ตามที่ผู้เชี่ยวชาญด้านการเข้ารหัสระบุว่าบริการส่งข้อความนี้ไม่ได้ให้บริการตามสัญญาทางเทคนิคหลัก การเข้ารหัสจากต้นทางถึงปลายทางและการพิสูจน์ความรู้ที่ไม่มีความรู้จะถูกสร้างขึ้นบนผืนทราย
ในโลกของการส่งข้อความอิเล็กทรอนิกส์ ProtonMail พยายามที่จะสร้างความแตกต่างผ่านแนวทางที่มุ่งเน้นความปลอดภัย โดยมีสัญญาหลักสองประการ: การเข้ารหัสข้อความจากต้นทางถึงปลายทางระหว่างผู้ใช้ ProtonMail และสถาปัตยกรรม "การเข้าถึงเป็นศูนย์" ซึ่งหมายความว่าผู้ให้บริการมี ไม่มีความรู้ที่ทำให้สามารถถอดรหัสข้อความของผู้ใช้ได้
แต่นักเข้ารหัสลับ Nadim Kobeissi ได้จัดการกับสัญญาทางการตลาดเหล่านี้อย่างรุนแรงโดยการเผยแพร่“การวิเคราะห์สถาปัตยกรรมการเข้ารหัสของ ProtonMail”- ข้อสรุปของเขาชัดเจน:“เราพบว่าสำหรับผู้ใช้ ProtonMail ส่วนใหญ่ บริการไม่เคยรับประกันการเข้ารหัสจากต้นทางถึงปลายทาง และการพิสูจน์ความรู้ที่เป็นศูนย์ในการตรวจสอบรหัสผ่านนั้นไม่ถูกต้องโดยการดำเนินการภายในของบริการ »เราอ่านเข้าไปได้ไหมเอกสารอะไร-
เว็บอินเตอร์เฟส ส้น Achilles ของ ProtonMail
ในประเด็นแรก ผู้วิจัยเริ่มต้นจากสมมติฐานความเสี่ยงที่ ProtonMail ได้กำหนดขึ้น กล่าวคือ เซิร์ฟเวอร์ทั้งหมดอาจถูกโจมตีโดยผู้โจมตี ผู้ให้บริการเชื่อว่าแม้จะมีสถานการณ์เช่นนี้ การรักษาความลับของข้อความจะยังคงอยู่ด้วยการเข้ารหัสจากต้นทางถึงปลายทาง“ProtonMail มีแนวคิดเชิงอนุรักษ์นิยมว่าเมลเซิร์ฟเวอร์ทั้งหมดอาจถูกโจมตีได้ นอกจากนี้ ProtonMail ยังใช้การเข้ารหัสจากต้นทางถึงปลายทางเพื่อให้แน่ใจว่าข้อมูลอีเมลแบบข้อความธรรมดาจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ หากเซิร์ฟเวอร์มีเพียงข้อความที่เข้ารหัส ความเสี่ยงของการละเมิดเซิร์ฟเวอร์ส่วนกลางก็จะลดลง”อธิบาย ProtonMail ในกระดาษสีขาว-
แต่สำหรับ Nadim Kobeissi เหตุผลนี้ไม่ได้กักเก็บน้ำไว้ในกรณีของการใช้เว็บอินเตอร์เฟส ซึ่งยังคงถูกใช้มากที่สุด ซึ่งเขียนด้วย JavaScript มาจากเซิร์ฟเวอร์ ProtonMail โดยตรง และไม่สามารถตรวจสอบโค้ดได้ เซิร์ฟเวอร์ที่ถูกแฮ็กสามารถทำได้“ประนีประนอมข้อมูลใด ๆ ที่ผู้ใช้ส่งโดยเป็นส่วนหนึ่งของเซสชัน ProtonMail โดยพลการและไม่สามารถติดตามได้ ซึ่งรวมถึงรหัสลับ PGP ของผู้ใช้และอีเมลใดๆ ที่ส่งหรือรับ- อ๊ะ.
เกี่ยวกับสถาปัตยกรรม “การเข้าถึงเป็นศูนย์” Nadim Kobeissi ตั้งข้อสังเกตว่าคีย์ส่วนตัวของผู้ใช้ถูกจัดเก็บแบบเข้ารหัส (AES 256 บิต) บนเซิร์ฟเวอร์ของ ProtonMail ดังนั้นจึงเป็นไปได้ในทางทฤษฎีที่จะเปิดตัวการโจมตีแบบ bruteforce หรือพจนานุกรม และกู้คืนคีย์ส่วนตัวได้ ซึ่งทำให้หลักการของความรู้เป็นศูนย์ในระดับคณิตศาสตร์เป็นโมฆะ
ตำแหน่งหัวรุนแรง?
