Säker e-post gjord för dig

Den säkraste e-posttjänsten är också den enklaste att använda.

Säker e-post i dina händer

Allsidig kryptering, ingen spårning, öppen källkod - det finns många faktorer som gör Tuta till världens säkraste e-postleverantör. Utforska Tutas säkerhetsfunktioner i detalj och lär dig hur dess olika säkerhetsåtgärder skyddar dina känsliga data.

Säkerhet och integritet går hand i hand

När du utvärderar säkerheten och integriteten i en onlinetjänst ska du alltid ställa dig själv följande frågor:

  1. Vem betalar för den? Användarna eller annonsörerna? Om svaret är "annonsörerna" kan tjänsten aldrig erbjuda en verkligt säker och privat lösning. Dess högsta prioritet är annonsörernas intresse genom att hjälpa dem att identifiera målgrupper utifrån användarnas uppgifter och visa dem annonser. Skyddet av användarnas privatliv kommer alltid i andra hand i en sådan affärsmodell.

  2. Vem kontrollerar tech stack? Detta är en mycket teknisk men avgörande viktig fråga. Om en tjänst använder tredjeparts 'teknik' som Dovecot, Roundcube, Google reCaptcha eller Google Push vet du med säkerhet att säkerhet och integritet inte kan vara dess huvudprioritet eftersom leverantören medvetet läcker information till andra - utan att varna användarna om detta. Detta är ytterligare en anledning till varför du bör välja en tjänst som har öppen källkod och inte är beroende av integrationer med programvara med sluten källkod.

  3. Vilka uppgifter är krypterade end-to-end (E2E)? Många leverantörer hävdar att deras tjänst ger säker e-post och att de uppgifter som lagras hos dem är 'krypterade'. Det som gör den här frågan så viktig är Hur krypteras uppgifterna? För det är först när uppgifterna är krypterade end-to-end som de verkligen är oåtkomliga för onlinetjänsten samt för tredje parter. Endast då kan tjänsten anses erbjuda säker e-post. Därför räcker det inte med att bara 'kryptera' data utan data måste vara krypterade end-to-end.

Kontroll av programvarupaketet

Många e-posttjänster, även säkra sådana, använder sig av teknik från tredje part som Dovecot, Roundcube och andra för att bygga sina egna produkter. Varje gång en så kallad säker tjänst använder tredjepartsprogram blir det svårare att säkra tjänsten. Anledningen är enkel: Varje tjänst som ingår i koden utför kod. En tjänsts säkerhet kan inte bli bättre än säkerheten hos dess beroenden. Varje beroende till tredjepartskod måste underhållas och säkerhetsuppdateringar måste tillämpas omedelbart. Dessutom kan varje tredjepartstjänst potentiellt spåra användarna, skicka data till sina egna servrar osv. Det är därför vi på Tuta endast använder öppen källkod som vi själva har kontrollerat innan vi använder den. På så sätt försäkrar vi oss själva om att de verktyg med öppen källkod som Tuta använder är säkra: Vi gör regelbundet säkerhetsgranskningar av dessa verktyg samt av våra egna klienter, till exempel när vi tog fram våra stationära klienter ur betaversionen.

Naturligtvis kan vi på Tuta inte heller uppfinna hjulet på nytt. Men vi har byggt våra klienter - webb, Android, iOS och alla desktopklienter - själva. Dessutom har vi ett starkt fokus på säkerhet i hela vårt utvecklingsflöde. Alla utvecklare delar samma DNA: integritet och säkerhet först.

En viktig differentiering av Tuta är att vi bygger alla större delar av Tuta själva även utanför den centrala e-postfunktionaliteten som vår captcha, vår push notifikationstjänst på Android med mera.

Endast med öppen källkod - av våra egna klienter och av den programvara som Tuta är beroende av - kan tekniskt kunniga personer granska koden och verifiera att Tuta gör vad vi lovar: att säkra din privata e-post maximalt.

Kolla här varför vi rekommenderar att du väljer våra säkra skrivbordsklienter för Linux, Windows och macOS och varför det är så viktigt att vi har byggt vår egen captcha med öppen källkod samt ett alternativ till Google Push på Android.

Säkerhet

Vi följer konceptet "säkerhet först".

När du erbjuder en säker e-posttjänst litar folk på att din säkerhet är skottsäker. För oss innebär detta att det aldrig får finnas någon kompromiss när det gäller säkerheten. Säkerheten måste vara inbakad i koden så att du enkelt kan lägga till användbarhet ovanpå den - inte tvärtom.

