专有加密的危险
Posted: Sat Dec 21, 2024 7:01 am
Proton 的加密技术是开源的,可供公众检查。由于我们使用开放标准,Proton 使用的加密方式也作为IETF的一部分进行公开讨论和辩论(新窗口)标准化过程。这就是为什么看到公开歪曲 Proton 加密技术的文章总是令人惊讶。最近的一篇博客文章就是这种情况(新窗口)这是在 Reddit 上分享的。虽然大多数评论者(新窗口)尽管正确地指出了它的本质,但仍然值得仔细研究 Proton Mail 与 Tuta 加密以消除差异。
Tuta 上的博客文章声称 Proton 地址簿未加密。它们是:您输入地 乌克兰 WhatsApp 数据 100K 套餐 址簿的有关联系人的所有敏感数据均经过端到端加密。只有电子邮件地址/显示名称本身未加密,因此您可以过滤非来自您的联系人的传入电子邮件。
加密电子邮件地址也不会提供太多额外的安全性或隐私,因为当您发送电子邮件时,我们需要电子邮件地址来发送电子邮件。无论如何,我们可以对其进行加密,并声称我们看不到它,但这将非常具有误导性 - 同样,我们发现 Tuta 声称他们加密整个地址簿的说法也具有误导性。
还有虚假说法称 Proton Calendar 元数据未加密。这也是不准确的:所有敏感元数据都已加密。一项不敏感的元数据无法进行端到端加密,即事件的日期和时间。这样我们就可以在正确的时间发送有关事件的提醒(例如通过电子邮件和推送通知)。但是,通知的内容是端到端加密的。如果您想了解有关日历安全模型的更多信息,可以阅读 我们有关它的博客文章。
专有加密的危险
最近的博客文章还攻击 Proton Mail 使用开放加密标准(即 OpenPGP),并声称这在某种程度上不太安全。首先,OpenPGP 是一个开放标准,这意味着 Proton 的电子邮件加密不是围墙花园,您可以向任何 PGP 用户发送加密电子邮件。相比之下,Tuta 中的加密“电子邮件”无法超出其围墙花园,根本不是真正的电子邮件:它们是使用专有格式的加密消息。只要诚实面对,这对于某些用例来说甚至可能没问题。
Tuta 上的博客文章声称 Proton 地址簿未加密。它们是:您输入地 乌克兰 WhatsApp 数据 100K 套餐 址簿的有关联系人的所有敏感数据均经过端到端加密。只有电子邮件地址/显示名称本身未加密,因此您可以过滤非来自您的联系人的传入电子邮件。
加密电子邮件地址也不会提供太多额外的安全性或隐私,因为当您发送电子邮件时,我们需要电子邮件地址来发送电子邮件。无论如何,我们可以对其进行加密,并声称我们看不到它,但这将非常具有误导性 - 同样,我们发现 Tuta 声称他们加密整个地址簿的说法也具有误导性。
还有虚假说法称 Proton Calendar 元数据未加密。这也是不准确的:所有敏感元数据都已加密。一项不敏感的元数据无法进行端到端加密,即事件的日期和时间。这样我们就可以在正确的时间发送有关事件的提醒(例如通过电子邮件和推送通知)。但是,通知的内容是端到端加密的。如果您想了解有关日历安全模型的更多信息,可以阅读 我们有关它的博客文章。
专有加密的危险
最近的博客文章还攻击 Proton Mail 使用开放加密标准(即 OpenPGP),并声称这在某种程度上不太安全。首先,OpenPGP 是一个开放标准,这意味着 Proton 的电子邮件加密不是围墙花园,您可以向任何 PGP 用户发送加密电子邮件。相比之下,Tuta 中的加密“电子邮件”无法超出其围墙花园,根本不是真正的电子邮件:它们是使用专有格式的加密消息。只要诚实面对,这对于某些用例来说甚至可能没问题。