Proton Mail

Proton Mail è un servizio di posta elettronica criptata fondato nell'anno 2013 in Svizzera, presso il centro di ricerca CERN.^[1]

Proton Mail sito web
Logo
URL	proton.me/it/mail
Tipo di sito	Webmail
Lingua	francese, inglese, italiano, nederlandese, polacco, russo, spagnolo, tedesco, turco, ucraino
Registrazione	obbligatoria (tuttavia si può creare una comunicazione criptata con chi non è iscritto)
Scopo di lucro	Sì
Proprietario	Proton
Creato da	Jason Stockman, Andy Yen, Wei Sun, comunità globale
Lancio	16 maggio 2014
Fatturato	Account a pagamento con funzionalità esclusive, donazioni
Stato attuale	Attivo

Storia

Il servizio nasce originariamente con il nome di "ProtonMail" dagli sviluppatori Jason Stockman, Wei Sun e dal ricercatore Andy Yen.^[2]

Proton Mail utilizza la crittografia dal lato client per proteggere il contenuto della posta elettronica ed i dati degli utenti prima di inviarli ai server di Proton Mail (crittografia end-to-end), a differenza dei servizi di posta elettronica più comuni come Gmail, Yahoo! Mail o Outlook.com.^[3]

Si può usufruire del servizio accedendo via World Wide Web oppure con le apposite applicazioni per Android e iOS.^[4]

Proton Mail è gestito da Proton Technologies AG, un'azienda svizzera con sede nel Cantone di Ginevra.^[5] I suoi server si trovano in due località in Svizzera, cioè nel continente europeo, ma al di fuori della giurisdizione degli Stati Uniti e dell'Unione europea.^[6]

Il servizio ha ricevuto finanziamenti iniziali attraverso una campagna di finanziamento collettivo.

Inizialmente solo su invito, è stato aperto al pubblico a marzo del 2016. A partire da gennaio 2017, aveva oltre 2 milioni di utenti.^[7] Il dato aggiornato a due anni dopo (dicembre del 2018) è invece di addirittura 10 milioni di utenti in tutto il mondo.^[8]

L'impostazione predefinita dell'account è gratuita ed il servizio è supportato da servizi a pagamento facoltativi. L'account gratuito (mail, file hosting, calendario) mette a disposizione complessivamente 500 MB di spazio disco gratuito per tutti i servizi.

Con la versione 3.12, ha rafforzato anche la sicurezza del suo contact manager "Proton Contacts" al fine di proteggere ulteriormente i contatti salvati in rubrica dai propri utenti.^[9] La rubrica sicura di Proton Mail permette di salvare i contatti e-mail utilizzando la crittografia e la firma digitale; questo assicura che solo l’utente potrà accedere a tali informazioni, con un netto aumento della protezione contro gli attacchi hacker.^[10]

Inoltre, dal 19 gennaio 2017, i suoi utenti possono già utilizzare il servizio dalla rete TOR (acronimo di The Onion Router) collegandosi a un indirizzo «onion», ossia https://protonirockerxow.onion.^[7][11][12]

Sviluppo

Il 16 maggio 2014, Proton Mail entrò in beta pubblica.^[13] Nel giro di tre giorni, ricevette una risposta schiacciante e fu costretto a sospendere temporaneamente le registrazioni beta mentre lavoravano per espandere la capacità del server.^[14]

Il 31 luglio 2014, ricevette circa 470 000 euro (550 377 dollari statunitensi) da 10 576 donatori attraverso una campagna di finanziamento collettivo su Indiegogo, mentre puntava a circa 85 000 euro (100 000 dollari statunitensi).^[15]

Durante la campagna, PayPal congelò l'account PayPal di Proton Mail, impedendo in tal modo il ritiro di donazioni per un valore di circa 214 000 euro (251 721 dollari statunitensi). PayPal dichiarò che il conto era stato congelato a causa di dubbi sulla legalità della crittografia, dichiarazioni che gli avversari dichiararono infondate.^[16][17] Le restrizioni furono revocate il giorno seguente.^[18]

