Apri il menu principale
ProtonMail
sito web
Logo
URL
Tipo di sitoWebmail
Linguafrancese, inglese, italiano, nederlandese, polacco, russo, spagnolo, tedesco, turco, ucraino
Registrazioneobbligatoria (tuttavia si può creare una comunicazione crittata con chi non è iscritto)
Commerciale
ProprietarioProton Technologies AG
Creato daJason Stockman, Andy Yen, Wei Sun, comunità globale
Lancio16 maggio 2014
FatturatoAccount a pagamento con funzionalità esclusive, donazioni
Stato attualeAttivo

ProtonMail è un servizio di posta elettronica criptata fondato nell'anno 2013 in Svizzera, presso il centro di ricerca CERN.[1]

StoriaModifica

Ideato da Jason Stockman, Andy Yen e Wei Sun.

ProtonMail utilizza la crittografia dal lato client per proteggere il contenuto della posta elettronica ed i dati degli utenti prima di inviarli ai server di ProtonMail, a differenza dei servizi di posta elettronica più comuni come Gmail, Yahoo! Mail o Outlook.com.[2]

Si può usufruire del servizio accedendo via World Wide Web oppure con le apposite applicazioni per Android e iOS.[3]

ProtonMail è gestito da Proton Technologies AG, un'azienda svizzera con sede nel Cantone di Ginevra.[4] I suoi servers si trovano in due località in Svizzera, cioè in territorio europeo ma al di fuori della giurisdizione degli Stati Uniti e dell'Unione europea.[5]

Il servizio ha ricevuto finanziamenti iniziali attraverso una campagna di finanziamento collettivo.

Inizialmente solo su invito, è stato aperto al pubblico a marzo del 2016. A partire da gennaio 2017 aveva oltre 2 milioni di utenti.[6] Il dato aggiornato a due anni dopo (dicembre del 2018) è invece di addirittura 10 milioni di utenti in tutto il mondo.[7]

L'impostazione predefinita dell'account è gratuita ed il servizio è supportato da servizi a pagamento facoltativi.

Con la versione 3.12 ha rafforzato anche la sicurezza del suo contact manager "ProtonMail Contacts" al fine di proteggere ulteriormente i contatti salvati in rubrica dai propri utenti.[8] La rubrica sicura di ProtonMail permette di salvare i contatti e-mail utilizzando la crittografia e la firma digitale; questo assicura che solo l’utente potrà accedere a tali informazioni, con un netto aumento della protezione contro gli attacchi hacker.[9]

Inoltre, dal 19 gennaio 2017, i suoi utenti possono già utilizzare il servizio dalla rete TOR (acronimo di The Onion Router) collegandosi a un indirizzo «onion», ossia https://protonirockerxow.onion.[10][6][11]

SviluppoModifica

Il 16 maggio 2014, ProtonMail entrò in beta pubblica.[12] Nel giro di tre giorni, ricevette una risposta schiacciante e fu costretto a sospendere temporaneamente le registrazioni beta mentre lavoravano per espandere la capacità del server.[13]

Il 31 luglio 2014 ricevette circa 470 000 euro (550 377 dollari statunitensi) da 10 576 donatori attraverso una campagna di finanziamento collettivo su Indiegogo, mentre puntava a circa 85 000 euro (100 000 dollari statunitensi).[14]

Durante la campagna, PayPal congelò l'account PayPal di ProtonMail, impedendo in tal modo il ritiro di donazioni per un valore di circa 214 000 euro (251 721 dollari statunitensi). PayPal dichiarò che il conto era stato congelato a causa di dubbi sulla legalità della crittografia, dichiarazioni che gli avversari dichiararono infondate.[15][16] Le restrizioni furono revocate il giorno seguente.[17]

Il 18 marzo 2015, ProtonMail ricevette inoltre circa 1 700 000 euro (2 milioni di dollari statunitensi) da Charles River Ventures e dalla Fondation Genevoise per l'Innovation Technologique (Fongit).[18]

Il 13 agosto 2015 rilasciò la versione 2.0, che è stato l'aggiornamento più significativo nella sua storia ed incluse un nuovo codebase per la sua interfaccia web, introducendo miglioramenti significativi delle prestazioni. La sua squadra rilasciò simultaneamente il codice sorgente per l'interfaccia web sotto una licenza open-source.[19]

Il 17 marzo 2016 ProtonMail rilasciò la versione 3.0 che ha visto il lancio ufficiale di ProtonMail fuori dalla beta.

