Банкинг - ДеБанкинг

Page: 1

Posts 1 to 10 of 10

Share1Yesterday 18:29:05

Posted by: admin
Member

Debunking Proton and CIA/NSA fake news
https://www.reddit.com/r/ProtonMail/com … fake_news/

For a while, there have been rumors alleging essentially that Proton Mail or Proton VPN are CIA/NSA honeypots. It's an incredible claim, and while it’s generally not worth debunking conspiracy theories, this one makes it pretty easy due to how bad the claims are, so let’s do it once and for all.

The claims are essentially the following:

Proton’s onion site redirects to the non-onion site for sign-up.

This hasn’t been the case since the new Proton Tor site launched: https://proton.me/blog/updated-tor-site. But even if it was the case, this does not compromise any of Tor's security guarantees. You're still connecting via Tor Browser (we all know Tor Browser is capable of browsing clearnet sites without compromising anonymity).

2. Proton Mail does not provide “End-to-end encryption”.

This is incorrect, Proton provides E2EE. What it doesn't provide is a zero-trust security model (which no other app provides) as you still must trust the web or mobile apps. But if that’s your threat model, compile the open-source mobile apps on your own, use Proton’s open-source desktop bridge software, or one of the independent clients out there.

3. Proton Mail was created by the CIA/NSA.

The basis for this allegation seems to be the fact that some people at Proton have links to MIT, and some MIT people (not the same people) have links to the CIA/NSA. This claim is of course absurd. For instance, RSA encryption was also invented at MIT. Proton, as a company created by scientists, has connections to most of the world’s top research universities, but that doesn’t make Proton a CIA/NSA front.

4. Proton is partly owned by CRV and the Swiss government.

This is easy to refute also. Proton is supported by FONGIT, a Swiss non-profit foundation. As a private non-profit foundation, FONGIT is not owned by the Swiss govt (a non-profit foundation by definition has no owners). Charles River Ventures once held a small stake in Proton, but this is no longer the case today. Even if it were true, it’s a stretch to claim that receiving funds from venture capital compromises user security/privacy, particularly for open-source software.

5. CRV is linked to In-Q-Tel & the CIA.

There’s no link between CRV, In-Q-Tel, and the CIA.

6. Proton Mail follows the CIA Email format.

Proton Mail uses *.eml for email storage? Wow, amazing! Proton Mail uses a common, standard format for email storage used by every email service. It must be the CIA! :D

There are also some claims about email metadata. Email metadata is, as a protocol limitation, not protected by end-to-end encryption. This is a limitation of email and OpenPGP itself, not Proton Mail doing something shady.

7. Swiss MLAT law gives the NSA full access.

This is simply false and no such thing appears in the Swiss MLAT treaties.

8. Proton Mail uses Radware for DDoS protection.

Allegedly, because Radware is an Israeli company, Mossad has access to Proton Mail. This is technically impossible due to the way DDoS protection works (the GRE tunnels cannot bypass encryption). End-to-end encryption also means Proton itself can’t decrypt user accounts. Finally, Proton has not used Radware since 2018.

9. Proton works with law enforcement

Arguably, if Proton was a CIA/NSA honeypot, there would be no need for law enforcement cooperation. On a more serious note, Proton is based in Switzerland, not in international waters, so yes, Proton will follow Swiss court orders, but the power of Swiss authorities is limited (especially compared to say the US), even more so after Proton won in the Swiss court in 2021: https://proton.me/blog/court-strengthens-email-privacy.

In short, these claims can all be easily debunked with publicly available information. And while it is impossible to conclusively prove the opposite (that Proton can 100% be trusted), there are many indicators of trust, as outlined in the following link, particularly for VPN where trust is paramount: https://protonvpn.com/blog/is-protonvpn-trustworthy/.

Share2Yesterday 18:29:15

Posted by: admin
Member

Разоблачение фейковых новостей «Протона» и ЦРУ/АНБ

Некоторое время ходили слухи, что Proton Mail или Proton VPN являются приманками ЦРУ/АНБ. Это невероятное утверждение, и хотя разоблачать теории заговора, как правило, не стоит, это делает задачу довольно простой, поскольку утверждения настолько плохи, что давайте сделаем это раз и навсегда.

Претензии по сути заключаются в следующем:

Луковый сайт Proton перенаправляет на не-onion-сайт для регистрации.

Такого не было с момента запуска нового сайта Proton Tor: https://proton.me/blog/updated-tor-site. Но даже если бы это было так, это не ставит под угрозу никакие гарантии безопасности Tor. Вы по-прежнему подключаетесь через Tor Browser (мы все знаем, что Tor Browser способен просматривать сайты в чистой сети без ущерба для анонимности).

2. Proton Mail не обеспечивает «сквозное шифрование».

Это неверно, Proton предоставляет E2EE. Чего он не обеспечивает, так это модели безопасности с нулевым доверием (которую не обеспечивает ни одно другое приложение), поскольку вы все равно должны доверять веб-приложениям или мобильным приложениям. Но если это ваша модель угроз, скомпилируйте мобильные приложения с открытым исходным кодом самостоятельно, используйте программное обеспечение Proton для настольных компьютеров с открытым исходным кодом или один из независимых клиентов.

