為什麼這篇protonmail安全鄉民發文收入到精華區:因為在protonmail安全這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者ggg12345 (ggg)看板Soft_Job標題[情報] [轉]ProtonMail:唯一安...
http://big5.soundofhope.org/node/480994
ProtonMail:唯一安全的電子郵件系統
北京時間: 2014-05-28 09:49:35
去年有關美國國家安全局(NSA)的監視醜聞傳出後,在位於瑞士的粒子物理實驗室
歐洲核子研究中心(CERN)引起了轟動。博士研究生安迪·嚴(Andy Yen,音譯)在
Facebook群「Young at CERN」上發了這樣一則消息:「我非常擔憂隱私問題,並且想知
道對此我能做些什麼。」
結果一石激起千層浪,在積极參与討論的大約40人當中,有6人開始在CERN的1號餐廳會面
,將他們在計算機科學和物理學領域的深厚知識匯聚起來,創立了一個類似於谷歌郵箱
Gmail的電子郵件系統ProtonMail,該系統利用端到端加密法,使得外界不可能對其
進行監控。
實際上,自從20世紀80年代以來,加密型電子郵件就一直存在了,但它們都非常難以使用
。安迪說,當愛德華·斯諾登(Edward Snowden)囑咐一名記者用一個端到端加密的電子
郵件系統採訪關於NSA監視計劃的詳細情況時,這名記者無法使用該系統。
「我們在數據傳到伺服器之前,就在瀏覽器上對數據進行加密,」他解釋說,「當數據傳
到伺服器上時,它已經加密了。因此如果有人來找我們表示想看看某個人的電子郵件』,
我們只能說,加密數據倒是有,但是很抱歉,由於沒有加密密鑰,因此無法向你提供。」
「大致說來,我們把加密信息與密鑰分離開來所有加密過程都在你的電腦上進行,而
不是在我們的伺服器上,所以我們沒有辦法看到原始信息。」
安迪說表示,這便是與其他所有電子郵件系統都不同的地方。雖然Gmail已經實施了一些
加密,但他們仍然握有加密信息以及解密的密鑰。
雖然ProtonMail開發團隊的半數成員目前都在麻省理工學院,也有一些成員仍然身在瑞士
,ProtonMail的伺服器存放在瑞士,以便加強保險係數。安迪說:「我們要做的關鍵事情
之一就是控制我們的伺服器,並且確保所有的伺服器都設在瑞士,這樣將增強對隱私的保
護,因為瑞士不會做出像沒收伺服器或者竊錄他人的談話的事情來。」安迪說,這將有助
於避免面臨美國政府強制關停的情況去年加密電子郵件服務網站Lavabit就遭遇過類
似的情況。
安迪已經拒絕了想要投資ProtonMail的幾家風投公司。他說:「我們必須自籌資金,這是
因為如果接受了谷歌風投基金(Google Ventures)等風投機構的資金的話,那麼我們的
可信度就沒有了。由於身處這一市場,我們必須自籌資金。」他進一步說,他們正在考慮
下個月啟動一輪眾籌融資。
ProtonMail的營收模式類似於雲儲存服務商Dropbox只對額外的存儲空間收費。
安迪說:「我們的動機之一是維護人權。從言論自由的角度來講,擁有隱私權是非常重要
的。」
付費賬戶的收費標準是每月5美元,並提供1GB的存儲空間。安迪表示,他們將接受比特幣
,甚至現金支付,以便讓用戶能夠保持匿名狀態。
最近,他們進行了一次系統更新,以便支持中文。安迪說,他們並沒有為ProtonMail做廣
告,而是通過Twitter使得一位曾經參與言論自由運動的博客作者聽說了這項服務。
ProtonMail還可以替代如Gmail等免費服務,那些服務採取的是基於廣告的營收模式,會
主動掃描你的電子郵件,以便在線投放相關廣告。
安迪說:「用戶是被迫信任谷歌的。實際上這表明谷歌並非真的值得信賴。谷歌通過掃描
你的電子郵件,然後向你投放與郵件內容相關的廣告,以此賺取利潤;他們的部分核心結
構,就是讓Gmail能夠閱讀你的電子郵件,並且使用你的數據。」
