Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Prywatność korespondencji, czyli o Tutanota słów kilka…
Ostatnio na Sekuraku opublikowaliśmy poradnik do Signala. Jeśli jeszcze się z nim nie zapoznałeś, to gorąco zachęcamy. Tym razem dowiesz się jak zadbać o swoją prywatność, korzystając z szyfrowanej poczty elektronicznej. Na celownik weźmiemy serwis Tutanota. Jest to kontynuacja poradnika dla osób nietechnicznych.
Tutanota
Tutanota – Jest to darmowy, otwartoźródłowy serwis poczty elektronicznej, który w korespondencji pomiędzy dwoma użytkownikami Tutanota szyfruje przesyłane treści. Przy wysyłaniu wiadomości do użytkownika innego e–maila możliwe jest ustanowienie hasła, które odbiorca musi wpisać aby przeczytać zawartą we wiadomości treść. W Tutanota nie uświadczysz również reklam.
Serwis nie korzysta z PGP, lecz z własnego pomysłu bazującego na AES i RSA, która pozwala zaszyfrować znacznie większą ilość danych. Tutanota podlega pod jurysdykcję prawa niemieckiego
Ja w poradniku korzystam z wersji webowej Tutanota, lecz nic nie stoi na przeszkodzie, aby skorzystać z aplikacji mobilnej na Androida lub iOS.
Jeszcze przed “rejestracją” chciałbym dodać, że podczas rejestracji, nie musisz podawać żadnych danych osobowych (np. numeru telefonu), nawet jeśli rejestrujesz się przez Tor’a.
Wchodzimy na stronę tutanota.com i klikamy w przycisk “Zarejestruj się”.
Następnie wybieramy opcję “Free”, gdyż jest ona wystarczająca dla naszych potrzeb:
Teraz musimy podać nowy adres e-mail oraz silne hasło. Jeśli masz problemy z zapamiętywaniem haseł, to polecamy nasz artykuł na temat generowania łatwych do zapamiętania haseł
Ja jako nowy adres wybrałem “sekurak-poradnik” z domeną @tutanota.com (choć nie jest to jedyna opcja, możemy wybrać dowolną z listy)
Gdy już wybraliśmy nasze nowy adres e-mail oraz hasło, potwierdzamy regulamin i klikamy “Następny”
Na sam koniec rejestracji otrzymasz “Kod odzyskiwania”. Jest to jedyna możliwość “przypomnienia hasła”. Kiedy już zapisałeś kod odzyskiwania, kliknij przycisk “Ok”
I gotowe! Teraz możemy się zalogować, korzystając z nowo utworzonego adresu e-mail i hasła i klikamy “Zaloguj”
Wyglądem Tutanota nie różni się zbytnio od tradycyjnej poczty. Aby wysłać wiadomość, należy kliknąć przycisk “Nowa wiadomość”:
Teraz, wyskoczy nam okienko “Nowa wiadomość”. Jak widzisz, jeśli wysyłasz wiadomość do znajomego, który już korzysta z tutanota.com – wiadomość jest automatycznie szyfrowana end-to-end
Co jednak gdy chcemy wysłać zaszyfrowaną wiadomość do osoby, która korzysta np z gmail.com czy onet.pl ?
Gdy w polu “Do” wpiszemy adres, który sugeruje, że odbiorca nie korzysta z Tutanota, to serwis poprosi nas o wpisanie “Hasła”. Będzie ono potrzebne innemuznajomemu@gmail.com do odszyfrowania wiadomości.
Po wpisaniu hasła, klikamy “Wyślij”
Aby nasz znajomy mógł odczytać wiadomość, musi kliknąć “Pokaż zaszyfrowaną wiadomość” lub skorzystać z linku:
Po kliknięciu w link, aby odczytać wiadomość, znajomy musi wpisać Hasło, które ustawialiśmy w trakcie tworzenia wiadomości, a następnie kliknąć “Pokaż skrzynkę odbiorczą”:
Tak prezentuje się wiadomość, którą otrzymał nasz znajomy:
Co jednak, jeśli chcę wysłać nie zaszyfrowaną wiadomość ? To bardzo proste !
Wystarczy że w trakcie tworzenia nowej wiadomości, klikniesz “kłódkę” tak, aby zmieniła kolor na szary:
Warto dodać, że w kwestii bezpieczeństwa, Tutanota oferuje także “ochronę przed phishingiem” oraz możliwość ustawianie podwójnego uwierzytelnienia (2FA)
Obsługiwane typy 2FA na Tutanota:
- Klucze bezpieczeństwa (U2F), np. Yubikey. U2F jest obecnie obsługiwany przez Chrome i Operę.
