オープンソースのメールサービス「ツタノウタ」は、プライバシーの権利を守るために戦っています。
Tutanotaは、プライバシー、セキュリティ、使いやすさに明確に焦点を当てた、Gmail & Coに代わる安全なオープンソースメールです。
オープンソースのメールアプリがF-Droidで利用可能に
今日、誰もがF-DroidからツタノタのAndroidアプリを入手できることをとても嬉しく思います。F-Droidでアプリを公開することは挑戦でしたが、間違いなくその価値がありました。今日まで、他のセキュアメールサービスは、無料とオープンソースアプリのためのナンバーワンプラットフォームであるF-DroidでAndroidアプリを公開していません。
ほとんどのメールプロバイダーは、プッシュ通知をGoogleのGCM(現在はFCM)に依存しているため、F-Droidのリリースは不可能です。F-Droidでメールアプリを検索しても、Tutanotaを除いて、有名なメールサービスのアプリは一つも見つかりません。-正直なところ、これは少し誇らしいことです。
Tutanota - Googleフリー保証
F-Droidでアプリをリリースすることで、Tutanotaは完全にGoogleに依存しない安全なメールサービスを構築できることを証明し、人々にGmail,Yahoo,Hushmail,GMX,Outlook,Fastmail,Posteo,Startmail,Mailbox.organdProtonmailなどのサービスに代わる本当のオープンソースメールを提供することができるようになりました。
F-DroidチームはTutanotaがアプリストアに追加されたことを歓迎しています。
「TutanotaがF-Droidとフリーソフトに熱心で、アプリを一から書き直したので、このアプリが含まれるようになったことをうれしく思っています。さらに、彼らは追跡を避けるために特別な措置を講じており、エンドツーエンドの暗号化と二要素認証のサポートでセキュリティはしっかりしているようです。“
**オープンソースのTutanotaアプリは、こちらのF-Droidで入手**できます。
なぜGoogleフリーであることが重要なのか?
グーグルフリーは、単にGmailをやめれば達成できるわけではありません。ほとんどのメールサービスはGoogle製品に依存しています。FCMのプッシュ通知、Google Captcha、その他動的にロードされるサードパーティーコードなどです。
クライアントがGoogleプッシュやGoogle Captchaなどの外部サービスを使用している場合、それらがユーザーの行動を追跡し、個人情報を収集する可能性が常にあります。プロバイダがこのようなサービスを信頼し、動的にコードをダウンロードして実行する場合、悪意のあるコードを注入するための攻撃ベクトルが開かれます。これは、プロバイダーが気づかないうちに起こる可能性があります。
サードパーティのコードを信頼することは、セキュリティ上の重大な脅威であり、過小評価することはできません。もしスノーデンがサードパーティのコードを使ったサービスを利用していたとしても、NSAは当該サービスを召喚する必要はなかったでしょう。Google や、当該サービスにコードを提供している他のサービスに、その人が次回サインインするときにログインパスワードを記録するコードのスニペットを注入するよう依頼するだけでよかったのです。
Google Captcha: Googleを使うべきでない最良の例
多くのオンラインサービスでは、スパマーを排除するためにGoogleのRECAPTCHAを使用しています。これは必要ないだけでなく、危険でもあります。Google Captchaの使用は、ユーザーがオプトアウトできない集中的なトラッキングとフィンガープリンティングを受けることになります。
この記事は、Google Captchaがいかにプライバシーを侵害するものであるかを詳しく説明しています。
ReCAPTCHAがReCAPTCHA専用のドメインではなく、google.comのドメインを使うのには、それなりの理由があるのです。これによって、グーグルはあなたのためにすでに設定されたあらゆるクッキーを受け取ることができ、サードパーティのクッキーの設定に関する制限を効果的に回避し、ほとんどのユーザーが利用しているグーグルの他のすべてのサービスとのトラフィック相関を可能にするのです。ReCAPTCHAは、単に自分がロボットでないことを証明したい多くのユーザーを確実に匿名化解除できるほどの情報を収集するのです。ReCAPTCHAを見るにもJavaScriptが必要なため、TBB(Tor Browser Bundle)などのソフトウェアを実行しているユーザーでさえ、例えばブラウザのウィンドウサイズを変更した場合(まさにこの理由のために推奨されています)、意図した以上の情報を提供していることに気づくかもしれません。
