Безопасная почта
В наивных поисках защищенной и главное анонимной электронной почты я наткнулся на ProtonMail. Видел тут пару постов (например этот ProtonMail начали блокировать в России) о том что товарищ майор не очень доволен этой почтой, а по тому и решил её блокировать. А что противно ненаглядному майору то полезно для террористов пользователей.Запустив Tails и Tor Browser таки зашел на сайт ProtonMail.
Безопасная почта
из Швейцарии
ехидно приветствует меня надпись.
Анонимная почта - для создания учётной записи личная информация не требуется. По умолчанию мы не храним журналов IP, которые могут быть связаны с вашей анонимной учётной записью. Ваша конфиденциальность для нас на первом месте.
Жму Sing Up, выбираю бесплатный тариф, далее ввожу логин и пароль >> Create Account. пожалуйста подтвердите что вы человек. Наайс sms или донат с пайпала или кредитки. Я бы конечно хотел бы поддержать ProtonMail, но где bitcoin? пайпал и кредитки по дефолту тебя деанонят так что сразу отбрасываем этот вариант. Далее смс - там написано что они хранят только хэш для борьбы со спамом. Даже если допустить что они хранят только хэш, то это все равно не безопасно. Берем хэш от телефонного номера, как правило, телефонный номер состоит из [код страны] + 10 цифр. Допустим что они хранят хэш SHA512. Берем количество цифр телефона - X, возводим в степень количества значений одного X(от 0 до 9 и того 10:)) - Y и умножаем на количество кодов стран s (Их около 197, но как вы заметите в дальнейшем не столь важно.) И того получим КОЛИЧЕСТВО НОМЕРОВ = X^Y*s или 10^10*197= 197 0 000 000 000. Далее подбираем хэш с помощью hashcat. Допустим у меня 1060, скорость подбора SHA512 взял тут - это 552.3 MH/s. 552 MH/s = 552 000 000 хэшей в секунду. Делим кол-во номеров на скорость и получится что мой номер узнают за 1 час на gtx 1060! В чем я ошибся? Даже если я и ошибся где-то, подбор даже 12-ти значного числа не составит проблем для более мощного оборудования, которое у товарища майора наверняка есть. Я не зря обратил ваше внимание на телефонный номер. Это ПРЯМАЯ ПОПЫТКА ОБМАНА. Не лучший дебют, но продолжим. «По умолчанию мы не храним журналов IP» - написано на главной странице, однако это быстро опроверглось когда я пару раз сменил конечный ip. И что я вижу? 2 новых варианта CAPCHA и e-mail. Единственная более-менее анонимная (но не факт что безопасная) электронная почта которую я знаю это Temp-mail - но она временная. Пофиг - решил подтвердить что двуногий с помощью temp-mail. «Error Email verification temporarily disabled for this email domain. Please try another verification method» - ладно меняем домен почты... Не помогло! Я несколько раз менял ip, менял логины и домены - всеравно верификацию через сервис temp-mail не пройти. Мне mail.ru (прости господи) чтоли использовать?Они специально заблокировали temp-mail? Ну и напоследок - CAPCHA.Святой Михаил! Это что, новый тонкий метод троллинга? Капча от чутли не главного зондостроителя - от Google. А гугл капча анонимуса не любит(и лор похоже тоже, раз её ввел). Потыкав несколько раз на дымовые трубы, пешеходны переходы, светофоры и даже витрины, протон майл мне написал что моя капча инвалид (invalid capcha). Я еще несколько раз менял ip и спустя час доказательств что я человек все-таки зарегался на этой почте. Насколько мне известно код для расшифровки выдается сервером, а если учесть все попытки деанонимизации на этапе регистрации, мне что-то не очень хочется ей доверять, плюс стоит учесть если я буду использовать её для не анонимной (без tor и т.д) регистрации на другом сайте моя анонимность может встать под вопросом. Она и так под вопросом, т.к используя Tor есть риск деанонимизации.Но если не тор, то что? ProtonVPN? KaperskyVPN? Из плюсов этой почты хочу отметить что там можно логинится через .onion сайт, это повысит анонимность.Ну а то что сообщения шифруются это тоже хорошо. Подведу итоги:
- Попытка обмана пользователя при регистрации (я про смс).
- Попытка деанонимизации пользователя при регистрации (SMS+donate+email(хотя при желании можно все-таки найти анонимный email.Rambler mail по крайней мере позволяет регатся через тор.))
- Google-CAPCHA - уж им то наверняка известно что капча tor не любит
- ip все-таки хранит - иначе как еще объяснить что при смене ip в торе, появляется капча и mail?
- Раcшифровка - код выдает сервер ProtonMail, а smtp платно :( А платно = деанон :(
Подводя итоги я хочу сказать что в швейцарскую конфиденциальность я не верю (всетаки не стоит забыват что сейчас идет отрицательный искуственный отбор).А насчет хешей мало чего известно, может там алгоритм более затратный? Не важно, сам факт того что они просят телефончик не увеличивает доверия к ProtonMail. Однако это лучше чем другие ящики которые я знаю, кроме @Mail.ru и Яндекса конечно же. Знаете ли вы другие почтовые сервисы которые:
- анонимные - главный критерий в основном это беспрепятственная регистрация с тора и не обязательный ввод телефона.
- Шифруют сообщения.
- Можно использовать - SMTP/POP3/IMAP беслатно.
А сам ProtonMail норм?