- TOTP z aplikacją uwierzytelniającą, taką jak FreeOTP+, andOTP, Authenticator, Authy itp. Jeśli włączenie drugiego składnika z TOTP się nie powiedzie, upewnij się, że czas jest należycie zsynchronizowany między Twoimi urządzeniami.
A jak Tutanota odpowiada na wezwanie sądowe ? Jest to dość szczegółowo opisane przez sam serwis:
Na wniosek sądu, Tutanota może przekazać następujące dane o użytkowniku:
- Adres email nadawcy i odbiorcy
- Adres IP użytkownika (Przypominamy, że nic nie stoi na przeszkodzie, aby skorzystać chociażby z TOR’a)
- Czas dostarczenia wiadomości
- Treść wiadomości, w formie zaszyfrowanej (nieczytelnej)
- Treść wiadomości nieszyfrowanej (czytelnej), jeśli takową otrzymałeś po sądowym wniosku o “monitoring w czasie rzeczywistym”
Jest to zaskakujący dobry wynik, w kontekście dbania o prywatność użytkownika, nawet w przypadkach “ekstremalnych”
Bonus: a co z tzw. “tymczasowymi e-mailami”?
Czasami z ciekawości, lub z innych powodów musimy zarejestrować się w serwisie, co do którego istnieją wątpliwości, czy dobrze sobie radzi z bezpieczeństwem naszych danych. O tym, jak nasze dane mogą zostać wykorzystane, możesz przeczytać tutaj.
Wystarczy w przeglądarce wpisać frazę “temporary email”:
Dla przykładu, skorzystamy z temp-mail.org, jednak wszystkie tego typu usługi działają na tej samej zasadzie, dlatego wybór nie jest aż tak istotny.
Jak widać, serwis wygenerował dla nas “jednorazowy” adres email, z którego możemy skorzystać w celu rejestracji konta na wybranej przez nas stronie:
A to e-mail z prośbą o potwierdzenie konta !
Co jednak, gdy rejestrujemy się w serwisie, który wymaga od nas większej ilości danych ?
Opcją dla leniwych (lub szanujących swój czas) może być chociażby strona fakeaddressgenerator.com, która automatycznie wygeneruje dla nas sporą ilość losowych najczęściej wymaganych podczas rejestracji danych:
Podsumowanie
Jak widać, prywatność i poczta elektroniczna mogą iść ze sobą w parze. Z alternatywnych serwisów dla Tutanota, wartym uwagi jest jeszcze chociażby szwajcarski ProtonMail. Przypominamy również, że gdy rejestrujesz się w serwisach, z których nie będziesz prawdopodobnie korzystał, to zastanów się, czy nie lepiej skorzystać z tymczasowych e-maili, gdyż potencjalny wyciek danych może mieć dla ciebie opłakane skutki.
–Jakub Bielaszewski
Tutanota usuwa konta email jak ktos dluzej nie korzystal co powinno wszystkie osoby chcace uzyc tego dostawcy email od niego odrzucic.
Jest to „ficzer” dotyczący bezpieczeństwa, jeśli nie korzystasz to po co ma wisieć ; )
Początkowo Ci nie uwierzyłem, ale postanowiłem sprawdzić i to prawda. Usunęli mi konto i każą płacić za odzyskanie.
Z kolei ja wciąż Ci nie wierzę. Chyba że dysponujesz wehikułem czasu, który chętnie wypożyczę aby sprawdzić parę rzeczy….. ;)
Co myślicie o forsowaniu 1password na wp i o2, a przede wszystkim zgrai „zaufanych partnerów” w polityce prywatności?
Nic dobrego, skoro na siłę forsują swój pomysł.
Wymyślili po latach 2fa, ok tylko czemu motyla noga tylko na swój własny sposób ? Taki onet np. umożliwia to w kilku opcjach. Używam google auth, aby użyć 1login z 2fa, muszę instalować kolejną apkę i zapewne podać nr telefonu. Mam stare konto na wp i trochę szkoda by mi było je kasować dlatego że jakiś dyrektorcio sobie wymyślił nowy bajer.
Czeski seznam który testuje i sprawdza się świetnie, też ma własną autorską apkę 2fa. Działa tak, że otrzymuje się powiadomienie na „chytry telefon” – tak się nazywa po czeski smartfon xD o próbie zalogowania na konto i 2 przyciski pozwolić/odmówić. Wolę wyemigrować do Czech z pocztą niź instalować jakieś dziwne apki od 1login. Tym bardziej że ilość spamu reklamowego wysyłana przez samo wp przytłacza. Seznam – zero reklam. Jedyne utrudnienie to nie ma polskiego interfejsu, ani angielskiego. Wszystko jest po czesku ale to łatwy język.
Są plusy i minusy tego. Zawsze możesz skorzystać np z ProtonMaila, który działa analogicznie do Tutanota.