Detta koncept "säkerhet först" har lett till flera utvecklingsbeslut som i dag garanterar Tutas förstklassiga säkerhet:

  • Vi använder inte PGP utan en något annorlunda implementering (ursprungligen baserad på AES 256 och RSA 2048) som låter oss kryptera mycket mer data (ämnesrader) samt kryptera alla andra funktioner som vi lägger till i Tuta såsom kontakter och kalendrar - som alla är 100% krypterade. Vi har ersatt RSA med ECDH (x25519) Kyber-1024 för att införa kvant-säker kryptografi till alla Tuta användare. I framtiden planerar vi att även stödja forward secrecy.

  • Vi söker inte igenom dina data på servern eftersom de är krypterade där. I stället bygger Tuta ett krypterat sökindex som lagras lokalt på din enhet eller i din webbläsare och söks där. Detta gör det möjligt för dig att söka igenom hela din e-post (avsändare, mottagare, ämnesrad, textdel, bilagor) lokalt samtidigt som du skyddar din integritet.

  • Vi erbjuder inte IMAP eftersom det endast skulle fungera om vi skickade dekrypterade data till din enhet. Istället har vi byggt våra egna skrivbordsklienter med öppen källkod, som lagrar dina data krypterat. Skrivbordsklienterna är också signerade så att alla kan verifiera att klienten kör exakt samma kod som den kod som publiceras på GitHub.

När du skapar en säker e-postadress med Tuta kan du vara säker på att dina data förblir säkra.

End-to-end kryptering enligt BSI standard

Krypterad e-post, kalender, kontakter.

Från början har vi på Tuta sett till att så mycket data som möjligt är E2E krypterad. Tuta var världens första leverantör av end-to-end krypterad e-post och är än idag den e-posttjänst som krypterar mer data än någon annan.

Tuta krypterar alla data som standard: E-post, kalendrar och kontakter. Den end-to-end kryptering som tillhandahålls av Tuta garanterar att dina data är säkra och privata även om de hamnar i fel händer.

Tutas servrar lagrar endast krypterade data. Och dekrypteringsnyckeln är endast tillgänglig för användaren. Detta garanterar att även om din internetanslutning skulle avlyssnas eller i det extremt osannolika scenariot att någon skulle hacka våra servrar, förblir dina data säkra.

Med sin inbyggda kryptering gör Tuta säkerhet lättillgänglig för privata användare och företag över hela världen. För att dekryptera dina uppgifter loggar du helt enkelt in på din säkra e-postadress med ditt lösenord, det är allt. Du kan enkelt logga in via en webbläsare, via Tuta apparna för Android och iOS eller via Tutas datorklienter för Windows, macOS och Linux.

Hur du skickar ett säkert mejl till vem som helst.

Med Tuta kan du skicka säker e-post (E2E krypterad) till vem som helst med ett delat lösenord. Detta innebär att meddelandet krypteras på avsändarens enhet och kan endast dekrypteras av mottagarens enhet. Du kan enkelt utbyta känsliga konversationer eller filer online med vetskapen om att all data som skickas via Tuta är säkert krypterad end-to-end. Du kan enkelt skicka krypterad e-post till externa mottagare genom att definiera ett lösenord. Lösenordet gäller för alla meddelanden som du utbyter med den personen, du behöver inte definiera ett nytt lösenord för varje mejl som med andra leverantörer av säker e-post.

Kalender med nollkunskap.

Tuta levereras med en end-to-end krypterad kalender som låter dig schemalägga och lagra alla dina händelser konfidentiellt. Vår kalender är en enastående prestation eftersom inte bara alla data är krypterade utan även påminnelserna är E2E krypterade. Till och med tiden när en notis skickas till användaren är dold för våra servrar så att vi förblir ovetande om alla våra användares möten.

TLS kryptering

Säkerställ e-postprotokollet

När du skickar e-post med Tuta har du helt klart valt det säkraste alternativet eftersom Tuta tillåter automatisk kryptering av mejl end-to-end.

Ibland kan du dock vilja skicka och ta emot okrypterad e-post till och från kontakter som inte använder Tuta när det inte skulle vara läge att dela ett lösenord med dem. Det är mycket svårare att säkra dessa mejl eftersom e-postleverantören i sådana fall bara kan kryptera överföringen - inte själva uppgifterna. Dessutom är andra tjänster inblandade, som mottagarens e-postleverantör, som måste se till att överföringen slutförs på ett säkert sätt.

För att säkra okrypterad e-post så bra som möjligt följer vi de högsta möjliga standarderna för e-postprotokollet SMTP.

Tuta stöder MTA-STS. Denna standard borde stödjas av alla e-posttjänster vid det här laget eftersom den är för e-post vad strikt HTTPS är för en webbplats: Den tillämpar transportkryptering (TLS) när TLS är möjligt.