Il 18 marzo 2015, Proton Mail ricevette inoltre circa 1 700 000 euro (2 milioni di dollari statunitensi) da Charles River Ventures e dalla Fondation Genevoise per l'Innovation Technologique (Fongit).^[19]

Il 13 agosto 2015, rilasciò la versione 2.0, che è stato l'aggiornamento più significativo nella sua storia ed incluse un nuovo codebase per la sua interfaccia web, introducendo miglioramenti significativi delle prestazioni. La sua squadra rilasciò simultaneamente il codice sorgente per l'interfaccia web sotto una licenza open-source.^[20]

Il 17 marzo 2016, Proton Mail rilasciò la versione 3.0 che ha visto il lancio ufficiale di Proton Mail fuori dalla beta.

Applicazione Proton Mail

Con una nuova interfaccia per il client web, la versione 3.0 includeva anche il lancio pubblico delle applicazioni beta iOS e Android. Queste applicazioni sono costruite nativamente per ciascuna rispettiva piattaforma mantenendo i gesti e le azioni familiari a ciascun sistema operativo.^[21] Le applicazioni mobili hanno dimostrato di essere un successo con rapporti di maggiore efficienza e la possibilità di lasciare altri provider di posta elettronica come Gmail a causa dell'usabilità e del set di funzionalità trovato in Proton Mail. Dopo aver ricevuto centinaia di migliaia di scaricamenti nella prima settimana e migliaia di recensioni, le applicazioni mobili di Proton Mail hanno ottenuto il punteggio più alto nell'applicazione e nel Google Play Store.^[22]

Proton Contacts

Il 21 novembre 2017, introdusse "Proton Contacts", un gestore di contatti in crittografia ad accesso zero; i contatti di Proton Mail utilizzano anche le firme digitali per verificare l'integrità dei dati dei contatti.^[23]

Proton Mail Bridge

Il 6 dicembre 2017, lanciò "Proton Mail Bridge", un'applicazione che fornisce la crittografia per posta elettronica end-to-end a qualsiasi client desktop che supporti IMAP e SMTP, come Microsoft Outlook, Mozilla Thunderbird ed Apple Mail per Windows e MacOS.^[24]

Attacchi DDoS nel 2015

Dal 3 al 7 novembre 2015, Proton Mail subì numerosi attacchi DDoS che hanno reso il servizio largamente non disponibile per gli utenti.^[25]

Proton Mail riteneva di essere stato colpito da due attacchi separati, il primo guidato da un gruppo di hacker noto come «Collettivo di Armada» (in inglese Armada Collective) ed il secondo da un gruppo sconosciuto, tecnicamente più avanzato e con abilità simili ad un gruppo sponsorizzato dallo stato.

Il primo attacco fu legato ad un riscatto di 15 Bitcoin (all'epoca, circa 16 000 dollari statunitensi), che Proton Mail alla fine pagò a causa delle pressioni degli ISP e di altre società colpite dall'attacco.

Gli attacchi DDoS, tuttavia, non si fermarono ed invece iniziarono ad assumere maggiore sofisticazione, con tassi superiori a 100 Gbit/s.

La società ricevette un'e-mail dal Collettivo di Armada in cui negarono la responsabilità dell'attacco che era in corso.^{[26][27][28][29]}

Durante l'attacco, la società dichiarò su Twitter che stava cercando un nuovo data center in Svizzera, dicendo che «molti hanno paura a causa della portata dell'attacco contro di noi».

Da allora dichiararono di avere «una soluzione completa a lungo termine che è già in fase di attuazione».^[30]

Blocco a livello nazionale in Bielorussia

Il 15 Novembre 2019, Proton ha confermato che la Bielorussia aveva emesso un blocco nazionale di indirizzi IP Proton Mail e Proton VPN. Il blocco non era più in vigore 4 giorni dopo. Nessuna spiegazione è stata data a ProtonMail per il blocco, né per il blocco che è stato revocato.^[31]

Invio di e-mail

Da Proton Mail a Proton Mail

Un'email inviata ad un altro account Proton Mail viene automaticamente crittografata con la chiave pubblica del destinatario.

Una volta crittografata, solo la chiave privata del destinatario può decrittografare l'e-mail.

Quando il destinatario accede, la sua password della casella di posta decodifica la chiave privata e sblocca la posta in arrivo.