Applicazione ProtonMailModifica

Con una nuova interfaccia per il client web, la versione 3.0 includeva anche il lancio pubblico delle applicazioni beta iOS e Android. Queste applicazioni sono costruite nativamente per ciascuna rispettiva piattaforma mantenendo i gesti e le azioni familiari a ciascun sistema operativo.[20] Le applicazioni mobili hanno dimostrato di essere un successo con rapporti di maggiore efficienza e la possibilità di lasciare altri provider di posta elettronica come Gmail a causa dell'usabilità e del set di funzionalità trovato in ProtonMail. Dopo aver ricevuto centinaia di migliaia di scaricamenti nella prima settimana e migliaia di recensioni, le applicazioni mobili di ProtonMail hanno ottenuto il punteggio più alto nell'applicazione e nel Google Play Store.[21]

ProtonMail ContactsModifica

Il 21 novembre 2017 introdusse "ProtonMail Contacts", un gestore di contatti in crittografia ad accesso zero; i contatti di ProtonMail utilizzano anche le firme digitali per verificare l'integrità dei dati dei contatti.[22]

ProtonMail BridgeModifica

Il 6 dicembre 2017 lanciò "ProtonMail Bridge", un'applicazione che fornisce la crittografia per posta elettronica end-to-end a qualsiasi client desktop che supporti IMAP e SMTP, come Microsoft Outlook, Mozilla Thunderbird ed Apple Mail per Windows e MacOS.[23]

Attacchi DDoS nel 2015Modifica

Dal 3 al 7 novembre 2015, ProtonMail subì numerosi attacchi DDoS che hanno reso il servizio largamente non disponibile per gli utenti.[24]

ProtonMail riteneva di essere stato colpito da due attacchi separati, il primo guidato da un gruppo di hacker noto come «Collettivo di Armada» (in inglese Armada Collective) ed il secondo da un gruppo sconosciuto, tecnicamente più avanzato e con abilità simili ad un gruppo sponsorizzato dallo stato.

Il primo attacco fu legato ad un riscatto di 15 Bitcoin (circa 16 000 dollari statunitensi) che ProtonMail alla fine pagò a causa delle pressioni degli ISP e di altre società colpite dall'attacco.

Gli attacchi DDoS, tuttavia, non si fermarono ed invece iniziarono ad assumere maggiore sofisticazione, con tassi superiori a 100 Gbit/s.

La società ricevette un'e-mail dal Collettivo di Armada in cui negarono la responsabilità dell'attacco che era in corso.[25][26][27][28]

Durante l'attacco, la società dichiarò su Twitter che stava cercando un nuovo data center in Svizzera, dicendo che «molti hanno paura a causa della portata dell'attacco contro di noi».

Da allora dichiararono di avere «una soluzione completa a lungo termine che è già in fase di attuazione».[29]

Invio di e-mailModifica

Da ProtonMail a ProtonMailModifica

Un'email inviata ad un altro account ProtonMail viene automaticamente crittografata con la chiave pubblica del destinatario.

Una volta crittografata, solo la chiave privata del destinatario può decrittografare l'e-mail.

Quando il destinatario accede, la sua password della casella di posta decodifica la chiave privata e sblocca la posta in arrivo.

Da ProtonMail a non ProtonMailModifica

I messaggi di posta elettronica ad indirizzi elettronici non ProtonMail possono essere facoltativamente inviati con crittografia dall'inizio alla fine poiché si possono anche inviare semplicemente in formato testo, con il sistema di codifica base64.

Con la crittografia, l'e-mail viene crittografata con AES con una password fornita dall'utente. Il destinatario riceve un collegamento al sito web ProtonMail sul quale è possibile inserire la password e leggere l'e-mail decrittografata. ProtonMail presume che il mittente ed il destinatario abbiano scambiato questa password attraverso un canale posteriore.[30]

Tali e-mail possono essere impostate per autodistruggersi dopo un periodo di tempo.[31]

CrittografiaModifica

ProtonMail utilizza una combinazione di crittografia a chiave pubblica e protocolli di crittografia simmetrica per offrire una crittografia dall'inizio alla fine.

Quando un utente crea un account, il suo browser genera una coppia di chiavi RSA pubbliche e private: la chiave pubblica viene utilizzata per crittografare i messaggi di posta elettronica ed altri dati; la chiave privata, in grado di decifrare i dati dell'utente, viene simmetricamente crittografata con la password della casella di posta elettronica.

Questa crittografia simmetrica avviene nel browser Web dell'utente utilizzando AES-256.

