Para a criptografia de emails entre usuários, o Tuta utiliza um método híbrido normalizado que consiste num algoritmo simétrico e num algoritmo assimétrico. Tuta utiliza AES com um comprimento de 256 bits e RSA com 2048 bits ou uma combinação de ECDH (x25519) e Kyber-1024 (para contas quantum-safe). As mensagens de email enviadas a destinatários externos são criptografadas simetricamente com AES de 256 bits.
Por padrão, nós não armazenamos endereços IP quando você faz login ou envia um email. O endereço IP dos emails recebidos e enviados são descartados, para que sua localização permaneça anônima.
Nós apenas salvamos endereços de IP de contas individuais em caso de atos criminais sérios como assassinato, pornografia infantil, roubo, ameaças de bomba e chantagem, após autorização judicial assinada por um juiz alemão. Você pode encontrar detalhes sobre isso e sobre os direitos de proteção de dados alemão no nosso blog.
Saiba em nosso blog como o Tuta combate a vigilância em massa ilegal ao garantir um serviço de email anônimo. Ao criar um conta, você não precisa fornecer dados pessoais (ex.: número de telefone). Também permitiremos o pagamento de contas pagas via Bitcoin.
O sistema criptografa automaticamente todos os emails armazenados no Tuta. Emails trocados entre usuários do Tuta são automaticamente criptografados de ponta-a-ponta; emails para usuários externos podem ser protegidos por uma senha. Explicamos aqui a diferença entre um email confidencial (criptografia de ponta-a-ponta) e não confidencial.
Independentemente da criptografia de ponta-a-ponta, o tráfego entre cliente e servidores Tuta é protegido por TLS para maximizar a segurança.
Assista nosso guia de email encriptado no YouTube - o guia mais eficaz de criptografia de email disponível!
Você pode visualizar os cabeçalhos dos emails recebidos pressionando a tecla de atalho H. O Tuta remove os cabeçalhos dos emails enviados para proteger a sua privacidade.
Para mostrar todos os atalhos no Tuta, pressione F1 (Fn & F1).
Seu endereço de email deletado (e apelidos) não serão reutilizados por motivos de segurança. Deve ser impossível que outra pessoa registre um email que anteriormente era seu e então, por acidente, receba um email confidencial que era destinado a você.
Contas gratuitas serão deletadas se inativas por um período de seis meses. Então, é necessário fazer login regularmente para evitar a exclusão automática. Fazemos isso por motivos de segurança, além de para que sejamos capazes de oferecer contas gratuitas. Porém, os endereços de contas deletadas podem ser usados em outras contas pagas e reutilizados como apelidos ou usuários, caso você ainda tenha as informações de login corretas.
Para reutilizar o endereço da conta desativada,
Após isso, é possível adicionar o(s) endereço(s) ou apelido(s)/usuário(s) à conta destino. Isso é chamado junção de contas.
As suas chaves privada e pública são geradas localmente no seu browser após o registo. A sua chave privada é criptografada com a sua senha. Desta forma, a sua senha de login recebe o estatuto da chave privada. A chave é criptografada de forma tão forte que só o utilizador pode utilizar a chave para criptografar e decodificar dados. É por isso que uma senha forte é essencial. Uma verificação automática da senha no cliente garante que utiliza uma senha forte. A sua senha nunca é transmitida ao servidor em texto simples. É temperada e, em seguida, é colocada em hash com Argon2 localmente no seu dispositivo para que nem o servidor nem nós tenhamos acesso à sua senha. Com este design inovador, pode aceder facilmente à sua caixa de entrada criptografada a partir de qualquer dispositivo (computador, celular).
O Tuta não carrega imagens automaticamente quando você abre um email. Ao carregar imagens externas manualmente, tenha em mente que:
Aqui explicamos como mostrar imagens externas. Leia aqui como garantimos que você pode usar o Tuta como um serviço de email anônimo.
Exigimos que todas as mensagens sejam autenticadas. Sem autenticação, o email pode estar vindo de qualquer pessoa ou ser modificado. Portanto, você precisa tratar esses emails com atenção. Se você vir uma mensagem da qual a autenticação falhou (emblema de alerta vermelho), precisa ter cuidado especial, pois isso significa que o email foi provavelmente falsificado.
Phishing é o nome ou tipo de golpe em que criminosos tentam parecer destinatários legítimos para obter dados tais como suas credenciais ou dados de cartão de crédito. Esses golpistas usam técnicas psicológicas muito sofisticadas e desenvolvem cópias muito realistas de sites e emails reais.
Se você ver um alerta de phishing, significa que partes desse email se encaixam em nossas assinaturas de phishing após os relatos de phishing feitos por outros usuários. Por favor seja extremamente cuidadoso com tais mensagens. Normalmente elas contém links para sites que parecem reais mas não são. Se você achar que um email é legítimo e abrir o link, por favor verifique a URL do site. Veja se consegue vê-la toda, pois às vezes apenas uma parte está adulterada. Veja aqui mais informações sobre como prevenir ataques de phishing.
Você pode marcar um email como "não é spam" para não ver mais o alerta de phishing nesse email.