Da Proton Mail a non Proton Mail

I messaggi di posta elettronica ad indirizzi elettronici non Proton Mail possono essere facoltativamente inviati con crittografia dall'inizio alla fine poiché si possono anche inviare semplicemente in formato testo, con il sistema di codifica base64.

Con la crittografia, l'e-mail viene crittografata con AES con una password fornita dall'utente. Il destinatario riceve un collegamento al sito web Proton Mail sul quale è possibile inserire la password e leggere l'e-mail decrittografata. Proton Mail presume che il mittente ed il destinatario abbiano scambiato questa password attraverso un canale posteriore.^[32]

Tali e-mail possono essere impostate per autodistruggersi dopo un periodo di tempo.^[33]

Crittografia

Proton Mail utilizza una combinazione di crittografia a chiave pubblica e protocolli di crittografia simmetrica per offrire una crittografia dall'inizio alla fine.

Quando un utente crea un account, il suo browser genera una coppia di chiavi RSA pubbliche e private: la chiave pubblica viene utilizzata per crittografare i messaggi di posta elettronica ed altri dati; la chiave privata, in grado di decifrare i dati dell'utente, viene simmetricamente crittografata con la password della casella di posta elettronica. Questa crittografia simmetrica avviene nel browser Web dell'utente utilizzando AES-256.

Proton Mail inizialmente offriva agli utenti l'accesso solo con modalità a due password, che richiedeva una password di accesso ed una password della casella di posta. Quella di accesso veniva utilizzata per l'autenticazione; quella della casella di posta elettronica crittografava la casella contenente le e-mail ricevute, i contatti e le informazioni utente, nonché una chiave di crittografia privata. Al momento del login, l'utente doveva fornire obbligatoriamente entrambe le password; questo per accedere all'account, alla casella postale crittografata ed alla sua chiave di crittografia privata; la decrittografia avveniva sul lato client in un browser Web o in una delle applicazioni mobili; la chiave pubblica e la chiave privata crittografata erano entrambe archiviate sui server Proton Mail e pertanto Proton Mail memorizzava le chiavi di decodifica solo nella loro forma crittografata, in modo che gli sviluppatori di Proton Mail non erano in grado di recuperare le e-mail degli utenti né di reimpostare le password delle caselle di posta.^[34]

Attualmente, dopo la registrazione dell'account, viene richiesto di fornire una sola password di accesso per il proprio account e la modalità di accesso con le due password è diventata facoltativa.

Questo sistema assolve Proton Mail da:

• Memorizzare i dati non crittografati o la password della casella di posta.
• Divulgazione dei contenuti delle e-mail precedenti ma non delle e-mail future.
• Decifrare la casella di posta elettronica solo se richiesta o obbligata da un ordine del tribunale.^[35]

Proton Mail supporta esclusivamente HTTPS e utilizza TLS con scambio di chiavi effimero per crittografare tutto il traffico Internet tra utenti e server Proton Mail.

Il loro certificato SSL RSA 4096 bit è firmato da QuoVadis Trustlink Schweiz AG e supporta Extended Validation, Certificate Transparency, Public Key Pinning e Strict Transport Security.^[36]

Proton Mail detiene una valutazione A+ di Qualys SSL Labs.^[37]

A settembre 2015, Proton Mail ha aggiunto il supporto nativo alla loro interfaccia web e app mobile per Pretty Good Privacy (PGP). Ciò consente a un utente di esportare la sua chiave pubblica codificata con Proton Mail PGP ad altri al di fuori di Proton Mail, consentendo loro di utilizzare la chiave per la crittografia della posta elettronica.

Il team di Proton Mail prevede di supportare la crittografia PGP da Proton Mail ad utenti esterni.^[38]

Crittografia a curve ellittiche

Nel marzo del 2018, Proton Mail rilasciò la crittografia a curve ellittiche (in inglese: "elliptic curve cryptography") in OpenPGP, la libreria di crittografia open source che gestisce, consentendo a centinaia di app di sfruttare questa crittografia in fase di introduzione.

Ad agosto, OpenPGP superò un controllo di sicurezza indipendente, aprendo la strada all'implementazione in Proton Mail.