ProtonMail inizialmente offriva agli utenti l'accesso solo con password in due modalità che richiedeva una password di accesso ed una password della casella di posta. Quella di accesso veniva utilizzata per l'autenticazione; quella della casella di posta elettronica crittografava la casella contenente le e-mail ricevute, i contatti e le informazioni utente, nonché una chiave di crittografia privata. Al momento del login, l'utente doveva fornire obbligatoriamente entrambe le password; questo per accedere all'account, alla casella postale crittografata ed alla sua chiave di crittografia privata; la decrittografia avveniva sul lato client in un browser Web o in una delle applicazioni mobili; la chiave pubblica e la chiave privata crittografata erano entrambe archiviate sui server ProtonMail e pertanto ProtonMail memorizzava le chiavi di decodifica solo nella loro forma crittografata, in modo che gli sviluppatori di ProtonMail non erano in grado di recuperare le e-mail degli utenti né di reimpostare le password delle caselle di posta.[32]

Attualmente, dopo la registrazione dell'account, viene richiesto di fornire una sola password di accesso per il proprio account e la modalità di accesso con le due password è diventata facoltativa.

Questo sistema assolve ProtonMail da:

  • Memorizzare i dati non crittografati o la password della casella di posta.
  • Divulgazione dei contenuti delle e-mail precedenti ma non delle e-mail future.
  • Decifrare la casella di posta elettronica solo se richiesta o obbligata da un ordine del tribunale.[33]

ProtonMail supporta esclusivamente HTTPS e utilizza TLS con scambio di chiavi effimero per crittografare tutto il traffico Internet tra utenti e server ProtonMail.

Il loro certificato SSL RSA 4096 bit è firmato da QuoVadis Trustlink Schweiz AG e supporta Extended Validation, Certificate Transparency, Public Key Pinning e Strict Transport Security.[34]

Protonmail.com detiene una valutazione A+ di Qualys SSL Labs.[35]

A settembre 2015, ProtonMail ha aggiunto il supporto nativo alla loro interfaccia web e app mobile per Pretty Good Privacy (PGP).

Ciò consente a un utente di esportare la sua chiave pubblica codificata con ProtonMail PGP ad altri al di fuori di ProtonMail, consentendo loro di utilizzare la chiave per la crittografia della posta elettronica.

Il team di ProtonMail prevede di supportare la crittografia PGP da ProtonMail ad utenti esterni.[36]

Crittografia a curve ellitticheModifica

Nel marzo del 2018 ProtonMail rilasciò la crittografia a curve ellittiche (in inglese: " elliptic curve cryptography") in OpenPGP, la libreria di crittografia open source che gestisce, consentendo a centinaia di app di sfruttare questa crittografia in fase di introduzione.

Ad agosto OpenPGP superò un controllo di sicurezza indipendente, aprendo la strada all'implementazione in ProtonMail.

Le curve ellittiche stanno così attualmente sostituendo RSA per la crittografia a chiave pubblica e dal 2019 ProtonMail la sta offrendo per sicurezza avanzata e velocità più elevate, rendendo disponibile questa tecnologia a tutti i suoi utenti ed in tutte le loro applicazioni per Web, dispositivi mobili e desktop.[37]

ProprietàModifica

Se si dimenticano o si perdono le passwords di accesso della casella di posta ed in caso di invalidità delle stesse per errore umano o tecnico, si possono ripristinare entrambe ma il proprio account torna alla modalità con una sola password e purtroppo i messaggi di posta elettronica esistenti e conservati in casella (sia inviati che ricevuti e con i relativi allegati) diventano illeggibili riaccedendo le volte successive. Tuttavia, se si conosce la password della propria casella elettronica crittografata o la si ricorda in un secondo momento, è possibile ripristinare i messaggi salvati seguendo alcune istruzioni.[38]

Architettura del centro elaborazione datiModifica

ProtonMail mantiene e possiede l'hardware e la rete del server per evitare di fidarsi di terzi.

Sono in mantenimento due ridondanti centri elaborazione dati a Losanna e Attinghausen (nell'ex bunker militare K7 sotto i mille metri di roccia granitica).[39][40][41] Poiché i centri elaborazione dati si trovano in Svizzera, essi sono legalmente al di fuori della giurisdizione degli Stati Uniti e dell'Unione europea.

Secondo la legge svizzera tutte le richieste di sorveglianza provenienti da paesi stranieri devono passare attraverso un tribunale svizzero e sono soggette a trattati internazionali. Gli obiettivi di sorveglianza prospettici vengono notificati e possono presentare ricorso in tribunale.

