För e-postkryptering mellan användare använder Tuta en standardiserad hybrid metod bestående av en symmetrisk och en asymmetrisk algoritm. Tuta använder AES med en längd på 256 bitar och RSA med 2048 bit eller en kombination av ECDH (x25519) och Kyber-1024 (för kvantum säkra konton). E-post till externa mottagare krypteras symmetriskt med AES 256 bitar.
Vi loggar inte IP-adresser när du loggar in eller när du skickar ett mejl. IP adresserna från skickade och mottagna mejl plockas bort så att din position förblir okänd.
Vi loggar endast IP adresser för enskilda konton i händelse av allvarliga kriminella handlingar såsom mord, barnpornografi, rån, bombhot och utpressning efter att vi fått ett giltigt domstolsbeslut utfärdat av en Tysk domare. Mer information finns på vår blogg.
På vår blogg kan du läsa mer om hur Tuta bekämpar illegal massövervakning genom att tillhandahålla en anonym e-posttjänst. Vid registrering behöver du inte ange några personuppgifter (t. ex. krävs inget telefonnummer). Vi kommer också att göra det möjligt att betala för Tuta med Bitcoin Bitcoin.
Systemet krypterar automatiskt alla e-postmeddelanden som lagras i Tuta. E-post mellan Tuta användare krypteras automatiskt end-to-end, e-post till externa användare kan säkras med hjälp av ett lösenord. Här förklarar vi skillnaderna mellan konfidentiell (end-to-end krypterad) och icke konfidentiell e-post.
Oberoende av end-to-end krypteringen är det som skickas mellan klient och Tutas servrar skyddat med SSL för att maximera säkerheten.
Titta på vår e-post krypteringsguide för Tuta på YouTube - den snabbaste e-post krypteringsguiden du kan hitta!
En borttagen e-postadress (även om det är ett alias) kommer inte att åteanvändas av säkerhetsskäl. Det ska inte vara möjligt för någon annan att registrera din tidigare använda e-postadress och sedan av misstag få ett konfidentiellt mejl som var avsett för dig.
Konton utan kostnad raderas efter en inaktiv period på sex månader. En vanlig inloggning är nödvändig för att förhindra automatisk radering. Vi raderar sådana konton av säkerhetsskäl och också för att vi ska kunna erbjuda gratis Tutakonton. E-postadresserna till sådana borttagna konton kan dock överföras till ett annat betalt konto och återanvändas som e-postalias eller extra användaradresser om du fortfarande har giltiga inloggningsuppgifter.
Så här återanvänder du e-postadressen för det inaktiva kontot
Sedan kan du lägga till förlorade adresser som alias (eller användare) till målkontot. Vi kallar det sammanslagning av adresser.
Dina privata och offentliga nycklar genereras lokalt i din webbläsare vid registrering. Din privata nyckel krypteras med ditt lösenord. På så sätt får ditt inloggningslösenord statusen för den privata nyckeln. Nyckeln är så starkt krypterad att bara du kan använda den för att kryptera och dekryptera data. Därför är ett starkt lösenord är viktigt. En automatisk lösenordskontroll på klienten ser till att du använder ett starkt lösenord. Ditt lösenord överförs aldrig till servern i klartext. Det är saltat och hashas sen med Argon2 lokalt på din enhet så att varken servern eller vi har åtkomst till ditt lösenord. Med den här innovativa utformningen kan du enkelt komma åt din krypterade e-post från alla enheter (datorer och mobiler).
Tuta laddar inte bilder automatiskt när du öppnar ett e-postmeddelande. Observera att när du laddar externa bilder manuellt
Här förklarar vi hur du visar externa bilder. Läs med om hur du använder Tuta som en anonym e-posttjänst.
Tuta kräver att alla mejl autentiseras. Om inte, kan e-posten komma från vem som helst och kan ha ändrats, så du ska alltid granska sådana meddelanden noggrant. Om du ser varningen att autentiseringen har misslyckats (röd banner), bör du vara extra försiktig, eftersom meddelandet troligen är falskt. Tänk på detta som med ett konventionellt brev: Vem som helst kan skicka ett e-postmeddelande och skriva vilken adress som helst som "från".
Nätfiske är ett namn för en typ av onlinebedrägeri där brottslingar försöker se ut som en legitim avsändare för att få dina uppgifter som autentiseringsuppgifter eller kreditkortsuppgifter. Phishers använder mycket sofistikerade psykologiska tekniker och utvecklar mycket realistiska kopior av verkliga webbplatser och e-postmeddelanden.
Om du ser en nätfiskebanner betyder det att vissa delar av det mejlet matchar våra nätfiskesignaturer efter att andra användare har rapporterat liknande e-postmeddelanden som nätfiske. Var mycket försiktig med sådana meddelanden. Vanligtvis innehåller phishingmejl en speciell länk till en webbplats som ser verklig ut men inte är det. Om du tror att meddelandet är legitimt och du öppnar länken, kontrollera då hela webbadressen: Kontrollera att du ser hela adressen, ibland kan bara en del eller ett tecken vara utbytt. Här finns mer information om hur du förhindrar nätfiskeattacker via e-post.
Du kan markera ett mejl som inte nätfiske, så att du inte längre ser varningsmeddelandet för det mejlet.