Tuta stöder också SPF, DKIM och DMARC. Dessa tre protokoll är nödvändiga för att skydda infrastrukturen mot intrång från phishing och skräppost.

Tuta använder strikt CSP (Content Security Policy), en HTML sanering för att visa okänt innehåll (i e-post) för att förhindra XSS attacker och laddar som standard inte in externt innehåll från andra servrar (bilder och videor i e-post). Användaren kan välja att visa externt innehåll med ett enda klick eller tryck om han eller hon litar på avsändaren.

Se hur bra Tuta presterar på Securityheaders.io.

Maximalt skydd vid inloggning

Tuta överför aldrig ditt lösenord till servern.

När du loggar in i din säkra brevlåda hashar Tuta ditt lösenord och saltar det innan hashen överförs till våra servrar. Det är omöjligt att härleda det faktiska lösenordet från denna hash, så ingen kan känna till ditt lösenord, inkluderat alla på Tuta. För att skydda ditt lösenord använder vi Aron2 och SHA256.

Tuta tillhandahåller också tvåstegsverifiering (2FA) för att lägga till ett extra säkerhetslager. För att säkra dina inloggningsuppgifter kan du använda TOTP eller U2F. Vi rekommenderar att du använder U2F med en säkerhetsenhet eftersom detta är den säkraste formen av tvåstegsverifiering. Detta säkerställer att endast den auktoriserade användaren kan få tillgång till sitt konto.

Kolla in vår säkerhetsguide online om hur du skyddar din e-post från hackare.

Arkitektur med nollkunskap

Tuta använder en arkitektur med nollkunskap, vilket innebär att användarens uppgifter aldrig lagras i klartext på Tutas servrar. Tutas servrar lagrar endast de krypterade uppgifterna och dekrypteringsnyckeln är endast tillgänglig för användaren. Detta garanterar att uppgifterna förblir säkra även om Tutas servrar hackas.

GDPR kompatibel

Den europeiska dataskyddsförordningen GDPR kräver att företag skyddar mej som innehåller känsliga uppgifter om EU medborgare. Företagen är skyldiga att skydda personuppgifter även när uppgifterna är under överföring.

Du kan nu spara tid och pengar genom att hosta all din e-post krypterad på Tutas säkra servrar. Med Tuta finns det inget behov av att använda ett plugin eller en komplicerad krypteringsprogramvara ovanpå en e-postlösning för företag som passade bra till företag för ett decennium sedan.

E-postkryptering garanterar GDPR efterlevnad och Tuta erbjuder den säkraste e-postlösningen för företag genom att helt följa GDPR.

Tuta är utformad att följa principerna om dataminimering och integritet.

Vi är ansvariga för skyddet av dina personuppgifter och vi tar detta ansvar på största allvar. Därför:

  • Tuta bygger på två principer, att hålla dina uppgifter privata och att minimera mängden data, "Privacy by Design" och "Data Minimization".

  • All användardata lagras end-to-end krypterad i Tuta med undantag för metadata såsom avsändarens och mottagarens e-postadresser eftersom den informationen behövs för att e-postprotokollet ska kunna leverera den till rätt adress.

  • Vi har tekniska och organisatoriska åtgärder på plats som skyddar dina uppgifter maximalt.

  • Tuta tillhandahåller ett orderhanteringsavtal med juridiskt bindande dataskyddsgarantier som hjälper dig visa att du följer GDPR.

Läs vår fullständiga sekretesspolicy för mer information.

Vår inbyggda kryptering och det faktum att vi gör det möjligt för dig att skicka ett krypterat mejl till vilken mottagare som helst i världen gör Tuta till en perfekta lösningen när du söker efter den bästa säkra e-posttjänsten för ditt företag. Tuta hjälper dig att enkelt skicka känsliga personuppgifter end-to-end krypterade och ser därmed till att ditt företag är GDPRbkompatibelt.

Läs mer på vår blogg för att ta reda på hur Tuta kan hjälpa ditt företag att uppnå GDPR överensstämmelse.

Sekretess och integritet från Tyskland

Tyskland har något av de strängaste dataskyddslagarna.

Bestämmelserna om dataskydd i Europeiska unionen (EU) är bland de strängaste i världen och bland alla europeiska medlemsstater har Tyskland en av de starkaste polycies: den federala dataskyddslagen (Bundesdatenschutzgesetz). EU:s allmänna dataskyddsförordning (GDPR) var till stor del baserad på German Federal Data Protection Act.

Den lagen skyddar användare av internettjänster. Den ger användaren ansvaret för vad som ska göras med sina uppgifter: Företag (= vi) får inte samla in personlig information utan uttryckligt tillstånd från en individ (= du) (t.ex. namn, födelsedatum, IP-adress).