Ogni centro elaborazione dati utilizza il bilanciamento del carico tra server web, posta e linguaggio informatico SQL (structured query language), ridondante power supply, dischi rigidi con crittografia completa del disco ed uso esclusivo sia di Linux che di altri software open source.[42]

Nel dicembre 2014 ProtonMail ha aderito al RIPE NCC nel tentativo di avere un controllo più diretto sull'infrastruttura Internet circostante.[43]

NoteModifica

  1. ^ About ProtonMail, su ProtonMail. URL consultato l'8 febbraio 2017.
  2. ^ ProtonMail, l’alternativa a GMail sicura e criptata, su lastampa.it.
  3. ^ Posta elettronica anonima e sicura con ProtonMail, su pcprimipassi.it.
  4. ^ (FR) Registre du commerce du Canton de Genève, su ge.ch.
  5. ^ (EN) Why Switzerland?, su protonmail.com.
  6. ^ a b (EN) Fighting Censorship with ProtonMail Encrypted Email Over Tor, su protonmail.com.
  7. ^ (EN) A look back at 2018 and our vision for the future, su protonmail.com.
  8. ^ ProtonMail, dopo la posta elettronica cifra anche i contatti, su wired.it.
  9. ^ ProtonMail porta la sua nuova rubrica sicura anche su Android e iOS, su mobileworld.it.
  10. ^ ProtonMail si sposta su TOR per garantire più privacy ai suoi utenti, su tecnologia.libero.it.
  11. ^ (EN) ProtonMail launches Tor hidden service to dodge totalitarian censorship, su theregister.co.uk.
  12. ^ (EN) ProtonMail now in Public Beta!!, su protonmail.com.
  13. ^ (EN) Über-Secure ProtonMail Beta Maxes Out Servers in Just 60 Hours, su infosecurity-magazine.com.
  14. ^ (EN) ProtonMail, su indiegogo.com.
  15. ^ (EN) ProtonMail hit by PayPal account freeze, su bit-tech.net.
  16. ^ (EN) PayPal freezes account of email encryption startup ProtonMail [Update], su dailydot.com.
  17. ^ (EN) Paypal Freezes ProtonMail Campaign Funds, su protonmail.com.
  18. ^ (EN) ProtonMail has raised $2M USD to protect online privacy, su protonmail.com.
  19. ^ (EN) ProtonMail goes Open Source with version 2.0, su protonmail.com.
  20. ^ (EN) Announcement: ProtonMail has launched worldwide!, su protonmail.com.
  21. ^ (EN) The ProtonMail Mobile Apps are about to get even better!, su protonmail.com.
  22. ^ (EN) Introducing ProtonMail Contacts – the world’s first encrypted contacts manager, su protonmail.com.
  23. ^ (EN) Introducing ProtonMail Bridge, email encryption for Outlook, Thunderbird, and Apple Mail, su protonmail.com.
  24. ^ (EN) ProtonMail still under attack by DDoS bombardment, su theregister.co.uk, 5 novembre 2015. URL consultato il 29 settembre 2018.
  25. ^ (EN) DDOS Update, su protonmaildotcom.wordpress.com.
  26. ^ (EN) ProtonMail Statement about the DDOS Attack, su protonmaildotcom.wordpress.com.
  27. ^ (EN) Armada Collective blackmails Swiss Hosting Providers, su govcert.admin.ch.
  28. ^ (EN) ProtonMail Pays Crooks $6,000 In Bitcoin To Cease DDoS Bombardment, su forbes.com.
  29. ^ (EN) We are seeking a datacenter in Switzerland brave enough to host ProtonMail, many are afraid due to the magnitude of the attack against us., su twitter.com.
  30. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
  31. ^ (EN) End-to-End Encryption, su protonmail.com.
  32. ^ (EN) How are ProtonMail keys distributed?, su security.stackexchange.com.
  33. ^ (EN) ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service, su thehackernews.com.
  34. ^ (EN) SSL Certificate Update, su protonmail.com.
  35. ^ (EN) SSL Report: protonmail.com, su ssllabs.com.
  36. ^ (EN) ProtonMail adds Facebook PGP integration, su protonmail.com.
  37. ^ (EN) ProtonMail now offers elliptic curve cryptography for advanced security and faster speeds, su protonmail.com.
  38. ^ (EN) Resetting your password, su protonmail.com.
  39. ^ (EN) End-to-End Encryption, su protonmail.com.
  40. ^ (EN) Exclusive: Inside the ProtonMail siege: how two small companies fought off one of Europe's largest DDoS attacks, su techrepublic.com.
  41. ^ (DE) Im geheimen Datenbunker von Attinghausen, su srf.ch.
  42. ^ (EN) Infrastructure Upgrades, su protonmail.com.
  43. ^ (EN) ProtonMail joins Réseaux IP Européens (RIPE NCC), su protonmail.com.

Altri progettiModifica

Collegamenti esterniModifica