Bezpieczne wiadomości e-mail na wyciągnięcie ręki
Wszechstronne szyfrowanie, brak śledzenia, otwarte oprogramowanie - istnieje wiele czynników, które sprawiają, że Tuta jest najbezpieczniejszym dostawcą poczty e-mail na świecie. Zapoznaj się szczegółowo z funkcjami bezpieczeństwa Tuta i dowiedz się, w jaki sposób różne środki bezpieczeństwa chronią twoje wrażliwe dane.
Bezpieczeństwo i prywatność idą w parze
Oceniając bezpieczeństwo i prywatność dowolnej usługi online, zawsze zadawaj sobie następujące pytania:︎
︎
- Kto za to płaci? Użytkownicy czy reklamodawcy? Jeśli odpowiedź brzmi "reklamodawcy", usługa nigdy nie zaoferuje prawdziwie bezpiecznego i prywatnego rozwiązania. Jej głównym priorytetem jest interes reklamodawców, pomagając im identyfikować docelowych odbiorców na podstawie danych użytkowników i wyświetlać im reklamy. W takim modelu biznesowym ochrona prywatności użytkowników jest zawsze na drugim miejscu.
︎ - Kto kontroluje stos technologiczny? Jest to bardzo techniczne, ale niezwykle ważne pytanie. Jeśli usługa korzysta z "technologii" innych firm, takich jak Dovecot, Roundcube, Google reCaptcha lub Google Push, wiesz na pewno, że bezpieczeństwo i prywatność nie mogą być jej głównym priorytetem, ponieważ dostawca świadomie ujawnia informacje innym - bez ostrzegania o tym użytkowników. Jest to kolejny powód, dla którego warto wybrać usługę, która jest napisana jest otwartym kodem źródłowym i nie opiera się na integracji z zamkniętym oprogramowaniem.︎
︎ - Które dane są szyfrowane metodą od końca do końca (E2E)? Wielu dostawców twierdzi, że ich usługa zapewnia bezpieczną pocztę e-mail, a przechowywane dane są "szyfrowane". To, co sprawia, że to pytanie jest tak ważne, to w jaki sposób dane są szyfrowane, ponieważ tylko wtedy, gdy dane są szyfrowane metodą od końca do końca, są one naprawdę niedostępne dla usługi online, a także dla innych stron trzecich. Tylko wtedy usługę można uznać za oferującą bezpieczną pocztę e-mail. Dlatego zwykłe "szyfrowanie" danych nie jest wystarczające, dane muszą być szyfrowane metodą od końca do końca.
Kontrola stosu oprogramowania
Wiele usług e-mail, nawet tych bezpiecznych, wykorzystuje technologie innych firm, takie jak Dovecot, Roundcube i inne, do tworzenia własnych produktów. Za każdym razem, gdy tak zwana bezpieczna usługa korzysta z aplikacji innych firm, trudniej jest ją zabezpieczyć. Powód jest prosty: Każda usługa zawarta w kodzie wykonuje kod. Bezpieczeństwo każdej usługi nie może być lepsze niż jej zależności. Każda zależność od kodu strony trzeciej musi być utrzymywana, a aktualizacje zabezpieczeń muszą być stosowane natychmiast. Ponadto każda usługa innej firmy może potencjalnie śledzić użytkowników, wysyłać dane do własnych serwerów itp. Dlatego w Tuta używamy tylko otwartego kodu źródłowego , który sami sprawdziliśmy przed jego użyciem. W ten sposób upewniamy się, że narzędzia open source, z których korzysta Tuta są bezpieczne: Regularnie przeprowadzamy przeglądy bezpieczeństwa tych narzędzi, a także naszych własnych klientów, na przykład gdy wydawaliśmy nasze aplikacje na komputery stacjonarne z wersji beta. ︎
︎
Oczywiście w Tuta również nie możemy wymyślać koła na nowo. Ale sami zbudowaliśmy wszystkich klientów - web, Android, iOS i wszystkie aplikacje desktopowe. Ponadto kładziemy duży nacisk na bezpieczeństwo w całym naszym procesie rozwoju. Wszyscy programiści mają to samo DNA: prywatność i bezpieczeństwo na pierwszym miejscu.