Le curve ellittiche stanno così attualmente sostituendo RSA per la crittografia a chiave pubblica e dal 2019 Proton Mail la sta offrendo per sicurezza avanzata e velocità più elevate, rendendo disponibile questa tecnologia a tutti i suoi utenti ed in tutte le loro applicazioni per Web, dispositivi mobili e desktop.^[39]

Proprietà

Se si dimenticano o si perdono le password di accesso della casella di posta ed in caso di invalidità delle stesse per errore umano o tecnico, si possono ripristinare entrambe ma il proprio account torna alla modalità con una sola password e i messaggi di posta elettronica esistenti e conservati in casella (sia inviati che ricevuti e con i relativi allegati) diventano illeggibili riaccedendo le volte successive. Tuttavia, se si conosce la password della propria casella elettronica crittografata o la si ricorda in un secondo momento, è possibile ripristinare i messaggi salvati seguendo alcune istruzioni.^[40]

Architettura del centro elaborazione dati

Proton Mail mantiene e possiede l'hardware e la rete del server per evitare di fidarsi di terzi.

Sono in mantenimento due ridondanti centri elaborazione dati a Losanna e Attinghausen (nell'ex bunker militare K7 sotto i mille metri di roccia granitica).^[33][41][42] Poiché i centri elaborazione dati si trovano in Svizzera, essi sono legalmente al di fuori della giurisdizione degli Stati Uniti e dell'Unione europea.

Secondo la legge svizzera, tutte le richieste di sorveglianza provenienti da paesi stranieri devono passare attraverso un tribunale svizzero e sono soggette a trattati internazionali. Gli obiettivi di sorveglianza prospettici vengono notificati e possono presentare ricorso in tribunale.

Ogni centro elaborazione dati utilizza il bilanciamento del carico tra server web, posta e linguaggio informatico SQL (structured query language), ridondante power supply, dischi rigidi con crittografia completa del disco ed uso esclusivo sia di Linux che di altri software open source.^[43]

Nel dicembre 2014, Proton Mail ha aderito al RIPE NCC nel tentativo di avere un controllo più diretto sull'infrastruttura Internet circostante.^[44]

Controversie

Nel 2019, la compagnia Proton Mail è stata accusata di aiutare volontariamente le forze dell'ordine a spiare gli utenti ma ha negato le accuse minacciando di intraprendere un'azione legale.^[45][46]

A gennaio del 2020, Proton VPN ha annunciato di aver reso pubblico il codice sorgente della propria Virtual Private Network, facendolo certificare da un ente terzo.^[47][48]

