同的待遇,并且后者(ProtonVPN)具有更严格的获得外部审核确认的无日志纪录政策。

2021年涉及国际刑事案件

2021年受到国外瞩目的、涉及瑞士法院命令的刑事案件,包括在美国涉及对著名免疫学家安东尼-福奇(Anthony Fauci)进行死亡威胁的案件,以及欧洲气候议题的社会运动成员的案件。

涉及对著名免疫学家安东尼-福奇(Anthony Fauci)进行死亡威胁的案件

由于《瑞士刑法》第271条禁止瑞士公司向外国当局提供数据,美国当局向瑞士政府请求协助。在该案中,Proton Mail只能提供一个账户创建日期。

涉及气候议题运动成员的案件

2021年9月5日,Proton Mail证实它在收到具有法律约束力的瑞士法院命令后,依法被迫交出被控盗窃和破坏财产的法国社会运动成员的IP地址。[41] [42]

2021年9月6日,Proton Mail被指出由于受到欧洲刑警组织的法律要求,向欧洲刑警组织提供了有关“青年为气候法语Youth for Climate(Youth for Climate)”组织成员的登录IP和装置类型资讯。据TechCrunch报导,Proton Mail是接受欧洲刑警组织的法律要求而提供涉嫌有着“极端犯罪行为”用户的IP地址[43]。相关涉案活动家被捕后,Proton Mail从网站上删除了 "we don't log your IP(我们不会记录你的IP )"的说法[44]

具体消息指涉事组织为2018年成立的Youth for Climate,主要关注气候问题,近年曾在法国的示威活动中占领私人地方,与警察发生冲突:法国警方是经欧洲刑警要求电邮公司提供使用资料,最终公司交出一系列数据包括电邮设立日期、IP 地址,以及使用该电邮的装置名称及号码[45]

提出异议的上诉结果

在这些案件之后,2021年10月在瑞士法院Proton Mail赢得了一项重要的胜利,确认了电邮服务不能被视为电信提供商,因此不受对电信提供者施加的数据保留要求的约束[46]

Remove ads

加密技术

Proton Mail使用公钥加密和对称加密协议的组合来提供端到端且零存取[47]的加密。当用户创建一个Proton Mail账户时,他们的浏览器会生成一组RSA密钥对:

  • 公钥用以加密用户邮件与其他资料。
  • 用来解密上述资讯的私钥以用户密码进行对称式加密,亦即需要用户密码才能解密私钥,进而解密上述资料。

解密私钥的过程完全在用户的浏览器中执行,在双密码模式下,一组密码用于登录,另一组密码用于解密用户的私钥,用于解密用户私钥的密码不会被发送到远程伺服器,即监听者与Proton官方都不会经手解密密码。单密码模式中,伺服器将会使用 Secure Remote Password protocol英语Secure Remote Password protocol 对浏览器进行验证,完整的密码依然不会发送到浏览器之外。

若忘记密码,恢复账户的程序分为两个部分:账户恢复与资料恢复。鉴于Proton并未保管未解密的用户私钥,获得账号的存取权并不等于获得资料的存取权[48],简单来说,你可能可以继续以某个邮箱地址收发信件但无法取回重置前的资料。

  • 要恢复账号,可以借由设置备援邮箱、手机与短句执行。这些材料可以让你取回账号的使用权。
  • 要恢复资料,需要密钥文件或是撤销短句,这可以让你重新存取加密的资料。

这样的设计让Proton可以避免下列问题:

  • 保管用户未加密的资料。
  • 意外泄漏用户未加密的资料。
  • 在法院要求或强制命令下解密邮箱 [49]

Proton Mail完全支持HTTPS,并使用TLS与瞬时密钥交换来加密用户和Proton Mail伺服器之间的所有互联网流量。在2021年10月11日前,他们的4096位RSA SSL证书由QuoVadis Trustlink Schweiz AG签署,并支持扩展验证、证书透明度、[50]公钥插值和严格的传输安全。Proton Mail拥有Qualys SSL实验室的 "A+"评级。[51]在这之后,他们改用了 Let's Encrypt做为他们的证书颁发机构。

2015年9月,Proton Mail在其网页界面和流动应用中增加了对PGP的本地支持。这使得用户可以将他们的Proton Mail PGP编码的公钥输出给Proton Mail之外的其他人,使他们能够使用该密钥进行电邮加密。Proton Mail团队计划支持从Proton Mail向外部用户进行PGP加密。[52]

零存取的一个缺点是, Proton无法借由伺服器帮助用户搜索邮件。作为替代,用户可以在浏览器下载邮件并为其建立索引,然而当信箱大于浏览器所能处理的限制时,用户很难缩小他们的搜索目标,这个问题就会越来越严重。Proton 提供限定日期区间来缩小搜索范围的选项[53],另一个解决方法是使用Proton Mail Bridge下载并解密邮件,并在本地搜索它们[54]

Remove ads

邮件发送

从一个Proton Mail邮件帐户发送到另一个Proton Mail邮件帐户的电邮会自动使用收件人的公钥加密。加密后,只有接收方的私钥才能解密消息。当收件人登录时,他的邮箱密码解密他的私钥并解锁他的收件箱。

从Proton Mail发送到非Proton Mail电邮地址的电邮可以选择以纯文本或端到端加密的方式发送。在加密的情况下,邮件会在用户提供的密码下用AES加密。收件人会收到一个Proton Mail网站的链接,他们可以在上面输入密码并阅读解密后的邮件。Proton Mail假定发件人和收件人已经通过其他管道交换了这个密码。[55] 这种电邮可以被设置为在一段时间后自毁[56]

位置与安全

Proton Mail和ProtonVPN都位于瑞士,以避免来自 "十四眼联盟 "下的国家和/或像美国 "爱国者法案 "这样的政府监控法或法律范围之外的任何监控或资讯要求。

该公司声称,它位于瑞士也是因为其严格的隐私法。[57]

2020-2021年,气候活动家在法国被捕,因为Proton Mail记录并向当局传送了IP地址(应法国警方通过欧洲刑警组织向瑞士联邦司法和警察部提出的要求)。[58][59]

数据中心

Proton Mail拥有并维护自己的伺服器硬件和网络,以避免第三方。它有两个数据中心作为备份,一个在洛桑,另一个在 Attinghausen(位于1000米(3300英尺)的花岗岩下的前K7军事碉堡)。由于伺服器位于瑞士,它们在法律上不属于欧盟、美国和其他国家的管辖范围。根据瑞士法律,所有来自外国的监控请求都必须经过瑞士法院,并受到国际条约的约束。潜在的监控目标会被及时通知,并可以在法庭上对请求提出上诉。

每个数据中心都在网络、邮件和SQL伺服器之间使用负载平衡,使用冗余电源,使用全磁碟加密的硬盘,并独家使用Linux和其他开源软件。2014年12月,ProtonMail加入了RIPE NCC,以努力对周围的互联网基础设施进行更直接的控制[60]

双因素身份验证

Proton Mail目前支持在登录过程中使用TOTP令牌的双因素认证。[61] 截至2019年10月,根据Proton Mail官方部落格,对YubiKey和FIDO物理安全密钥的U2F支持目前正在开发中,并将在v4.0发布后不久推出[62]

账户类型

流行文化

参考资料

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Remove ads