︎
Jedną z głównych cech wyróżniających Tuta jest to, że sami tworzymy wszystkie główne części Tuta, nawet poza podstawową funkcjonalnością poczty e-mail, taką jak captcha, usługa powiadomień push na Androida i inne.
︎
Tylko dzięki otwartym kodzie źródłowym - naszych własnych klientów i oprogramowania, od którego zależy Tuta - osoby znające się na technologii mogą przeprowadzić audyt kodu i sprawdzić, czy Tuta robi to, co obiecujemy: maksymalnie zabezpiecza prywatne wiadomości e-mail. ︎
︎
Sprawdź tutaj dlaczego zalecamy wybór naszych bezpiecznych klientów desktopowych dla systemów Linux, Windows i macOS oraz dlaczego tak ważne jest, że stworzyliśmy własną captchę o otwartym kodzie źródłowym, a także alternatywę dla Google Push na Androida.
Bezpieczeństwo
Kierujemy się koncepcją "bezpieczeństwo przede wszystkim".
︎
Oferując bezpieczną usługę poczty e-mail, ludzie ufają, że twoje zabezpieczenia będą niezawodne. Dla nas oznacza to, że nigdy nie może być kompromisu, jeśli chodzi o bezpieczeństwo. Bezpieczeństwo musi być wbudowane w kod, aby można było łatwo dodać do niego użyteczność - nie na odwrót.
︎
Koncepcja "bezpieczeństwo przede wszystkim" doprowadziła do kilku decyzji rozwojowych, które dziś gwarantują najwyższy poziom bezpieczeństwa Tuta:︎
︎
Nie używamy PGP, ale nieco innej implementacji (początkowo opartej na AES 256 i RSA 2048), która pozwala nam szyfrować znacznie więcej danych (linie tematu), a także szyfrować wszystkie inne funkcje, które dodajemy do Tuta, takie jak kontakty i kalendarze - które są w 100% szyfrowane. Zastąpiliśmy RSA przez ECDH (x25519) Kyber-1024, aby udostępnić kryptografię bezpieczną kwantowo wszystkim użytkownikom Tuta. W przyszłości planujemy również wspierać przekazywanie tajemnic.
Nie przeszukujemy danych użytkownika na serwerze, ponieważ są one tam zaszyfrowane. Zamiast tego Tuta tworzy zaszyfrowany indeks wyszukiwania, który jest przechowywany lokalnie na urządzeniu lub w przeglądarce i tam przeszukiwany. Umożliwia to lokalne przeszukiwanie wszystkich wiadomości e-mail (nadawca, odbiorca, temat, treść, załącznik) przy jednoczesnej ochronie prywatności.
Nie oferujemy protokołu IMAP, ponieważ działałby on tylko wtedy, gdybyśmy wysyłali odszyfrowane dane do urządzenia. Zamiast tego stworzyliśmy własne programy klienckie, napisane otwartym kodem źródłowym, które przechowują zaszyfrowane dane. Klienci desktopowi są również podpisani, aby każdy mógł zweryfikować, że klient uruchamia dokładnie ten sam kod, co kod opublikowany na GitHub.
Tworząc bezpieczny adres e-mail w Tuta, możesz mieć pewność, że Twoje dane są bezpieczne.
End-to-end encryption
Szyfrowana skrzynka pocztowa, kalendarz, kontakty.
︎
Od samego początku w Tuta zapewnialiśmy, że jak najwięcej danych jest szyfrowanych E2E. Tuta była pierwszym na świecie dostawcą poczty e-mail z szyfrowaniem typu od końca do końca i do dziś jest to usługa e-mail, która szyfruje więcej danych niż jakakolwiek inna.
︎
Tuta domyślnie szyfruje wszystkie dane: E-mail, kalendarze, kontakty. Kompleksowe szyfrowanie zapewniane przez Tuta gwarantuje, że dane są bezpieczne i prywatne, nawet jeśli wpadną w niepowołane ręce.︎
︎
Serwery Tuta przechowują tylko zaszyfrowane dane, a klucz deszyfrujący jest udostępniony tylko użytkownikowi. Gwarantuje to, że nawet jeśli połączenie internetowe zostanie przechwycone lub w bardzo mało prawdopodobnym scenariuszu ktoś włamie się na nasze serwery, dane pozostaną bezpieczne.