3. Протонная почта была создана ЦРУ/АНБ.

Основанием для этого обвинения, похоже, является тот факт, что некоторые люди в «Протоне» связаны с MIT, а некоторые люди из MIT (не одни и те же люди) имеют связи с ЦРУ/АНБ. Это утверждение, конечно, абсурдно. Например, шифрование RSA также было изобретено в Массачусетском технологическом институте. «Протон», как компания, созданная учеными, имеет связи с большинством ведущих исследовательских университетов мира, но это не делает «Протон» прикрытием ЦРУ/АНБ.

4. Протон частично принадлежит CRV и правительству Швейцарии.

Это тоже легко опровергнуть. Протон поддерживается швейцарским некоммерческим фондом FONGIT. Будучи частным некоммерческим фондом, FONGIT не принадлежит правительству Швейцарии (некоммерческий фонд по определению не имеет владельцев). Charles River Ventures когда-то владела небольшой долей в Proton, но сегодня это уже не так. Даже если бы это было правдой, было бы преувеличением утверждать, что получение средств от венчурного капитала ставит под угрозу безопасность/конфиденциальность пользователей, особенно для программного обеспечения с открытым исходным кодом.

5. CRV связан с In-Q-Tel и ЦРУ.

Между CRV, In-Q-Tel и ЦРУ нет никакой связи.

6. Proton Mail соответствует формату электронной почты ЦРУ.

Proton Mail использует *.eml для хранения электронной почты? Вау, потрясающе! Proton Mail использует общий стандартный формат хранения электронной почты, используемый каждой службой электронной почты. Должно быть, это ЦРУ! :D

Есть также некоторые претензии к метаданным электронной почты. Метаданные электронной почты из-за ограничения протокола не защищены сквозным шифрованием. Это ограничение электронной почты и самого OpenPGP, а не Proton Mail, делающего что-то сомнительное.

7. Швейцарский закон MLAT предоставляет АНБ полный доступ.

Это просто ложь, и в швейцарских договорах MLAT ничего подобного не содержится.

8. Proton Mail использует Radware для защиты от DDoS.

Якобы, поскольку Radware — израильская компания, у Моссада есть доступ к Proton Mail. Это технически невозможно из-за особенностей работы защиты от DDoS (туннели GRE не могут обойти шифрование). Сквозное шифрование также означает, что Proton сам не может расшифровать учетные записи пользователей. Наконец, Proton не использует Radware с 2018 года.

9. «Протон» сотрудничает с правоохранительными органами

Возможно, если бы «Протон» был приманкой ЦРУ/АНБ, не было бы необходимости в сотрудничестве правоохранительных органов. Если говорить более серьезно, «Протон» базируется в Швейцарии, а не в международных водах, так что да, «Протон» будет следовать постановлениям швейцарского суда, но полномочия швейцарских властей ограничены (особенно по сравнению, скажем, с США), особенно после того, как «Протон» выиграл в швейцарском суде в 2021 году: https://proton.me/blog/court-strengthens-email-privacy.

Короче говоря, все эти утверждения можно легко опровергнуть с помощью общедоступной информации. И хотя невозможно убедительно доказать обратное (что Протону можно доверять на 100%), существует множество показателей доверия, как указано в следующей ссылке, особенно для VPN, где доверие имеет первостепенное значение: https://protonvpn.com/blog/is-protonvpn-trustworthy/.
Send feedback

Share3Yesterday 18:31:06

Posted by: admin
Member

Там же, комментарий
----------------------------

I’ve seen these arguments also propagated by MentalOutlaw. If he’s an example of the part of the community raising these points then they’re nothing but extremely paranoid.

I’m big into privacy and self hosting and open source as well. I don’t like to trust big tech like Facebook with my data but at some point the average individual has to define an attack network to try and protect against. Most OpSec people I’ve worked with do the same. Can I protect against FB selling my data? Yes. Can I protect against script kiddies? Yes. Can I protect myself from a country that shells almost a trillion dollars into counter opsec measures every year? Only a foolish individual would think they could protect against that for long if they were a target by a government. And for people who are, political dissidents, journalists, etc the level of paranoia they have with technology basically brings tech to an unusable level in every day life.

So my takeaway is, can we fully trust protonmail? Probably not. Even if protonmail was fully open source, how can we trust that they’re not running a modified codebase on their servers? There will always be questions by the paranoid. But at some point us normal people need to draw a line of who we’re protecting against otherwise we just need to throw all tech out. I use it because it’s probably better than Gmail for privacy and self hosting email is hard and I don’t pretend I can protect against the US government if they try and target me.

Share4Yesterday 18:31:18

Posted by: admin
Member

Я видел, как эти аргументы также распространялись MentalOutlaw. Если он является примером той части сообщества, которая поднимает эти вопросы, то они не что иное, как крайний параноик.

