Топ-100
Indietro

ⓘ ProtonMail. Dal 3 al 7 novembre 2015, ProtonMail subì numerosi attacchi DDoS che hanno reso il servizio largamente non disponibile per gli utenti. ProtonMail ri ..




ProtonMail
                                     

ⓘ ProtonMail

Dal 3 al 7 novembre 2015, ProtonMail subì numerosi attacchi DDoS che hanno reso il servizio largamente non disponibile per gli utenti.

ProtonMail riteneva di essere stato colpito da due attacchi separati, il primo guidato da un gruppo di hacker noto come "Collettivo di Armada" in inglese Armada Collective ed il secondo da un gruppo sconosciuto, tecnicamente più avanzato e con abilità simili ad un gruppo sponsorizzato dallo stato.

Il primo attacco fu legato ad un riscatto di 15 Bitcoin circa 16 000 dollari statunitensi che ProtonMail alla fine pagò a causa delle pressioni degli ISP e di altre società colpite dallattacco.

Gli attacchi DDoS, tuttavia, non si fermarono ed invece iniziarono ad assumere maggiore sofisticazione, con tassi superiori a 100 Gbit/s.

La società ricevette une-mail dal Collettivo di Armada in cui negarono la responsabilità dellattacco che era in corso.

Durante lattacco, la società dichiarò su Twitter che stava cercando un nuovo data center in Svizzera, dicendo che "molti hanno paura a causa della portata dellattacco contro di noi".

Da allora dichiararono di avere "una soluzione completa a lungo termine che è già in fase di attuazione".

                                     

1.1. Invio di e-mail Da ProtonMail a ProtonMail

Unemail inviata ad un altro account ProtonMail viene automaticamente crittografata con la chiave pubblica del destinatario.

Una volta crittografata, solo la chiave privata del destinatario può decrittografare le-mail.

Quando il destinatario accede, la sua password della casella di posta decodifica la chiave privata e sblocca la posta in arrivo.

                                     

1.2. Invio di e-mail Da ProtonMail a non ProtonMail

I messaggi di posta elettronica ad indirizzi elettronici non ProtonMail possono essere facoltativamente inviati con crittografia dallinizio alla fine poiché si possono anche inviare semplicemente in formato testo, con il sistema di codifica base64.

Con la crittografia, le-mail viene crittografata con AES con una password fornita dallutente. Il destinatario riceve un collegamento al sito web ProtonMail sul quale è possibile inserire la password e leggere le-mail decrittografata. ProtonMail presume che il mittente ed il destinatario abbiano scambiato questa password attraverso un canale posteriore.

Tali e-mail possono essere impostate per autodistruggersi dopo un periodo di tempo.

                                     

2. Crittografia

ProtonMail utilizza una combinazione di crittografia a chiave pubblica e protocolli di crittografia simmetrica per offrire una crittografia dallinizio alla fine.

Quando un utente crea un account, il suo browser genera una coppia di chiavi RSA pubbliche e private: la chiave pubblica viene utilizzata per crittografare i messaggi di posta elettronica ed altri dati; la chiave privata, in grado di decifrare i dati dellutente, viene simmetricamente crittografata con la password della casella di posta elettronica.

Questa crittografia simmetrica avviene nel browser Web dellutente utilizzando AES-256.

ProtonMail inizialmente offriva agli utenti laccesso solo con password in due modalità che richiedeva una password di accesso ed una password della casella di posta. Quella di accesso veniva utilizzata per lautenticazione; quella della casella di posta elettronica crittografava la casella contenente le e-mail ricevute, i contatti le informazioni utente, nonché una chiave di crittografia privata. Al momento del login, lutente doveva fornire obbligatoriamente entrambe le password; questo per accedere allaccount, alla casella postale crittografata ed alla sua chiave di crittografia privata; la decrittografia avveniva sul lato client in un browser Web o in una delle applicazioni mobili; la chiave pubblica e la chiave privata crittografata erano entrambe archiviate sui server ProtonMail e pertanto ProtonMail memorizzava le chiavi di decodifica solo nella loro forma crittografata, in modo che gli sviluppatori di ProtonMail non erano in grado di recuperare le e-mail degli utenti né di reimpostare le password delle caselle di posta.