︎
Dzięki wbudowanemu szyfrowaniu Tuta sprawia, że bezpieczeństwo jest łatwo dostępne dla użytkowników prywatnych i firm na całym świecie. Aby odszyfrować swoje dane, wystarczy zalogować się na swój bezpieczny adres e-mail za pomocą hasła. Możesz łatwo zalogować się za pośrednictwem przeglądarki internetowej, aplikacji Tuta na Androida i iOS lub klientów desktopowych Tuta dla systemów Windows, macOS i Linuks.
Jak wysłać bezpieczną wiadomość e-mail do każdego.
︎
Tuta umożliwia wysyłanie bezpiecznych wiadomości e-mail (szyfrowanych E2E) do każdego, kto posiada wspólne hasło. Oznacza to, że wiadomość jest szyfrowana na urządzeniu nadawcy i może być odszyfrowana tylko przez urządzenie odbiorcy. Możesz łatwo wymieniać poufne rozmowy lub pliki online, wiedząc, że wszystkie dane wysyłane za pośrednictwem Tuta są bezpiecznie szyfrowane metodą od końca do końca. Możesz łatwo wysyłać zaszyfrowane wiadomości e-mail do odbiorców zewnętrznych, definiując hasło. Hasło jest ważne dla wszystkich wiadomości e-mail wymienianych z tą osobą, nie ma potrzeby definiowania nowego hasła dla każdej wiadomości e-mail, jak w przypadku innych bezpiecznych dostawców.
Zaszyfrowany kalendarz︎
︎
Tuta jest wyposażona w szyfrowany metodą od końca do końca kalendarz, który pozwala planować i przechowywać wszystkie spotkania w sposób poufny. Nasz kalendarz jest wyjątkowym osiągnięciem, ponieważ nie tylko wszystkie dane są szyfrowane, ale także przypomnienia są szyfrowane E2E. Nawet czas, w którym powiadomienie jest wysyłane do użytkownika, jest ukryty na naszych serwerach, dzięki czemu nie znamy czasu spotkań naszych użytkowników.
Szyfrowanie TLS
Zabezpieczanie protokołu e-mail︎
︎
Wysyłając wiadomości e-mail za pomocą Tuta, wybierasz najbezpieczniejszą opcję, ponieważ Tuta umożliwia automatyczne szyfrowanie wiadomości e-mail metodą od końca do końca.
︎
Czasami jednak możesz chcieć wymieniać niezaszyfrowane wiadomości e-mail ze swoimi kontaktami, które nie korzystają z Tutanoty, gdy udostępnianie im hasła byłoby niewygodne. Znacznie trudniej jest zabezpieczyć takie wiadomości e-mail, ponieważ w takim przypadku dostawca poczty może zaszyfrować tylko transmisję, a nie same dane. Poza tym zaangażowane są inne usługi, takie jak dostawca poczty e-mail odbiorcy, który musi upewnić się, że transmisja jest bezpiecznie zakończona.︎
︎
Aby jak najlepiej zabezpieczyć niezaszyfrowane wiadomości e-mail, przestrzegamy najwyższych możliwych standardów protokołu poczty elektronicznej SMTP.︎
︎
Tuta obsługuje MTA-STS. Standard ten powinien być już obsługiwany przez wszystkie usługi poczty e-mail, ponieważ jest on dla wiadomości e-mail tym, czym ścisły HTTPS jest dla strony internetowej: Wymusza szyfrowanie transportu (TLS) wszędzie tam, gdzie TLS jest możliwy.
