在电子消息领域,ProtonMail 寻求通过一种非常注重安全的方法来使自己脱颖而出,它有两个主要承诺:ProtonMail 用户之间的消息端到端加密和“零访问”架构,这意味着提供商拥有没有知识使其能够破译用户的消息。
但密码学家纳迪姆·科比西 (Nadim Koheissi) 现在发布了一份报告,对这些营销承诺造成了严重打击。《ProtonMail 密码架构分析》。他的结论很明确:“我们发现,对于大多数 ProtonMail 用户来说,该服务从未保证端到端加密,并且验证密码的零知识证明因该服务固有的操作而失效”,我们可以读入什么文件。
网络界面,ProtonMail 的致命弱点
关于第一点,研究人员从ProtonMail本身制定的风险假设出发,即其所有服务器都可能受到攻击者的破坏。该提供商认为,尽管存在这种情况,由于端到端加密,消息的机密性仍得以维持。“ProtonMail 保守地假设所有邮件服务器都可能受到损害。此外,ProtonMail 使用端到端加密来确保纯文本电子邮件数据永远不会发送到服务器。如果服务器仅包含加密消息,那么中央服务器泄露的风险就会降低”,ProtonMail 在白皮书。
但对于 Nadim Koheissi 来说,这种推理在使用 Web 界面的情况下并不成立,尽管 Web 界面仍然是最常用的。这是用 JavaScript 编写的,直接来自 ProtonMail 服务器,其代码无法进行身份验证。因此,被黑客攻击的服务器可以“任意且无法追踪地泄露用户在 ProtonMail 会话中发送的任何信息。这包括用户的 PGP 密钥以及发送或接收的任何电子邮件。。哎呀。
关于“零访问”架构,Nadim Koheissi 指出,用户的私钥以加密方式(AES 256 位)存储在 ProtonMail 的服务器上。因此,理论上可以发起暴力破解或字典攻击,从而恢复私钥。因此,这在数学层面上使零知识原则失效。
极端主义立场?
01net 联系 ProtonMail 时并未透露研究人员的分析。“Nadim 的理由是,Web 应用程序开发人员可以秘密修改它,从而在用户不知情的情况下危及用户的利益。另一方面,对于移动应用程序来说,就不会有问题。这没有多大意义。例如,当涉及到移动应用程序时,情况也没有什么不同(……)根据这个逻辑,也有必要说端到端加密在移动应用程序上是不可能的。这就是为什么这个特殊立场如此极端”ProtonMail 首席执行官 Andy Chen 解释道。
纳迪姆·科比西断然否认了这一论点。“我的文档第 4.1 节解释了 ProtonMail Web 应用程序和 ProtonMail 智能手机应用程序的安全模型之间的显着差异。由于增量版本号以及加密签名和独立分发的二进制文件,移动应用程序的情况确实有所不同(……)目前无法对 ProtonMail Web 应用程序的安全性进行身份验证或验证。然而,使用智能手机应用程序,可以根据签名清单、版本号、签名和校验和来隔离、识别和比较版本。然后可以对它们进行分析和验证””,纳迪姆·科比西 (Nadim Koheissi) 在一封电子邮件中向我们解释道。
EFF 同意研究人员的观点
最后,我们应该如何看待这一切呢?考虑到这些不同的论点,在我们看来,ProtonMail 夸大了其服务的有效性。对于寻求可靠的交换安全性的人来说,ProtonMail 可能不是最佳选择。最好使用 Signal 服务,它仅作为移动应用程序存在,不存储用户的私钥。
这也是公民权利协会电子前沿基金会的观点。“问题是 ProtonMail 存储了你的私钥。即使该密钥在到达其服务器之前首先由 ProtonMail Web 应用程序在本地加密,该发布者仍然有可能被执法部门强制修改其代码,以便仍然可以访问您的私钥。为了获得良好的保护级别,私钥必须保留在终端上。当然,ProtonMail 在个人数据保护方面比 Gmail 更好,但这项服务给人一种安全的假象 »,向我们解释伊娃·加尔佩林几周前,EFF 的网络安全经理。
但对于那些不一定寻求这种安全级别的人来说,ProtonMail 可能是一个不错的选择。与其他网络邮件相比,该服务仍然为个人数据提供更好的保护。这是不可忽视的。