Я большой сторонник конфиденциальности, самостоятельного хостинга и открытого исходного кода. Я не люблю доверять свои данные таким крупным технологиям, как Facebook, но в какой-то момент среднестатистическому человеку приходится определять сеть атак, от которой он пытается защититься. Большинство сотрудников OpSec, с которыми я работал, делают то же самое. Могу ли я защититься от продажи моих данных Facebook? Да. Могу ли я защититься от скрипт-кидди? Да. Могу ли я защитить себя от страны, которая каждый год тратит почти триллион долларов на меры по борьбе с оперативной безопасностью? Только глупый человек может подумать, что сможет защититься от этого надолго, если станет мишенью правительства. А для людей, которые являются политическими диссидентами, журналистами и т. д., уровень паранойи, которую они испытывают в отношении технологий, по сути, выводит технологии на непригодный для использования в повседневной жизни уровень.

Итак, мой вывод: можем ли мы полностью доверять protonmail? Вероятно, нет. Даже если исходный код protonmail был полностью открытым, как мы можем быть уверены, что они не используют модифицированную кодовую базу на своих серверах? У параноика всегда будут вопросы. Но в какой-то момент нам, нормальным людям, нужно провести черту того, от кого мы защищаемся, иначе нам просто придется отказаться от всех технологий. Я использую его, потому что он, вероятно, лучше, чем Gmail, с точки зрения конфиденциальности, а самостоятельное размещение электронной почты затруднено, и я не притворяюсь, что смогу защититься от правительства США, если они попытаются напасть на меня.
Send feedback

Share5Yesterday 18:32:55

Posted by: admin
Member

Encryption of all metadata
https://protonmail.uservoice.com/forums … l-metadata

If Protonmail is to be serious about privacy, I don't understand why all metadata isn't kept solely in encrypted form. I just signed up for Scryptmail and any data is kept in encrypted form, unreadable for any third party.

I don't see why it would be necessary to keep for instance the senders or subject titles in encrypted form when Protonmail doesn't support POP3 or IMAP.

The problem is that otherwise e-mail is inherently insecure, because if for instance a governmental entity wants to see your account, while they won't have access to the content of your e-mails, they can see what you're talking about (through the subjects), and most of all who you are talking to. So they can just go to the providers of the people you're talking to, and obtain all your info via proxy.

I think if Protonmail doesn't become a true zero knowledge service then it provides more or less a false sense of security.

Share6Yesterday 18:33:30

Posted by: admin
Member

Шифрование всех метаданных

Если Protonmail серьезно относится к конфиденциальности, я не понимаю, почему все метаданные не хранятся исключительно в зашифрованном виде. Я только что зарегистрировался в Scryptmail, и все данные хранятся в зашифрованном виде, нечитаемом для третьих лиц.

Я не понимаю, почему необходимо хранить, например, отправителей или заголовки тем в зашифрованном виде, если Protonmail не поддерживает POP3 или IMAP.

Проблема в том, что в противном случае электронная почта по своей сути небезопасна, потому что, если, например, правительственный орган захочет увидеть вашу учетную запись, хотя он не будет иметь доступа к содержимому ваших электронных писем, он сможет видеть, о чем вы говорите (по темам), и, прежде всего, с кем вы разговариваете. Таким образом, они могут просто обратиться к поставщикам услуг людей, с которыми вы разговариваете, и получить всю вашу информацию через прокси.

Я думаю, что если Protonmail не станет настоящим сервисом с нулевым разглашением, то он обеспечит более или менее ложное чувство безопасности.

Share7Yesterday 18:34:31

Posted by: admin
Member

We have given this quite a bit of thought, but at the present moment, it is not clear the advantages would outweigh the disadvantages.

The biggest problem is search. Encrypting all metadata would break metadata search entirely on the web client as there is still no efficient way to handle search of encrypted data within a browser.

Secondly, metadata encryption’s value from a privacy standpoint is also somewhat dubious. Because we ultimately must deliver the message to the recipient, we must know who the recipient is. At the current time, there still isn’t any proven and viable way to work around this.

Metadata encryption is an area of continued research for us, and when the opportunity arises and the technology for doing this matures, we will definitely implement it in ProtonMail.

Share8Yesterday 18:34:48

Posted by: admin
Member

Мы много думали об этом, но на данный момент не ясно, какие преимущества перевесят недостатки.

Самая большая проблема – это поиск. Шифрование всех метаданных полностью нарушит поиск метаданных в веб-клиенте, поскольку до сих пор не существует эффективного способа обработки поиска зашифрованных данных в браузере.

Во-вторых, ценность шифрования метаданных с точки зрения конфиденциальности также несколько сомнительна. Поскольку в конечном итоге мы должны доставить сообщение получателю, мы должны знать, кто является получателем. В настоящее время до сих пор не существует проверенного и жизнеспособного способа обойти эту проблему.

Шифрование метаданных является для нас областью постоянных исследований, и когда появится возможность и технология для этого станет зрелой, мы обязательно реализуем ее в ProtonMail.