︎
Tuta obsługuje również SPF, DKIM i DMARC. Te trzy protokoły są niezbędne do zabezpieczenia infrastruktury przed włamaniami z phishingu i spamu.︎
︎
Tuta używa ścisłych zasad CSP (Content Security Policy), mechanizmu oczyszczania HTML do wyświetlania nieznanych treści (w wiadomościach e-mail) w celu zapobiegania atakom XSS i domyślnie nie ładuje zewnętrznych treści z innych serwerów (zdjęć i filmów w wiadomościach e-mail). Użytkownik może wybrać wyświetlanie treści zewnętrznych za pomocą jednego kliknięcia lub dotknięcia, jeśli ufa nadawcy.︎
︎
Sprawdź tutaj, jak dobrze Tuta wypada w Securityheaders.io.
Maksymalna ochrona logowania
Tuta nigdy nie przesyła hasła do serwera.
︎
Kiedy logujesz się do swojej bezpiecznej skrzynki pocztowej, Tuta "miesza i soli" twoje hasło przed przesłaniem funkcji skrótu na nasze serwery. Niemożliwe jest uzyskanie rzeczywistego hasła z tego skrótu, więc nikt nie może poznać twojego hasła, nawet my w Tuta. Do ochrony hasła używamy Argon2 i SHA256.︎
︎
Tuta zapewnia również uwierzytelnianie dwuskładnikowe (2FA), aby dodać dodatkową warstwę bezpieczeństwa. Do zabezpieczenia swoich danych logowania, możesz używać TOTP lub U2F. Zalecamy korzystanie z U2F z urządzeniem zabezpieczającym, ponieważ jest to najbezpieczniejsza forma uwierzytelniania dwuskładnikowego. Zapewnia to, że tylko autoryzowany użytkownik może uzyskać dostęp do swojego konta.︎
︎
Zapoznaj się z naszym przewodnikiem bezpieczeństwa online na temat tego, jak chronić swoje e-maile przed hakerami.
Architektura o tzw. "zerowej wiedzy"
Tuta wykorzystuje tzw. architekturę "zerowej wiedzy", co oznacza, że dane użytkownika nigdy nie są przechowywane w postaci zwykłego tekstu na serwerach Tuta. Serwery Tuta przechowują tylko zaszyfrowane dane, a klucz deszyfrujący jest dostępny tylko dla użytkownika. Gwarantuje to, że nawet jeśli serwery Tuta zostaną zhakowane, dane pozostaną bezpieczne.
Zgodność z RODO
Europejskie rozporządzenie RODO wymaga od firm zabezpieczenia wiadomości e-mail zawierających wrażliwe dane obywateli UE. Firmy są zobowiązane do ochrony danych osobowych, nawet gdy są one przesyłane.
Możesz teraz zaoszczędzić czas i pieniądze, przechowując wszystkie służbowe wiadomości e-mail zaszyfrowane na bezpiecznych serwerach Tuta. Dzięki Tuta nie ma potrzeby korzystania z wtyczki lub skomplikowanego oprogramowania szyfrującego na "napranym" rozwiązaniu poczty e-mail dla przedsiębiorstw, które dobrze pasowało do firm dekadę temu.
Szyfrowanie poczty e-mail gwarantuje zgodność z RODO, a Tuta oferuje najbezpieczniejsze rozwiązanie poczty e-mail dla firm, w pełni zgodne z RODO.
Tuta została zaprojektowana zgodnie z zasadami minimalizacji danych i prywatności.
Jesteśmy odpowiedzialni za ochronę danych osobowych użytkowników i traktujemy tę odpowiedzialność bardzo poważnie. Dlatego:
Tuta opiera się na dwóch zasadach: zachowania prywatności danych i minimalizacji ilości danych, "Prywatność już w fazie projektowania" oraz "Minimalizacja danych".
Wszystkie dane użytkownika są przechowywane w Tuta w postaci zaszyfrowanej od końca do końca, z wyjątkiem metadanych, takich jak adresy e-mail nadawców i odbiorców, ponieważ informacje te są potrzebne protokołowi e-mail do dostarczenia wiadomości na właściwy adres.
Stosujemy środki techniczne i organizacyjne, które chronią dane użytkownika w maksymalnym stopniu.
Tuta zapewnia umowę o przetwarzanie zamówień z prawnie wiążącymi gwarancjami ochrony danych, aby pomóc ci wykazać zgodność z RODO.