このようなトラッキングを考えると、Google Captchaを使用することはツタノタにとって決して選択肢ではありませんでした。そのため、私たちは非常にシンプルで効果的な独自のキャプチャを作成しました。
最大限のセキュリティを保証するためにTutanotaが行っていること
私たちツタノタは、ツタノタのアプリケーションが他のアプリケーションをアドレス指定したり、他のサービスから外部コードを読み込んで実行することがないように配慮しています。
Tutanotaでは他のオープンソースライブラリーのコードを使用していますが、これらは私たちのアプリケーションに静的にコード化されており、これらのアプリケーションがコードをロードできないように配慮しています。お客様のプライバシーを最大限に保護するために、以下の対策を実施しています。
- Google Captchaのような外部サービスの使用禁止
- AndroidアプリでGoogleのライブラリを使用しない(Googleプッシュを使用しない)。
- 自社開発のプッシュ通知システムを使用
- 他のライブラリからの外部コードの再読み込みの禁止
- 実装されている全てのオープンソースライブラリをレビュー
- 厳格なCSP(Content Security Policy)ヘッダーの使用
- XSS攻撃を防ぐため、未知のコンテンツ(メール)を表示する際にHTMLサニタイザーを使用する。
- デフォルトでは、他のサーバーから外部コンテンツを読み込まない(メールに写真や動画が含まれない)
- Pop/IMAPを許可する代わりに、独自の安全なデスクトップクライアントを構築しました。
デスクトップクライアントでは、署名を確認することもできるので、誰もコードをいじっていないことを確認することができます。
コードが自由ソフトウェアとして公開されているため、Tutanotaに暗号化のバックドアが存在することは決してありません。
オープンソースカレンダー
2019年、オープンソースのメールプロバイダーに、オープンソースの暗号化カレンダーを追加しました。これは、Tutanotaが本格的なGmailの代替となるためのもう一つのステップです。
プライバシー、セキュリティ、使いやすさに注力
Tutanotaは設立当初からGPLv3でライセンスされたオープンソースとしてGitHubで公開されています。
私達はGmail、GMX、Yahooのようなユーザーを監視する主流のメールサービスの安全な代替手段を確立するためにTutanotaを構築しています。Googleをやめることは簡単ではありませんが、その努力は価値があります。自分のデータをコントロールできるようになります。ツタノタの完全暗号化メールボックスのようなサービスを利用すれば、自分のデータは自分で管理し、他の誰もアクセスすることができません。
そしてもちろん、Googleをやめるとなると、F-Droidは最も重要なプラットフォームの1つであり、自動更新でGoogleフリーのAndroidアプリを入手できる最高の場所だからです。
Googleを完全に排除するためにオープンソースのメールアプリをどのように更新したか
当社のAndroidおよびiOSアプリは、当初からオープンソースとして公開されています。ツタノタのオリジナルのAndroidアプリはCordovaをベースに構築されており、過去にはF-Droidのサーバーがアプリを構築できないため、F-Droidでの公開が不可能でした。
F-DroidでAndroidアプリを公開できないことが、TutanotaのWebクライアント全体を再構築し始めた主な理由の1つです。私たちはプライバシーとオープンソースの愛好家であり、私たち自身もF-Droidを使用しています。その結果、私たちのアプリはどんな努力をしても、そこで公開されなければなりません。
その結果、私たちはメールクライアントを完全に作り直し、多くの機能拡張をした新しいメールクライアントを公開しました。新しいクライアントは、より速く、より良いデザインで、暗号化されたデータの検索を可能にし、2FAと自動同期をサポートし、もうCordovaをベースにしていません。
このアップデートにより、ついにF-Droidで全く新しいTutanotaのAndroidアプリを公開することが可能になりました。
Tutanotaは、Gmailを終了することができます。
今回のリリースは、新しい機能だけでなく、何よりもGoogleのサービスに縛られない新しいAndroidアプリがついに登場したことに、私たちはとても興奮しています。私たちにとって、このアップデートは、クライアントコード全体がGitHub上で公開されているオープンソースのメール代替サービスを利用できるようにするために、非常に重要なものでした。
