Hlavní navigace

Názor k článku Jan Veverka (ProtonMail): Stavíme bezpečné úložiště dat pro e-maily a ProtonDrive pro ukládání souborů od Jan Veverka - Díky za objasnění. Ve skutečnosti soukromý klíč není uložen...

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 9. 2018 21:06

    Jan Veverka

    Díky za objasnění.

    Ve skutečnosti soukromý klíč není uložen na serverech ProtonMailu. Soukromý klíč je zašifrován na klientském zařízení způsobem, který nelze invertovat a pouze výsledná zašifrovaná podoboba klíče je uložena na našich servrech. Toto je možno si ověřit auditem kódu, který je open source:
    https://github.com/ProtonMail/WebClient

    Je to sice malý, ale podstatný rozdíl. Jako důsledek, ProtonMail není schopen zprávy dešifrovat.

    Pokud má někdo obavy používat javascript z našich serverů, může používat výše uvedený zdroj webového klienta. Plánujeme zveřejnit také ostatní klienty, včetně mobilních aplikací a bridge.

    Prosím dejte nám vědět, pokud se vám klíč podaří rozlousknout. Nejen, že byste nám pomohl ProtonMail zlepšit a řadu našich klientů ochránil od drastických důsledků případné díry, rádi vás za vaše úsilí a pomoc odměníme:
    https://protonmail.com/blog/protonmail-bug-bounty-program/

    Přestože tato nabídka platí už déle než tři roky, nikdo nám ještě dešifrování klíče nepředvedl, ani ho jinak nezveřejnil, pokud je mi známo.

    Neříkám, že ProtonMail nemá slabiny. Nic není dokonale bezpečné. Nicméně jsme v tomto ohledu transparentní:
    https://protonmail.com/blog/protonmail-threat-model/

    Nikomu nebrání používat OpenPGP přímo pomocí nějakého z dostupných klientů. Bohužel se to ale za více než 20 let existance nestalo mainstreamem. Z naší zkušenosti se zdá důvodem být právě složitost správy klíčů.

    Zdá se, že jedinou úspěšnou cestou k zlepšení současné tragické situace zacházení se soukromými daty uživatelů je zjednodušit použití šifrování tak, abychom to zvládli nejen mi, technicky zdatní, ale široká veřejnost, včetně právníků, lékařů, novinářů a učitelů. Pokud je tedy způsob, jak toho docílit lépe než to dělá ProtonMail, dříve nebo později s ním někdo příjde. Zatím je ale ProtonMail stále ještě nevětším provozovatelem používajícím end-to-end šifrování.