Prosimy o zapoznanie się z naszym pełnym oświadczeniem o ochronie.
Nasze wbudowane szyfrowanie oraz fakt, że umożliwiamy wysyłanie zaszyfrowanych wiadomości e-mail do dowolnego odbiorcy na świecie, sprawiają, że Tuta jest idealnym rozwiązaniem, gdy szukasz najlepszej bezpiecznej poczty e-mail dla swojej firmy. Tuta ułatwia wysyłanie wrażliwych danych osobowych zaszyfrowanych metodą od końca do końca, zapewniając w ten sposób zgodność firmy z RODO.
Przeczytaj więcej na naszym blogu, aby dowiedzieć się, w jaki sposób Tuta może pomóc twojej firmie osiągnąć zgodność z RODO.
Prywatność wyprodukowana w Niemczech
Niemcy mają jedne z najsurowszych przepisów dotyczących ochrony danych.
︎
Przepisy dotyczące prywatności danych w Unii Europejskiej (UE) należą do najsurowszych na świecie, a wśród wszystkich europejskich państw członkowskich Niemcy mają jedną z najsurowszych polityk: federalną ustawę o ochronie danych (Bundesdatenschutzgesetz). Ogólne rozporządzenie UE o ochronie danych (RODO) zostało w dużej mierze opracowane na podstawie niemieckiej federalnej ustawy o ochronie danych.
︎
To prawo chroni użytkowników usług internetowych. Stawia użytkownika odpowiedzialnego za to, co należy zrobić z jego danymi: Firmy (= my) nie mogą gromadzić żadnych danych osobowych bez wyraźnej zgody osoby (= ciebie), (np. imię i nazwisko, data urodzenia, adres IP).︎
︎
Ponadto w Niemczech nie ma prawa, które mogłoby zmusić nas do poddania się nakazowi kneblowania lub wdrożenia backdoora.
︎
Szczegółowe informacje na temat niemieckich przepisów o ochronie danych można znaleźć na naszym blogu i w naszym raporcie przejrzystości.
Dane przechowywane w Niemczech
Tuta przechowuje wszystkie dane zaszyfrowane w wysoce bezpiecznych centrach danych w Niemczech.
Wszystkie dane w Tuta są przechowywane w całości zaszyfrowane na naszych własnych serwerach w centrach danych z certyfikatem ISO 27001 w Niemczech.
Nikt nie ma dostępu do naszych serwerów z wyjątkiem naszych stałych administratorów, którzy przed uzyskaniem dostępu muszą przejść uwierzytelnianie wieloskładnikowe. Wszystkie systemy produkcyjne są monitorowane 24/7 pod kątem nieautoryzowanego dostępu i nadzwyczajnej aktywności.
Anonimowa usługa poczty e-mail: Bez śledzenia, bez reklam
Tuta to usługa anonimowej poczty e-mail, która nie śledzi użytkownika.
︎
Nasz model biznesowy różni się od większości usług e-mail: Ze względu na szyfrowanie nie możemy skanować wiadomości e-mail. Nie śledzimy użytkownika. Nie wysyłamy ukierunkowanych reklam na twoją skrzynkę pocztową. Oznacza to, że dane użytkownika nie są wykorzystywane w żadnym innym celu niż świadczenie usług poczty e-mail i kalendarza. Gwarantuje to, że twoje dane nigdy nie są udostępniane zewnętrznym reklamodawcom lub innym podmiotom, co mogłoby zagrozić twojej prywatności.
︎
Domyślnie Tuta nie rejestruje adresów IP podczas logowania lub wysyłania wiadomości e-mail. Podczas rejestracji nie musisz podawać żadnych danych osobowych (np. nie jest wymagany numer telefonu), nawet jeśli rejestrujesz się za pośrednictwem przeglądarki Tor. Tuta usuwa adresy IP z nagłówków wysyłanych wiadomości e-mail, dzięki czemu lokalizacja użytkownika pozostaje nieznana. Pomimo tych wszystkich zabezpieczeń, użytkownik może nadal chcieć ukryć swój adres IP nawet przed nami, dlatego nigdy nie dodamy VPN ani przeglądarki do naszej oferty. Oferowanie VPN nie ma żadnego sensu. Gdybyśmy to zrobili, jako dostawca poczty e-mail, nadal bylibyśmy w stanie znaleźć oryginalne adresy IP użytkowników, gdyby połączenie było nawiązywane za pośrednictwem tej sieci VPN. Ze względu na prywatność lepiej jest rozdzielić te dwie usługi.