Dessutom finns det i Tyskland ingen lag som skulle kunna tvinga oss att underkasta oss en munkavleorder eller att implementera en bakdörr.

Du kan hitta detaljer om Tyska dataskyddslagar på vår blogg och i vår Transparens rapport.

Data lagrade i Tyskland

Tuta lagrar all data krypterad i mycket säkra datacenter i Tyskland.

All data i Tuta lagras end-to-end krypterad på våra egna servrar i ISO 27001 certifierade datacenter i Tyskland.

Ingen har tillgång till våra servrar förutom våra permanenta administratörer som måste passera flera autentiseringar innan de ges tillgång. Alla produktiva system övervakas dygnet runt för obehörig åtkomst och extraordinär aktivitet.

Anonym e-posttjänst: Ingen spårning, inga annonser

Tuta är en anonym e-post tjänst som inte spårar dig.

Vår affärsmodell skiljer sig från de flesta e-posttjänster: På grund av krypteringen kan vi inte skanna din e-post. Vi spårar dig inte. Vi skickar inte riktade annonser till din brevlåda. Detta innebär att dina uppgifter inte används i något annat syfte än för att tillhandahålla e-post- och kalendertjänster. Detta garanterar att dina uppgifter aldrig delas med tredjepartsannonsörer eller andra enheter vilket skulle kunna äventyra din integritet.

Som standard loggar Tuta inte IP adresser när du loggar in eller när du skickar mejl. Vid registreringen behöver du inte lämna några personuppgifter (t.ex. krävs inget telefonnummer), även när du registrerar dig via webbläsaren Tor. Tuta tar bort IP adresserna från e-posthuvudet i mejl som skickas så att din plats förblir okänd. Trots alla dessa skydd kanske du fortfarande vill hålla din IP adress dold även för oss vilket är anledningen till att vi aldrig kommer att lägga till en VPN eller en webbläsare i vårt erbjudande. Att erbjuda en VPN är inte vettigt. För om vi gjorde det skulle vi som e-postleverantör fortfarande kunna ta reda på användarnas ursprungliga IP adresser om anslutningen skulle ske via detta VPN. Av integritetsskäl är det bättre att hålla de två tjänsterna åtskilda.

Förbättrade integritetsfunktioner

Tuta är en e-posttjänst som är byggd med integritet i grund

Företag älskar mejl för marknadsföringskampanjer. För e-post som standard respekterar inte din integritet. När du får ett marknadsföringsbrev laddas vanligtvis externt innehåll (t.ex. bilder, videor) i mejlet. I det här fallet spåras du: IP adress, webbläsare som du använder och mer information överförs till avsändaren.

Tuta erbjuder en e-posttjänst som automatiskt skyddar mot dessa spårningsmetoder:

  • Tuta blockerar bilder som standard. Inget externt innehåll laddas när du öppnar ett meddelande om du inte aktivt tillåter det.

  • Tuta tar bort all huvudinformation (IP adress) från meddelanden som skickas för att skydda din integritet.

  • Tuta varnar dig när den tekniska avsändaren skiljer sig från fältet från. Att fejka från avsändaren är en typisk metod som används vid nätfiskeattacker. På vår blogg hittar du fler tips om hur du kan förhindra email phishing.

Övervaka och avsluta sessioner på distans

Kontrollera om någon har kommit åt din krypterade Tuta brevlåda.

Tuta låter dig kontrollera aktiva och stängda sessioner som en opt-in funktion. På så sätt kan du kontrollera att ingen annan än du själv har loggat in på ditt konto. Stängda sessioner raderas automatiskt efter en vecka. Tutas sessionshantering gör det också möjligt för dig att stänga sessioner på distans. Om du förlorar din mobiltelefon och fortfarande är inloggad med Tuta appen kan du stänga den sessionen från vilken annan enhet som helst. Genom att stänga sessionen på distans ser du till att ingen kan komma åt din säkra e-post på den förlorade telefonen.

IP adresser för öppna och stängda sessioner lagras alltid krypterat och raderas automatiskt efter en vecka. På grund av krypteringen är det bara du som har tillgång till den informationen. Vi på Tuta har absolut ingen tillgång till den informationen.

Engagerad för öppen källkod

Gratis e-post med öppen källkod för alla.

Tuta fokuserar på säkerhet och integritet. För oss är öppen källkod en förutsättning för att uppnå båda. Vi har publicerat Tutas webbklient, Tutas datorklienter samt Android- och iOS-appar med öppen källkod på GitHub.

På så sätt kan alla kontrollera koden och verifiera att det inte finns några buggar eller säkerhetsbrister i kodbasen. Genom att ha öppen källkod kan eventuella problem uppmärksammas och åtgärdas mycket snabbare än vad som är fallet med tillämpningar med sluten källkod.