Attualmente, dopo la registrazione dellaccount, viene richiesto di fornire una sola password di accesso per il proprio account e la modalità di accesso con le due password è diventata facoltativa.

Questo sistema assolve ProtonMail da:

  • Decifrare la casella di posta elettronica solo se richiesta o obbligata da un ordine del tribunale.
  • Divulgazione dei contenuti delle e-mail precedenti ma non delle e-mail future.
  • Memorizzare i dati non crittografati o la password della casella di posta.

ProtonMail supporta esclusivamente HTTPS e utilizza TLS con scambio di chiavi effimero per crittografare tutto il traffico Internet tra utenti e server ProtonMail.

Il loro certificato SSL RSA 4096 bit è firmato da QuoVadis Trustlink Schweiz AG e supporta Extended Validation, Certificate Transparency, Public Key Pinning e Strict Transport Security.

Protonmail.com detiene una valutazione A+ di Qualys SSL Labs.

A settembre 2015, ProtonMail ha aggiunto il supporto nativo alla loro interfaccia web e app mobile per Pretty Good Privacy PGP.

Ciò consente a un utente di esportare la sua chiave pubblica codificata con ProtonMail PGP ad altri al di fuori di ProtonMail, consentendo loro di utilizzare la chiave per la crittografia della posta elettronica.

Il team di ProtonMail prevede di supportare la crittografia PGP da ProtonMail ad utenti esterni.



                                     

2.1. Crittografia Crittografia a curve ellittiche

Nel marzo del 2018 ProtonMail rilasciò la crittografia a curve ellittiche in inglese: "elliptic curve cryptography" in OpenPGP, la libreria di crittografia open source che gestisce, consentendo a centinaia di app di sfruttare questa crittografia in fase di introduzione.

Ad agosto OpenPGP superò un controllo di sicurezza indipendente, aprendo la strada allimplementazione in ProtonMail.

Le curve ellittiche stanno così attualmente sostituendo RSA per la crittografia a chiave pubblica e dal 2019 ProtonMail la sta offrendo per sicurezza avanzata e velocità più elevate, rendendo disponibile questa tecnologia a tutti i suoi utenti ed in tutte le loro applicazioni per Web, dispositivi mobili e desktop.

                                     

3. Proprietà

Se si dimenticano o si perdono le passwords di accesso della casella di posta ed in caso di invalidità delle stesse per errore umano o tecnico, si possono ripristinare entrambe ma il proprio account torna alla modalità con una sola password e purtroppo i messaggi di posta elettronica esistenti e conservati in casella sia inviati che ricevuti e con i relativi allegati diventano illeggibili riaccedendo le volte successive. Tuttavia, se si conosce la password della propria casella elettronica crittografata o la si ricorda in un secondo momento, è possibile ripristinare i messaggi salvati seguendo alcune istruzioni.

                                     

4. Architettura del centro elaborazione dati

ProtonMail mantiene e possiede lhardware e la rete del server per evitare di fidarsi di terzi.

Sono in mantenimento due ridondanti centri elaborazione dati a Losanna e Attinghausen nellex bunker militare K7 sotto i mille metri di roccia granitica. Poiché i centri elaborazione dati si trovano in Svizzera, essi sono legalmente al di fuori della giurisdizione degli Stati Uniti e dellUnione europea.

Secondo la legge svizzera tutte le richieste di sorveglianza provenienti da paesi stranieri devono passare attraverso un tribunale svizzero e sono soggette a trattati internazionali. Gli obiettivi di sorveglianza prospettici vengono notificati e possono presentare ricorso in tribunale.

Ogni centro elaborazione dati utilizza il bilanciamento del carico tra server web, posta e linguaggio informatico SQL structured query language, ridondante power supply, dischi rigidi con crittografia completa del disco ed uso esclusivo sia di Linux che di altri software open source.

Nel dicembre 2014 ProtonMail ha aderito al RIPE NCC nel tentativo di avere un controllo più diretto sullinfrastruttura Internet circostante.



                                     

5. Controversie

Nel 2019 la compagnia ProtonMail è stata accusata di aiutare volontariamente le forze dellordine a spiare gli utenti ma ha negato le accuse minacciando di intraprendere unazione legale.

A gennaio del 2020, ProtonVPN ha annunciato di aver reso pubblico il codice sorgente della propria Virtual Private Network, facendolo certificare da un ente terzo.