Nunca enviamos emails com links em que precise inserir a sua senha. Recomendamos a sempre proteger as suas informações de login com 2FA, pois isso com que seja quase impossível para um atacante logar na sua conta.
Se você caiu em um ataque de phishing, por favor leia a nossa FAQ.
Os servidores Tuta estão localizados na Alemanha em centrais de dados seguras com certificação ISO27001. Todos os dados neles armazenados são sujeitos às estritas leis alemães de proteção à privacidade. Independente disso, todos os dados são criptografados de ponta-a-ponta e não podem ser lidos nem pelo provedor Tutao GmbH nem por terceiros.
Sim, você pode encerrar uma sessão ativa remotamente em Configurações -> Login.
Veja em nosso Tutorial como habilitar histórico de sessões encerradas para monitorar se alguém mais tem acesso à sua conta. Para garantir a segurança de nossos usuários, implementamos esse recurso da seguinte forma:
O Tuta criptografa todos os dados armazenados na sua caixa de email (contatos, emails, assinaturas, regras de caixa de entrada, dados de faturas, método de pagamento, certificados e chaves privadas de seus próprios domínios). Ao enviar um email, o Tuta criptografa automaticamente o assunto, o conteúdo e os anexos.
Você pode encontrar uma explicação detalhada sobre o que é criptografado no Tuta em nossa página email criptografado.
Apenas os seguintes metadados podem ser lidos:
Estamos avaliando também a possibilidade de esconder esses metadados no futuro.
Obrigado por dedicar algum tempo a comunicar uma vulnerabilidade. Se encontrou algum problema de segurança, por favor envie-nos um e-mail em inglês ou alemão com um relatório detalhado para que possamos corrigi-lo.
Na Tuta, tomamos o máximo cuidado para proteger ao máximo a sua caixa de correio. O código do Tuta é de código aberto e está publicado no Github, e convidamos todos os especialistas em segurança a analisá-lo.
Sim, você pode garantir com segurança o aplicativo usando um PIN, um padrão ou dados biométricos (digital, Face ID, etc.), após a ativação do recurso. Vá para Configurações -> Login -> Modo de identificação criptografada, para ativar este recurso.
Essa opção irá aparecer apenas depois que você tiver armazenado suas credenciais de login no aplicativo do Tuta. No login marque a caixa de seleção 'Armazenar Senha' para armazenar suas credenciais de login.
Tuta usa um indicador de força de senha que leva em consideração vários aspectos para garantir que sua senha é a escolha perfeita para sua conta de email seguro. Você pode encontrar dicas adicionais sobre como escolher uma senha forte aqui.
O Tuta não possui limites para o tamanho ou tipo de caracteres da senha; todos os caracteres unicode são permitidos.
Ao clicar em "Sair/Logout", você vai sair. Nota: se você salvou previamente a senha, você sairá mas ela continuará salva. Para "esquecer" sua senha, saia do sistema e, ao aparecer a tela de login, clique em 'Mais' e 'Excluir credenciais'.
Uma senha segura é aquela que é variável bastante que não pode ser adivinhada em um tempo razoável. Mas conjuntos de caracteres alfanuméricos são difíceis de lembrar.Por esta razão nós implementamos um gerador de senha que encontra um equilíbrio adequado entre segurança e memorabilidade. O gerador escolhe seis palavras fáceis de uma lista pré-avaliada enorme e gera uma senha que é segura e fácil de digitar e lembrar. Aqui estão mais dicas sobre como criar e lembrar uma senha forte.
A sua senha é temperada e criptografada com Argon2 no seu dispositivo antes de ser transmitida a Tuta. O Argon2 é o método mais viável, pois os ataques de força bruta necessitam de muito mais tempo em comparação com os métodos convencionais, como o MD5 ou o SHA. Com este método, garantimos uma confidencialidade integrada e permitimos-lhe aceder e decodificar os seus e-mails a partir de computadores e dispositivos móveis instantaneamente.
Não. Quando uma senha é usada para autenticação (login), não é necessário que ela seja de conhecimento do servidor com o qual você se autentica. O servidor apenas usa uma 'impressão digital' (embaralhado) da sua senha. Com o Tuta, seu embaralhado para autenticação é calculado pelo seu navegador e apenas o embaralhado está sendo enviado. Sua senha nunca navega pela internet em texto simples e nunca é vista pelo nosso servidor. Como os embaralhados não são reversíveis, o servidor não consegue reconstruir sua senha a partir do embaralhado. O servidor não consegue descriptografar seu e-mail, mas consegue autenticar você.
Recomendamos para mais informações: Descubra como Tuta automatiza o processo de criptografia enquanto deixa você no controle total dos seus dados criptografados.
Se você suspeita que sua senha foi exposta a alguém mas ainda pode efetuar login na sua conta, use o procedimento que segue:
Se o atacante também estiver logado durante o procedimento, mudar a senha automaticamente o desconecta da sua sessão.
O encorajamos a sempre usar 2FA em suas contas, visto que isso torna quase impossível para um atacante conseguir logar na sua conta.
Se você não tem mais acesso à sua conta, por favor verifique essa FAQ.