ติดต่อโดย 01net, ProtonMail ไม่เปิดเผยการวิเคราะห์ของนักวิจัย“เหตุผลของ Nadim คือผู้พัฒนาเว็บแอปพลิเคชันสามารถแอบแก้ไขมันเพื่อประนีประนอมผู้ใช้โดยที่พวกเขาไม่รู้ ในทางกลับกันสำหรับแอปพลิเคชั่นบนมือถือก็ไม่มีปัญหา นี่ไม่สมเหตุสมผลเลย เมื่อพูดถึงแอปพลิเคชันบนมือถือ สถานการณ์ก็ไม่แตกต่างกัน (...) ตามตรรกะนี้ จำเป็นต้องกล่าวด้วยว่าการเข้ารหัสจากต้นทางถึงปลายทางไม่สามารถทำได้บนแอปพลิเคชันบนมือถือ นี่คือเหตุผลว่าทำไมตำแหน่งนี้ถึงสุดขั้วมาก”Andy Chen ซีอีโอของ ProtonMail อธิบาย
ข้อโต้แย้งที่ Nadim Kobeissi ปฏิเสธโดยสิ้นเชิง“ส่วนที่ 4.1 ของเอกสารของฉันอธิบายความแตกต่างที่สำคัญระหว่างโมเดลความปลอดภัยของแอปพลิเคชันเว็บ ProtonMail และแอปพลิเคชันสมาร์ทโฟน ProtonMail สถานการณ์ของแอปพลิเคชันบนมือถือนั้นแตกต่างออกไปอย่างแน่นอน เนื่องจากหมายเลขเวอร์ชันที่เพิ่มขึ้นและไบนารีที่ลงนามด้วยการเข้ารหัสและการกระจายอย่างอิสระ (...) ไม่สามารถตรวจสอบหรือตรวจสอบความปลอดภัยของแอปพลิเคชันเว็บ ProtonMail ได้ดังที่เป็นอยู่ในปัจจุบัน อย่างไรก็ตาม ด้วยแอปสมาร์ทโฟน เวอร์ชันสามารถแยก ระบุ และเปรียบเทียบตามรายการที่มีการลงนาม หมายเลขเวอร์ชัน ลายเซ็น และผลรวมตรวจสอบ จากนั้นจึงสามารถวิเคราะห์และตรวจสอบได้”, อธิบาย Nadim Kobeissi ให้เราทราบทางอีเมล
เอฟเอฟเห็นด้วยกับผู้วิจัย
สุดท้ายแล้วเราควรคิดอย่างไรกับเรื่องทั้งหมดนี้? เมื่อพิจารณาข้อโต้แย้งที่แตกต่างกันเหล่านี้ สำหรับเราแล้วดูเหมือนว่า ProtonMail จะดูแลประสิทธิภาพของบริการของตน สำหรับผู้ที่มองหาความปลอดภัยที่มั่นคงสำหรับการแลกเปลี่ยนของพวกเขา ProtonMail อาจไม่ใช่ตัวเลือกที่ดีที่สุด ควรใช้บริการ Signal ซึ่งมีอยู่ในแอปพลิเคชันมือถือเท่านั้นและไม่เก็บคีย์ส่วนตัวของผู้ใช้
นี่เป็นความเห็นของสมาคมสิทธิพลเมืองมูลนิธิพรมแดนอิเล็กทรอนิกส์ด้วย“ปัญหาคือ ProtonMail เก็บคีย์ส่วนตัวของคุณ แม้ว่าคีย์นี้จะถูกเข้ารหัสในเครื่องครั้งแรกโดยเว็บแอปพลิเคชัน ProtonMail ก่อนที่จะมาถึงเซิร์ฟเวอร์ แต่ก็ยังเป็นไปได้ที่ผู้เผยแพร่รายนี้จะถูกบังคับใช้โดยหน่วยงานบังคับใช้กฎหมายให้แก้ไขโค้ดเพื่อให้ยังคงเข้าถึงคีย์ส่วนตัวของคุณได้ เพื่อให้มีการป้องกันในระดับที่ดี รหัสส่วนตัวจะต้องอยู่บนเทอร์มินัล แน่นอนว่า ProtonMail นั้นดีกว่า Gmail ในแง่ของการปกป้องข้อมูลส่วนบุคคล แต่บริการนี้ให้ความรู้สึกด้านความปลอดภัยที่ผิด »อธิบายให้เราฟังเอวา กัลเปรินผู้จัดการความปลอดภัยทางไซเบอร์ที่ EFF เมื่อไม่กี่สัปดาห์ก่อน
แต่สำหรับผู้ที่ไม่จำเป็นต้องมองหาการรักษาความปลอดภัยระดับนี้ ProtonMail อาจเป็นตัวเลือกที่ดี เมื่อเปรียบเทียบกับเว็บเมลอื่นๆ บริการนี้ยังคงให้การปกป้องข้อมูลส่วนบุคคลที่ดีกว่า ซึ่งก็ไม่ใช่เรื่องเล็กน้อย
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