Vi skickar aldrig e-post till dig med länkar där du behöver skriva in ditt lösenord. Vi uppmuntrar dig att alltid skydda dina inloggningsuppgifter med 2FA eftersom det gör det nästan omöjligt för en angripare att logga in på ditt konto. Om du redan blivit utsatt för en nätfiskeattack, läs här .
Tutas servrar är belägna i säkra och ISO27001 certifierade datacenter i Tyskland. Alla sparade data lyder under Tysklands strikta integritetsskyddslagar. Oberoende av detta krypteras alla data end-to-end och kan inte läsas av Tutao GmbH som leverantör eller av någon tredje part.
Ja. Du kan visa och fjärrstänga aktiva sessioner under Inställningar-> Logga in.
Läs mer om hur du aktiverar lagring av stängda sessioner för att övervaka om någon annan har åtkomst till ditt konto. För att garantera användarnas integritet har vi tillämpat funktionen på följande sätt:
Tuta krypterar alla data som lagras i din brevlåda (kontakter, e-post, e-postsignatur, inkorgsregler, faktura data, betalningsmetod, certifikat och privata nycklar för dina egna domäner). När du skickar ett mejl krypterar Tuta ämne, innehåll och bilagor automatiskt.
Du kan läsa en detaljerad förklaring om vad som krypteras i Tuta på vår säkerhets sida.
Vi kan endast läsa följande metadata:
Vi undersöker möjligheten att i framtiden även dölja metadata.
Tack för att du tar dig tid att rapportera en sårbarhet. Om du har hittat säkerhetsproblem skicka oss då e-post på antingen engelska eller tyska med en detaljerad rapport så att vi kan åtgärda dem.
Vi på Tuta gör vårt yttersta för att säkra din brevlåda maximalt. Tuta koden är öppen källkod och publiceras på Github och vi inbjuder alla säkerhetsexperter att granska den.
Du kan säkra den lagrade appinloggningen med en pinkod, ett mönster eller biometri (fingeravtryck, Face ID etc.). Gå till Inställningar -> Inloggning -> Upplåsningsmetod för att aktivera detta.
Det här alternativet visas endast när du har lagrat dina inloggningsuppgifter i Tuta appen. När du loggar in kryssar du i kryssrutan 'Spara lösenord' för att lagra dina inloggningsuppgifter.
Tuta använder en indikator för lösenords styrka som beaktar flera aspekter av ett lösenord för att säkerställa att det lösenord du väljer matchar ditt säkra e-post konto. Läs mer om hur du väljer ett starkt lösenord här.
Tuta har inga begränsningar i fråga om lösenordets längd eller använda tecken; alla unicode tecken accepteras.
Om du klickar på 'Logga ut', loggar du ut. Observera: Om du tidigare har sparat lösenordet är du nu utloggad, men lösenordet sparas fortfarande för automatisk inloggning. För att ta bort lösenordet för automatisk inloggning, logga först ut. Inloggnings skärmen visas, klicka på 'Mer' och 'Ta bort Inloggningsuppgifter'.
Ett säkert lösenord är ett lösenord som är tillräckligt slumpmässigt för att det inte ska kunna gissas inom rimlig tid. Men slumpmässiga strängar av alfanumeriska tecken är svåra att komma ihåg. Därför har vi implementerat en lösenordsgenerator som hittar en bra balans mellan säkerhet och minnesbarhet. Generatorn väljer sex enkla ord från en stor kurerad lista och ger ut en lösenfras som är säker samt lätt att skriva och komma ihåg. Här finns fler tips om hur man skapar och kommer ihåg ett starkt lösenord.
Ditt lösenord är saltat och hashas med Argon2 på din enhet innan det skickas till Tuta. Argon2 är den mest pålitliga metoden eftersom brute force attacker behöver mycket mer tid i jämförelse med konventionella metoder som MD5 eller SHA. Med den här metoden garanterar vi en integrerad sekretess och vi låter dig komma åt och dekryptera din e-post direkt från datorer och mobila enheter.
Nej. När ett lösenord används för autentisering (inloggning) är det inte säkert att det är känt för den server som du vill autentisera med. Servern behöver bara ett fingeravtryck (hash) av ditt lösenord. Med Tuta beräknas din hash för autentisering av din webbläsare och endast hash skickas. Ditt lösenord skickas aldrig över internet i klartext och kan aldrig ses av vår server. Eftersom hash värden är icke inverterbara kan servern inte rekonstruera ditt lösenord från hashen. Servern kan inte dekryptera ditt meddelande men kan ändå logga in dig.
Rekommenderad fördjupad läsning: Lär dig hur Tuta automatiserar krypteringsprocessen samtidigt som du får full kontroll över dina krypterade data.
Om du tror att ditt lösenord har lämnats ut till någon annan men du fortfarande kan logga in på ditt konto gör du följande:
Om angriparen fortfarande är inloggad på ditt konto loggas personen automatiskt ut när du ändrar ditt lösenord.
Vi rekommenderar att du alltid använder 2FA på dina konton eftersom det gör det nästan omöjligt för en angripare att logga in på ditt konto.
Om du inte kan logga in på ditt konto längre, läs här.