PÅ UKJENT STED, omgitt av sveitsisk granitt, jobber Protons mailservere på høygir. De sender innbruddssikker e-post for deg med behov for litt privatliv.

Mange mener at etterretningstjenesten vet alt, eller mer enn nok, om våre bevegelser på nettet. Det er få som gjør særlig mye med saken. Med ProtonMail kan du i det minste beskytte din e-post. De tilbyr deg en kryptert innboks som de selv ikke har tilgang til. Det sier ihvertfall ProtonMail.

For sikkert?
Da selskapet ProtonMail hadde greid å samle inn over  300 000 dollar gjennom såkalt crowdsourcing, frøs Paypal selskapets konto. I følge TheGuardian kommenterte selskapets leder hendelsen slik:

When we pressed the PayPal representative on the phone for further details, he questioned whether ProtonMail is legal and if we have government approval to encrypt emails.

Sist noen prøvde å legge seg ut med NSA, ved å tilby slike krypteringstjenester, måtte de trekke tjenesten fra markedet. Lavabit, som blant andre ble benyttet av Edward Snowden, skrudde av sine e-posttjenere i 2013, etter det man antar var et betydelig press fra amerikanske myndigheter.

Ingen ting å skjule?
Gode argumenter for kryptering kan være knyttet til arbeidslivet. Sensitiv informasjon rundt bedriftens produkter, ansatte, eller økonomiske forhold, kan være mye verdt for utenforstående. Juridiske forhold, helseinformasjon eller saker knyttet til privatøkonomien er ting vi i prinsippet er enige om å holde for oss selv. I journalistikken ønsker man kildevern. Det samme trenger varsleren. I politikken kan det stå om liv og død i mange land. Proton har altså en stort potensiell kundegruppe. At kriminelle vil benytte seg av dette verktøyet gir selvfølgelig en bismak på den søte sikkerhet.

Valgets kvaler.
Skal man vurdere verdien av et kryptert epostsystem er det minst tre ting man bør ta i betraktning: Kvaliteten på det rent tekniske ved krypteringen, serverenes fysiske plassering og vertslandets holdning til slike tjenester og leverandørens troverdighet og renommé. ProtonMail leverer bra på alle disse punktene slik vi ser det. Videre tar vi for oss de tre faktorene i rekkefølge.

Skjult skrift.
ProtonMail er i dag et gratis webbasert e-postsystem. Du må riktignok stå i kø for en konto siden tjenesten er populær med begrenset kapasitet foreløpig. Virksomheten ble startet i 2013, men ble åpnet for betatesting først året etter. Den registrerte bruker identifiserer seg med en tradisjonell pålogging med SSL, altså  på en nettsideadresse som begynner med https. Dette skal hindre utenforstående å snappe opp brukernavn og passord på dette nivået. Krypteringen av din innboks skjer imidlertid på en annet måte: Nemlig på din egen maskin.

For å lese post må du taste nok et passord eller krypteringsnøkkel som dechiffrerer alt du laster ned fra serveren. På samme måte krypteres det du sender fra deg før det når Protons mailservere. Dette gjør det umulig for noen, også for ProtonMail selv, å få noe fornuftig ut av din korrespondanse. Ulempen her er at du heller ikke kan be om et nytt passord, for denne siste innloggingen, hvis du skulle være så uheldig å glemme det. All e-post vil da være tapt, men du kan starte fra scratch på samme konto med tom innboks. Du mister altså ikke konto og e-postadresse.

Sentralt langt borte.
ProtonMail har ikke bare sitt kontor i Sveits, men serverene som leverer tjenestene er også plassert der.  Sveits har noe av det strengeste regelverk for utlevering av brukerdata knyttet til IT-tjenester. Sveits er  ikke medlem av EU og vil ikke kunne presses på samme måte som land innenfor unionen. Skulle allikevel politiske endringer i Sveits føre til at myndighetene gir etter, vil det ikke være mye å hente av ukryptert informasjon om kundene i følge ProtonMails egne nettsider.

Last summer after the revelations by Edward Snowden, a lot of us in the scientific community at CERN were shocked by the extent of governmental spying. We all knew that mass surveillance was a problem in repressive regimes like those in Russia or China, but we never imagined it would also be happening on such a massive scale in Western democracies. (Medgrunnlegger Andy Yen til Idgconnect.com )

Ikke hvem som helst.
Hvem er det så som driver denne tjenesten? Kan man stole på et lite selskap man slumper til å komme over på nettet? Protonmail er ikke hvem som helst. Mailtjenesten springer ut fra miljøet i CERN (Conseil Européen pour la Recherche Nucléaire). CERNs virksomhet dreier seg i hovedsak om partikkelfysikk, kjernefysikk og kjernekjemi og omfatter verdens største forskningssenter på disse fagområdene.

Men CERN var også pionerer innen utviklingen av the world wide web og var blant de første som tok hypertekst i aktiv bruk på 80- og 90-tallet. Det er altså ikke  nabolagets hacker som har snekret sammen Proton Mail. Alt tyder så langt på at denne tjenesten vil videreføres.

ProtonMail skjermbilde


Beviset i puddingen.
Ja det virker – i hvert fall tilsynelatende. Når alt kommer til alt må de fleste, som undertegnede, bare innse at man ikke har kompetanse nok til å etterprøve programvareleverandørenes påstander om sikkerhet og kvalitet. Det hele blir et spørsmål om tillit og sannsynlighet. Vi kan tenke oss at en tjeneste som denne vil være populær blant verdens hackere. Sannsynligvis er mange av dem allerede brukere. Det betyr nok allikevel ikke at de lar ProtonMail i fred. Lykkes man med å knekke krypteringen og skaffe seg tilgang til data, innebærer dette selvfølgelig stor prestisje. Dette har vi så langt ikke hørt noe om.

Et selskap med et lignende krypteringsprinsipp for såkalte skytjenester, Tresorit, har sågar utlovet belønning for å bryte seg inn i deres systemer. Ingenting er så langt rapportert og Tresorit har øket dusøren. Man må også anta at hendelsen med Paypals plutselige frysing av ProtonMails konto for croudsourcingmidler er et godt tegn. Hvis amerikanske myndigheter sto bak dette ville det ha vært bortkastede ressurser hvis ikke ProtonMail virkelig holder det de lover.

Er det verdt det?
Tjenesten ber deg holde styr på et ekstra passord og har kanskje ikke det mest strømlinjeformede brukergrensesnittet på markedet. Hvis du ikke har mye å skjule, ikke vil bruke ProtonMail til lagring av andre passord eller annen sensitiv informasjon og heller ikke har noe prinsipielt standpunkt rundt disse spørsmålene, er det kanskje ikke verdt innsatsen. Har du derimot noe du gjerne vil dobbeltsikre, har glede av å gi NSA et spark på leggen, eller bare ønsker et privatliv, er ProtonMail der. Det er bare å stille seg i kø.

 

Artikkelens hovedbilde: ProtonMails medgrunnlegger Jason Stockman – Alle bilder: ProtonMail
Kilder: Protonmail.ch, The Guardian, The New Yorker, Idgconnect.com, Wikipedia, og CERN er linket i artikkelen.

Pin It on Pinterest

Share This