ProtonMail開發團隊的大部分成員把自己一半的時間都用在這個項目上。安迪表示:「我
們都是CERN或麻省理工學院的科學工作者,所以我們都在進行計算機科學、數學、物理學
領域的研究工作,而這些工作實際上與我們在安全電子郵件方面的開發工作密切相關。加
密非常需要數學才能,所以我們有四名擁有博士學位的物理學家在做這方面的工作。」
ProtonMail剛剛在全球範圍內推出了一個內測版,目前正在開發一款安卓或iPhone應用,
這款應用預計在今年夏季結束時可以推出。安迪說,需求遠遠高於預期。
他還說:「我們目前的用戶人數已經接近20,000人,而且不得不暫時關閉用戶註冊功能,
同時我們會添加更多伺服器。我們沒有料到每天的用戶人數會達到10,000人這超出了
我們最樂觀的預期,所以我們正在忙於支持更多的用戶。」
來源:福布斯中文網
責任編輯:尹心荷
推 luciferii:這個系統的重點不在技術面,仍然在「信任誰」問題上打轉 06/19 18:14
===========加密信息與密鑰分離開來所有加密過程都在你的電腦上進行,而
不是在我們的伺服器上,所以我們沒有辦法看到原始信息
假如 ProtonMail 用 PGP, 發信的 browser 需取得收信人的加密用公鑰,
所以 server 或有一個 key server 要儲存並提供每個收信人的加密用公
鑰以供查詢, 而加密用公鑰與看信人解密的私鑰是一對的. 每個收信人是
自己造一對, 或由系統產生都會是與加解密算法相關, 產生這對公私金鑰
的程式就會變成關鍵的地方.
假設解密也是在取信的 browser 上做, 這個取信解密程式就會知道解密的
金鑰, 就可能可以被做文章.
推 abcdefghi:只要有"人"可以解開mail,就有機會產生漏洞....尤其只有 06/20 20:36
→ abcdefghi:一個人才能解開mail,那這個人只要游到對岸,整串mail都沒 06/20 20:37
→ abcdefghi:救,所有的資安,最後都是在人的身上,看你想信任誰而已. 06/20 20:37
→ abcdefghi:現在就是不信任政府和承包商啊....一堆政客拚命投資對岸 06/20 20:38
秘密通信的雙方如果用事先雙方約定好的金鑰及演算法, 約定好辨識對方信物方式,
是沒有這類 "只有一個人才能解開"出賣的問題, 因為你要安全隱密的"雙方通信"前
提下, 接收方就必須要能解讀, 解讀方出賣送方的加密內容那是無關秘密通信的問
題. 防止被竊聽破解才是秘密通信的問題.
與秘密通信矛頓的是"合法監聽", 這個監聽的前提是犯罪嫌疑者的通信偵防. 這個
合法監聽是在憲法對人民有秘密通信自由的保障下的執行. 提供通信通道的服務第
三方就會受到提供合法監聽的要求.
加解密金鑰的製造與演算工具的供應, 若是有供應的第三方, 這第三方自然會受到
合法監聽的要求無法拒絕提供. 即使是通信雙方自行自製的金鑰與算法, 碰到法令
搜索票的搜索, 若是有形物必然會被強制取得.
做為軟體的服務, 那就是提供工具, 不同的金鑰製作, 不同的加解密演算法都是工
具.
政府部門的資訊公開, 其矛頓處就是個資不得洩密, 國安情報更是如此. 這種系統
不是全面隱蔽的, 但也不是全然公開的.
→ abcdefghi:一堆廠商為了costdown也跑去對岸,寧願信任美國人,也不願 06/20 20:40
→ abcdefghi:意信任這個政府. 06/20 20:41
→ abcdefghi:對台灣政/商很有信心的,這次香港事件,有本事應付嗎?真的 06/20 20:42
→ abcdefghi:夠強,就不要找美國人來幫忙查啊,自己站出來處理. 06/20 20:43
一個信奉亞當史密斯, 資本主義背後有一隻看不見的手的國家, 其民眾就是只求自
己的最大利益, costdown 也是追求自己的最大利益, 要信那一個就是甘願被騙得
澈底, 那也是個人的選擇.
※ 編輯: ggg12345 (114.43.224.111), 06/21/2014 09:25:33