ProtonMail启动地址验证和完整的PGP支持

  • A+
所属分类:网络安全新闻

ProtonMail启动地址验证和完整的PGP支持

通过地址验证,您可以确保与正确的人进行安全通信,而PGP支持则可以增加加密的电子邮件互操作性。
从 最新版本的ProtonMail on web(v3.14),iOS和Android(v1.9)以及最新版本的ProtonMail IMAP / SMTP Bridge开始,ProtonMail现在支持地址验证,以及完整的PGP互操作性和支持。在本文中,我们将详细讨论这两个新功能,以及它们如何显着改善电子邮件安全性和隐私。

地址验证
当ProtonMail于2014年首次推出时,我们的目标是让电子邮件加密无处不在,让任何人都可以轻松使用。这 不是一件容易的事,这也许就是之前从未做过的原因。我们的指导思想是,如果没有人能够使用它们,世界上最安全的系统实际上并没有使社会受益,因此,为了更好的可用性,我们做出了许多设计决策。

其中一个决定是使加密密钥管理自动且对用户不可见。虽然这使得全世界数百万人可以开始使用加密电子邮件而不了解加密密钥是什么,但最终的架构需要对ProtonMail具有一定程度的信任。

虽然在使用在线服务时始终需要一定程度的信任,但我们的目标是最大限度地减少所需的信任量,以便ProtonMail的妥协不会导致用户通信受到损害。这是我们使用 端到端加密 和 零访问加密的理念,它也是地址验证背后的理念 。

在引入地址验证之前,如果ProtonMail遭到破坏,则可能通过向用户发送虚假的公共加密密钥来危害用户通信。这可能导致电子邮件通信以一种方式加密,即持有相应虚假私钥的攻击者可以拦截和解密消息(这也称为中间人攻击或MITM),尽管事实如此加密发生在客户端。

地址验证为此问题提供了一个优雅的解决方案。我们认为这是一个高级安全功能,对于临时用户来说可能不是必需的,但是由于有记者和活动家使用ProtonMail进行高度敏感的通信,我们已经将地址验证添加为优先级。

地址验证的工作原理
地址验证通过利用 我们之前发布的 加密联系人功能来工作。从最新版本的ProtonMail开始,当您收到来自ProtonMail联系人的消息时,您现在可以选择(在ProtonMail Web应用程序中)信任此联系人的公钥。这样做可以将此联系人的公钥保存到加密的联系人中,并且由于联系人数据不仅是加密的,而且是数字签名的,因此一旦信任,就不可能篡改公共加密密钥。

这意味着,当向此联系人发送电子邮件时,恶意第三方(甚至是ProtonMail)不再可能欺骗您使用与您信任的恶意公钥不同的恶意公钥。这使得双方之间的安全性高于任何其他加密电子邮件服务。您可以 在我们的知识库文章中了解 有关使用地址验证的更多信息。

PGP支持
在地址验证的同时,我们也开始全面支持PGP电子邮件加密。正如你们中的一些人所知,ProtonMail的密码学已经基于PGP, 我们维护着世界上使用最广泛的开源PGP库之一。PGP支持也是我们不希望大多数用户使用的高级功能。如果您需要安全的电子邮件,获得它的最简单,最安全的方法仍然是让您和您在ProtonMail上联系,或者如果您是企业, 将您的业务迁移到ProtonMail。

然而,对于仍然使用PGP的许多人来说,全面PGP支持的推出将使您的生活更轻松。首先,任何ProtonMail用户现在都可以通过导入这些联系人的PGP公钥,将PGP加密的电子邮件发送给非ProtonMail用户。其次,还可以从您的ProtonMail帐户接收来自世界上任何其他PGP用户的PGP电子邮件。您现在可以导出公钥并与它们共享。

因此,您的ProtonMail帐户实际上可以完全取代您现有的PGP客户端。您现在可以共享与您的ProtonMail帐户关联的PGP公钥,并直接在您的ProtonMail帐户中接收PGP加密电子邮件,而不是共享您现有的PGP公钥。

如果您是现有的PGP用户并且想要保留现有的自定义电子邮件地址(例如john@mydomain.com),我们也可以为您提供服务。可以将您的电子邮件托管移动到ProtonMail并导入您现有的PGP密钥以用于您的地址,因此您无需与联系人共享新密钥和新电子邮件地址。

如果您出于敏感目的使用PGP,这实际上可能比继续使用现有的PGP客户端更可取。例如,PGP完全集成到ProtonMail中,加密/解密完全自动化,新的地址验证功能用于保护您免受MITM攻击。更重要的是, ProtonMail不容易受到eFail类漏洞的影响,这些漏洞影响了许多PGP客户端,我们的PGP实施正在积极维护。

您可以在此处找到 有关将PGP与ProtonMail配合使用的更多详细信息。

介绍ProtonMail的公钥服务器
最后,我们正式推出一个公钥服务器,使密钥发现比以往更容易。如果您的联系人已在使用ProtonMail,则密钥发现是自动的(如果需要,您可以使用地址验证使其更加安全)。但是,如果非ProtonMail用户(如PGP用户)想要通过ProtonMail帐户安全地向您发送电子邮件,他们需要一种方法来发现您的公共加密密钥。如果他们没有从您的公开个人资料或网站上获取,他们通常会运气不好。

我们的公钥服务器通过提供一个集中的位置来查找任何ProtonMail地址的公钥(以及ProtonMail上托管的非ProtonMail地址)来解决这个问题。

我们的公钥服务器可以在hkps://api.protonmail.ch找到(!! 此链接用于HKP 请求,无法通过浏览器访问。但是,如果要下载ProtonMail用户的公钥,只需将“username@protonmail.com”替换为您要查找的地址,然后将以下链接复制/粘贴到您的浏览器中:https://api.protonmail.ch/pks/lookup?op = get&search = username @ protonmail .COM)

关于开放标准和联邦的结论
今天,ProtonMail是 世界上使用最广泛的电子邮件加密系统,对于我们的大多数用户而言,添加地址验证和PGP支持不会改变您使用ProtonMail的方式。特别是,设置PGP(生成加密密钥,共享它们以及让联系人执行相同操作)实在太复杂了,大多数人只需简单地创建一个ProtonMail帐户并从端到端受益就容易得多加密和零访问加密,无需担心密钥管理等细节。

仍然,启动PGP支持对我们很重要。电子邮件的美妙之处在于它是联合的,这意味着任何人都可以实现它。它不受任何单个实体的控制,它不是集中的,并且没有单点故障。虽然这确实在许多方面限制了电子邮件,但它也使电子邮件成为有史以来设计最广泛和最成功的通信系统。

PGP因为它建立在电子邮件之上,因此也是一个联合加密系统。与其他加密通信系统(如信号或电报)不同,PGP不属于任何人,没有单一的中央服务器,并且您不会被迫使用一种服务而不是另一种服务。我们认为加密通信应该是开放式的,而不是带围墙的花园。ProtonMail现在可以与支持OpenPGP标准的任何其他过去,现在或将来的电子邮件系统互操作,我们对此标准的实现本身也是 开源的。

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!