Tons of SPAM from BITCOIN controllong everything, yure phone number, name and time of sleeping with your neighbor Alice, who the fuck is Alice, remove an free account simply impossible.
That’s it.
1) Jakis czas temu porownywalem na swoj uzytek uslugi pocztowe.
O Tutanocie zanotowalem m.in.:
„Regulamin Tutanota zabrania miec wiecej niz jedno darmowe konto”.
Nie sprawdzam w tej chwili, czy tak jest nadal, ale zwracam na to uwage – aby nie „marnowac” Tutanoty zakladajac jakies konto tymczasowe albo z nieprzemyslanym loginem.
2) Pytanie do uzytkownikow Tutanoty. Na obrazku z „poufna wiadomoscia od sekurak-poradnik” do odbiorcy zewnetrznego jest taka uwaga:
„Ta wiadomosc zostala wygenerowana automatycznie. Jej zawartosc pozostanie aktywna do momentu otrzymania nowej wiadomosci ode mnie. Z powazaniem, sekurak-poradnik”.
Zastanawia mnie to „pozostanie aktywna do…”.
Tzn. ze jesli nadawca wysle nastepny list do tego odbiorcy, to odbiorca straci mozliwosc odczytania tego (wczesniejszego) listu??
Nieprawda, mam 3, ale żadnego nie usuniesz, najpierw zmuszają do założenia Prime płatnego aby usunąć bezpłatne, to takie pruskie gufnoyady som i tyle na temat
Omijaj szerokim łukiem, bo sprzedają adresy i to osłom z BITCOIN.
Moją uwagę zwróciło to, że:
1) Po podpięciu yubikey do konta przy każdym logowaniu trzeba dotknąć przycisk na kluczu (nie ma opcji zapamiętania urządzenia jako zaufane jak to jest w przypadku gmaila). Nie jestem specjalistą IT, ale to chyba zmniejsza ryzyko uzyskania dostępu poprzez wykradzenie ciasteczek? Na pewno zwiększa bezpieczeństwo.
2) Procedura resetu hasła jest oparta na liczącym 64 znaki kodzie odzyskiwania – to eliminuje czynnik ludzki i również zwiększa bezpieczeństwo.
3) Płatna wersja to tylko 1,20 euro miesięcznie (lub 12 euro rocznie). Można sobie wtedy ustawić powiadomienia email o pojawieniu się w skrzynce nowej wiadomości co ułatwia sprawdzanie poczty. Jest również możliwość utworzenia 5 aliasów. Jeśli komuś bardzo zależy na bezpieczeństwie może podawać tylko alisasy – w sensie podczas rejestracji usług online czy na wizytówce (wtedy atakujący nie będzie nawet znał loginu do usługi).
Moim zdaniem konto świetnie się nadaje jako recovery email dla ważnych kont, do korespondencji z bankami, PayPal’em itp
Nie jest prawdą, że nic nie stoi na przeszkodzie założyć skrzynkę przez Tor. Rok temu próbowałem założyć skrzynkę na Tutanota przez TorBrowser. Nic z tego nie wyszło. Za każdym razem dostawałem komunikat, że z „mojego” adresu IP wykryli szkodliwe działanie i odmawiali założenia konta. Próbowałem wiele razy w różnych odstępach czasu, nawet dwutygodniowych.
„Obsługiwane typy 2FA na Tutanota:
*Klucze bezpieczeństwa (U2F), np. Yubikey. U2F jest obecnie obsługiwany przez Chrome i Operę.”
Czyli nie obsługują U2F dla użytkowników Firefoksa?
Obsługują również na Firefoxie. Mogę potwierdzić, bo sam używam :)
Czy mnie się coś pomyliło czy niemieckie prawo wymaga by dostawca usług szyfrowania na polecenie władz umożliwiał odszyfrowanie korespondencji elektronicznej? Pamiętam, że jakiś czas temu była w związku z tym wielka wrzawa na forach zajmujących się prywatnością.
Po tej w/w burzy mózgów zastanawiam się gdzie można dziś założyć bezpieczną, darmową, bez danych skrzynkę, najlepiej w Polsce?
Tutanota czy ProtonMail regulaminy mają po ang. – czy tam nie ma jakiś haczyków odnośnie opłat itp.?
Może ktoś doradzić?
Dodam, że skoro nie ma serwisu umożliwiającego za darmo, anonimowo, bezpiecznie, po polsku etc. założyć maila, tzn. że jest nisza na to. Ktoś mógłby o tym pomyśleć, na zasadzie open source, z opcją dobrowolnych datków. Żeby konto było, dajmy na to, rok ważne. Co o tym sądzicie?
Zrób anonimowy formularz dla ludzi z internetu. Zakładaj im konta na wp, tutanota itp. I np. kto założy jedno-dwa konta i przekaże do rozdania to dostaje jedno inne.