在電子訊息領域,ProtonMail 尋求透過一種非常注重安全的方法來使自己脫穎而出,它有兩個主要承諾:ProtonMail 用戶之間的訊息端對端加密和「零存取」架構,這意味著提供者擁有沒有知識使其能夠破解用戶的消息。
但密碼學家納迪姆·科比西 (Nadim Koheissi) 現在發布了一份報告,對這些行銷承諾造成了嚴重打擊。《ProtonMail 密碼架構分析》。他的結論很明確:“我們發現,對於大多數 ProtonMail 用戶來說,該服務從未保證端對端加密,並且驗證密碼的零知識證明因該服務固有的操作而失效”,我們可以讀入什麼文件。
網頁介面,ProtonMail 的致命弱點
關於第一點,研究人員從ProtonMail本身所製定的風險假設出發,即其所有伺服器都可能受到攻擊者的破壞。該提供者認為,儘管存在這種情況,由於端對端加密,訊息的機密性仍得以維持。「ProtonMail 保守地假設所有郵件伺服器都可能受到損害。此外,ProtonMail 使用端對端加密來確保純文字電子郵件資料永遠不會發送到伺服器。如果伺服器僅包含加密訊息,那麼中央伺服器洩漏的風險就會降低”,ProtonMail 在白皮書。
但對於 Nadim Koheissi 來說,這種推理在使用 Web 介面的情況下並不成立,儘管 Web 介面仍然是最常用的。這是用 JavaScript 編寫的,直接來自 ProtonMail 伺服器,其程式碼無法進行身份驗證。因此,被駭客攻擊的伺服器可以「任意且無法追蹤地洩漏使用者在 ProtonMail 會話中發送的任何資訊。這包括用戶的 PGP 金鑰以及發送或接收的任何電子郵件。。哎呀。
關於「零存取」架構,Nadim Koheissi 指出,使用者的私鑰以加密方式(AES 256 位元)儲存在 ProtonMail 的伺服器上。因此,理論上可以發動暴力破解或字典攻擊,從而恢復私鑰。因此,這在數學層面上使零知識原則失效。
極端主義立場?
01net 聯繫 ProtonMail 時並未透露研究人員的分析。「Nadim 的理由是,Web 應用程式開發人員可以秘密修改它,從而在用戶不知情的情況下危及用戶的利益。另一方面,對於行動應用程式來說,就不會有問題。這沒有多大意義。例如,當涉及到行動應用程式時,情況也沒有什麼不同(…)根據這個邏輯,也有必要說端對端加密在行動應用程式上是不可能的。這就是為什麼這個特殊立場如此極端”ProtonMail 執行長 Andy Chen 解釋道。
納迪姆·科比西斷然否認了這個論點。「我的文件第 4.1 節解釋了 ProtonMail Web 應用程式和 ProtonMail 智慧型手機應用程式的安全模型之間的顯著差異。由於增量版本號以及加密簽名和獨立分發的二進位文件,行動應用程式的情況確實有所不同(…)目前無法對 ProtonMail Web 應用程式的安全性進行身份驗證或驗證。然而,使用智慧型手機應用程序,可以根據簽名清單、版本號、簽名和校驗和來隔離、識別和比較版本。然後可以對它們進行分析和驗證””,納迪姆·科比西 (Nadim Koheissi) 在一封電子郵件中向我們解釋道。
EFF 同意研究者的觀點
最後,我們該如何看待這一切?考慮到這些不同的論點,在我們看來,ProtonMail 誇大了其服務的有效性。對於尋求可靠的交換安全性的人來說,ProtonMail 可能不是最佳選擇。最好使用 Signal 服務,它僅作為行動應用程式存在,不儲存用戶的私鑰。
這也是公民權利協會電子前沿基金會的觀點。「問題是 ProtonMail 儲存了你的私鑰。即使該金鑰在到達其伺服器之前首先由 ProtonMail Web 應用程式在本地加密,該發布者仍然有可能被執法部門強制修改其程式碼,以便仍然可以存取您的私鑰。為了獲得良好的保護級別,私鑰必須保留在終端上。當然,ProtonMail 在個人資料保護方面比 Gmail 更好,但這項服務給人一種安全的假象 »,向我們解釋伊娃·加爾佩林幾週前,EFF 的網路安全經理。
但對於那些不一定尋求這種安全等級的人來說,ProtonMail 可能是個不錯的選擇。與其他網路郵件相比,該服務仍然為個人資料提供更好的保護。這是不可忽視的。