Note

1. ^ About Proton Mail, su Proton. URL consultato l'8 febbraio 2017.
2. ^ Rosita Rijtano, "Zero accesso": c’è ProtonMail. La posta a prova di spia e di NSA, su repubblica.it, 29 maggio 2014. URL consultato il 24 agosto 2022.
3. ^ ProtonMail, l’alternativa a GMail sicura e criptata, su lastampa.it. URL consultato il 15 gennaio 2018 (archiviato dall'url originale il 15 gennaio 2018).
4. ^ Posta elettronica anonima e sicura con ProtonMail, su pcprimipassi.it.
5. ^ (FR) Registre du commerce du Canton de Genève, su ge.ch.
6. ^ (EN) Why Switzerland?, su proton.me.
7. (EN) Fighting Censorship with Proton Mail Encrypted Email Over Tor, su proton.me.
8. ^ (EN) A look back at 2018 and our vision for the future, su proton.me.
9. ^ ProtonMail, dopo la posta elettronica cifra anche i contatti, su wired.it.
10. ^ ProtonMail porta la sua nuova rubrica sicura anche su Android e iOS, su mobileworld.it.
11. ^ ProtonMail si sposta su TOR per garantire più privacy ai suoi utenti, su tecnologia.libero.it.
12. ^ (EN) ProtonMail launches Tor hidden service to dodge totalitarian censorship, su theregister.co.uk.
13. ^ (EN) Proton Mail now in Public Beta!!, su proton.me.
14. ^ (EN) Über-Secure ProtonMail Beta Maxes Out Servers in Just 60 Hours, su infosecurity-magazine.com.
15. ^ (EN) ProtonMail, su indiegogo.com.
16. ^ (EN) ProtonMail hit by PayPal account freeze, su bit-tech.net.
17. ^ (EN) PayPal freezes account of email encryption startup ProtonMail [Update], su dailydot.com.
18. ^ (EN) Paypal Freezes Proton Mail Campaign Funds, su proton.me.
19. ^ (EN) Proton Mail has raised $2M USD to protect online privacy, su proton.me.
20. ^ (EN) Proton Mail goes Open Source with version 2.0, su proton.me.
21. ^ (EN) Announcement: Proton Mail has launched worldwide!, su proton.me.
22. ^ (EN) The Proton Mail Mobile Apps are about to get even better!, su proton.me.
23. ^ (EN) Introducing Proton Contacts – the world’s first encrypted contacts manager, su proton.me.
24. ^ (EN) Introducing Proton Mail Bridge, email encryption for Outlook, Thunderbird, and Apple Mail, su proton.me.
25. ^ (EN) ProtonMail still under attack by DDoS bombardment, su theregister.co.uk, 5 novembre 2015. URL consultato il 29 settembre 2018.
26. ^ (EN) DDOS Update, su protonmaildotcom.wordpress.com.
27. ^ (EN) ProtonMail Statement about the DDOS Attack, su protonmaildotcom.wordpress.com.
28. ^ (EN) Armada Collective blackmails Swiss Hosting Providers, su govcert.admin.ch.
29. ^ (EN) ProtonMail Pays Crooks $6,000 In Bitcoin To Cease DDoS Bombardment, su forbes.com.
30. ^ (EN) We are seeking a datacenter in Switzerland brave enough to host ProtonMail, many are afraid due to the magnitude of the attack against us., su twitter.com.
31. ^ (EN) Is Proton Mail blocked in Belarus?, su Proton Blog, 15 novembre 2019. URL consultato il 30 novembre 2020.
32. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
33. End-to-End Encryption, su proton.me.
34. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
35. ^ (EN) ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service, su thehackernews.com.
36. ^ (EN) SSL Certificate Update, su proton.me.
37. ^ (EN) SSL Report: protonmail.com, su ssllabs.com.
38. ^ (EN) Proton Mail adds Facebook PGP integration, su proton.me.
39. ^ (EN) Proton Mail now offers elliptic curve cryptography for advanced security and faster speeds, su proton.me.
40. ^ (EN) Resetting your password, su proton.me.
41. ^ (EN) Exclusive: Inside the ProtonMail siege: how two small companies fought off one of Europe's largest DDoS attacks, su techrepublic.com.
42. ^ (DE) Im geheimen Datenbunker von Attinghausen, su srf.ch.
43. ^ (EN) Infrastructure Upgrades, su proton.me.
44. ^ (EN) Proton Mail joins Réseaux IP Européens (RIPE NCC), su proton.me.
45. ^ (EN) ProtonMail Accused of Voluntarily Helping Police Spy on Users, su securityweek.com.
46. ^ (EN) Lawyer Accuses ProtonMail of Sharing Information with the Authorities, su technadu.com.
47. ^ La Vpn del Cern diventa open source, su zeusnews.it, 21 gennaio 2020 (archiviato il 22 gennaio 2020).
48. ^ All ProtonVPN apps are now open source and audited, su protonvpn.com, 21 gennaio 2020 (archiviato il 22 gennaio 2020).

Voci correlate

• Account
• Cifrario
• Crittografia
• End-to-end
• Posta elettronica
• Privacy
• Webmail

Altri progetti

Altri progetti

• Wikimedia Commons

•   Wikimedia Commons contiene immagini o altri file su Proton Mail

Collegamenti esterni

• proton.me/it/mail, sito ufficiale in italiano.
• (EN) Sito ufficiale, su proton.me.  
• (EN) Proton Mail, su GitHub.  
• Repository sorgenti di Proton Mail, su github.com.  
• Repository sorgenti di Proton Mail, su github.com.  

  Portale Crittografia

  Portale Sicurezza informatica

  Portale Telecomunicazioni