Ulepszone funkcje prywatności
Tuta to usługa poczty e-mail stworzona z myślą o prywatności.
︎
Firmy uwielbiają e-mail w kampaniach marketingowych. Ponieważ poczta e-mail domyślnie nie szanuje prywatności użytkownika. Gdy otrzymujesz biuletyn marketingowy, wiadomość e-mail zwykle ładuje treści zewnętrzne (np. obrazy, filmy). W tym przypadku użytkownik jest śledzony: Adres IP, używana przeglądarka i inne informacje są przesyłane do nadawcy.
︎
Tuta oferuje usługę e-mail, która automatycznie chroni przed tymi metodami śledzenia:︎
︎
- Tuta domyślnie blokuje obrazy. Żadna zewnętrzna zawartość nie jest ładowana po otwarciu wiadomości e-mail, chyba że użytkownik aktywnie na to zezwoli.
︎ - Tuta usuwa wszystkie informacje nagłówkowe (adres IP) z wysyłanych wiadomości e-mail, aby chronić twoją prywatność.︎
︎ - Tuta ostrzega, gdy nadawca techniczny różni się od nadawcy. Fałszowanie nadawcy jest typową metodą stosowaną w atakach phishingowych. Na naszym blogu można znaleźć więcej wskazówek, jak chronić się przed oszustwami e-mail.
Zdalne monitorowanie i zamykanie sesji
Sprawdź, czy ktoś uzyskał dostęp do twojej zaszyfrowanej skrzynki pocztowej Tuta.
︎
Tuta umożliwia sprawdzanie aktywnych i zamkniętych sesji w ramach funkcji opt-in. Dzięki temu możesz sprawdzić, czy nikt poza tobą nie logował się na twoje konto. Zamknięte sesje są automatycznie usuwane po tygodniu. Obsługa sesji w Tuta umożliwia również zdalne zamykanie sesji. Jeśli zgubisz swój telefon komórkowy, a nadal jesteś zalogowany w aplikacji Tuta, możesz zamknąć tę sesję z dowolnego innego urządzenia. Zamykając sesję zdalnie, masz pewność, że nikt nie uzyska dostępu do Twoich bezpiecznych wiadomości e-mail na zgubionym telefonie.︎
︎
Adresy IP otwartych i zamkniętych sesji są zawsze przechowywane w postaci zaszyfrowanej i automatycznie usuwane po upływie tygodnia. Ze względu na szyfrowanie tylko użytkownik może uzyskać dostęp do tych informacji. My w Tuta nie mamy absolutnie żadnego dostępu do tych informacji.
Zaangażowanie w otwarty kod źródłowy
Darmowe i otwarto-źródłowe e-maile dla każdego.
︎
Tuta koncentruje się na bezpieczeństwie i prywatności. Dla nas otwarte oprogramowanie jest niezbędne do osiągnięcia obu tych celów. Opublikowaliśmy klienta internetowego Tuta, aplikacje klientów desktopowych Tuta, a także aplikacje na Androida i iOS jako oprogramowanie z otwartym kodem źródłowym na GitHub.︎
︎
W ten sposób każdy może sprawdzić kod i zweryfikować, czy w bazie kodu nie ma błędów lub luk w zabezpieczeniach. Dzięki otwartemu oprogramowaniu potencjalne błędy mogą zostać zauważone i naprawione znacznie szybciej niż w przypadku aplikacji z zamkniętym kodem źródłowym.
Przejdź na bezpieczne wiadomości e-mail już dziś
Szybki, zrównoważony, o otwartym kodzie źródłowym, prosty proces migracji. Email, z którym można się dobrze poczuć.