Googleに依存しないAndroidアプリを提供することは、私たちが求める最低条件です。
私たちは、F-Droidから自分たちのアプリを入手できることをとても嬉しく思っていますし、皆さんもF-Droidから入手することをお勧めします。)
もしあなたが私たちと同じようにオープンソースを愛しているなら、私たちのお気に入りのオープンソースソーシャルネットワークであるMastodonに参加してください。
なぜオープンソースのメールが良いのか
オープンソースのメールクライアントのコードは、セキュリティコミュニティによって検査され、バグやバックドアがないことを確認することができます。これは重要なことです。なぜなら、オープンソースであればこそ、そのコードがサービスが約束することを実行しているかどうか、つまりメールの安全性を確保しているかどうかが分かるからです。
最高のメールサービスを作るために、私たちを助けてください
Tutanotaはプライバシーとオープンソースを支持する情熱的なチームです。
私たちは常に開発者を募集しています。私たちは持続的な成長を約束し、Tutanotaの販売から得たすべての収入をチームに投資しています。私たちは、チームに参加する全員が私たちと同じようにプライバシーとオープンソースに情熱を持っていることを確認したいのです。
チーム全体でプライベートで安全なインターネットというビジョンを共有しているため、F-DroidでAndroidアプリを公開したり、暗号化を組み込んだデスクトップクライアントを構築したりといった開発ステップの優先順位付けがより簡単になります。
2014年からGitHubで公開
Tutanotaをオープンソースのメールサービスにすることは、私たちにとって最も重要な課題の1つでした。現在までにTutanotaの全コードをGitHubで公開しています。
GitHubで活動しているほとんどの人は開発者なので、Tutanotaとそのセキュリティを改善するために、非常に貴重なフィードバックをくれました。
私たちは、より多くの人に私たちのコードを見てもらい、ローカルでビルドしてもらいたいと思っています。私たちは、安全なメールプロバイダーにとって、コミュニティがコードを深く掘り下げ、セキュリティをさらに向上させることが非常に重要であると確信しています。
2014年9月のオープンソースリリース後、私たちはTutanotaに多くの改良を加えてきました。私たちは、SSLのセキュリティを非常に強化するDANEサポートを実装しました。Androidと iOSのアプリを構築し、オープンソースのメールアプリとして公開しました。
F-Droidにもオープンソースのメールアプリを追加したかったのですが、その時はまだでした。残念ながら、上記のように当時は不可能でしたので、Tutanotaメールクライアントとアプリの機能を改善することに集中しました。
しかし、私たちのユーザーの多くはGoogleを使いたがらないことを知っています-非常に正当な理由で-ので、私たちのウェブサイトでもアプリを利用できるようにしました。
2014年のクリスマス頃にアプリを公開することができたのですが、この時期にたくさんのお礼のメールをいただき、とても嬉しかったですそれからわずか数ヶ月で、月額わずか1ユーロの拡張版Tutanotaを追加し、常に機能を増やしています。これで、Tutanotaを独立して運営し続けることができるようになりました。
その後、2018年にF-DroidでAndroidアプリを公開しました。あとは、Tutanotaのサーバー部分もオープンソース化することが唯一の課題です。個人・法人向けに、簡単にセットアップできる小型のサーバーをオープンソースで開発する予定です。これは多くの開発労力を必要とするため、この機能がいつリリースされるかの正確な見積もりはできませんが、間違いなく私たちのTo Doリストに入っています。
翻訳プロジェクトに参加する
オープンソースリリース後すぐに、Tutanotaの翻訳プロジェクトも開始しました。現在までに約180名のボランティアが参加し、Tutanotaを30カ国以上の言語に翻訳しています。このサポートは本当に素晴らしいです。
特に表現の自由やプライバシーの権利のない国々で、安全な電子メールの代替手段が世界中で必要とされていることが分かります。私達は常にTutanotaに言語を追加しており、Tutanotaの翻訳プロジェクトに参加したいと思う全ての人を歓迎しています。
私達はあなたのオープンソースメールクライアントを改善するために、さらに多くの機能を計画しています。コミュニティフォーラムで頂いたご意見を元に、どの機能を優先させるか決定しています。
デスクトップクライアント、オフライン対応、メールインポート、オープンソースカレンダーなど、どのような機能がすでに利用可能か、または将来的に計画されているか、ここで確認してください。
暗号化を楽しんでください