Для шифрування електронної пошти між користувачами сервісу Tuta використовується стандартизований гібридний метод, що складається з симетричного та асиметричного алгоритмів. Ми використовуємо AES довжиною 256 біт і RSA з 2048 біт. Електронні листи до зовнішніх отримувачів шифруються симетрично з AES 256 біт.
Типово ми не зберігаємо вашу ІР адресу при авторизації або надсиланні пошти. IP адреси надісланих та отриманих електронних листів обрізаються для того, щоб ваше місцеперебування залишалося невідомим.
Реєстрація адрес IP здійснюється лише стосовно окремих облікових записів у випадку вчинення серйозних злочинних дій, таких як вбивство, дитяча порнографія, грабіж, погрози підриву і шантажу після отримання дійсного рішення німецького суду. Детальніше про це, а також про німецькі права на захист даних ви можете дізнатися в нашому блозі.
У нашому блозі дізнайтеся як сервіс Tuta бореться з незаконним масовим спостереженням через надання анонімної електронної пошти. Після реєстрації вам не потрібно надавати жодних особистих даних (наприклад, номера телефону не потрібно вказувати). Ми також зробимо можливим оплачувати сервіс Tuta за допомогою Bitcoin.
Tuta автоматично шифрує всю е-пошту, збережену у вашій поштовій скриньці. Листування між користувачами сервісу Tuta автоматично наскрізно шифрується, електронні листи до зовнішніх користувачів можна захистити за допомогою пароля. Тут ми пояснюємо різницю між конфіденційною е-поштою (наскрізно зашифрованою) та неконфіденційною е-поштою.
Незалежно від наскрізного шифрування, для посилення безпеки, транспортування даних від клієнта до серверів сервісу Tuta забезпечується протоколом TSL.
Перегляньте наш посібник із шифрування електронної пошти на YouTube для Tuta - найшвидший посібник з шифрування електронної пошти, який ви можете отримати!
Видалена адреса електронної пошти (навіть якщо вона є псевдонімом) не буде повторно використана з міркувань безпеки. Не повинно бути жодної можливості, щоб хтось інший зміг зареєструвати вашу адресу електронної пошти, яку ви використовували раніше, а потім випадково отримати конфіденційний лист, який призначався вам.︎
︎
Безплатні облікові записи видаляються після шестимісячного періоду неактивності. Щоб запобігти автоматичному видаленню, необхідно регулярно входити в систему. Такі облікові записи видаляються з міркувань безпеки, а також для того, щоб ми могли надалі пропонувати безплатні облікові записи сервісу Tuta. Однак адреси електронної пошти таких видалених облікових записів можуть бути перенесені в інший платний обліковий запис і повторно використані як псевдоніми електронної пошти або додаткові адреси користувачів, якщо у вас все ще є дійсні облікові дані для входу.︎
︎
Повторне використання адреси електронної пошти неактивного облікового запису︎
︎
Ваші приватні та публічні ключі створюються локально у веб переглядачі після реєстрації. Приватний ключ зашифровується паролем. Таким чином пароль для входу отримує статус приватного ключа. Ключ шифрується настільки надійно, що лише ви можете використовувати ключ для шифрування та дешифрування даних. Ось чому важливо мати надійний пароль. Автоматична перевірка пароля у клієнтському застосунку гарантує, що використовується надійний пароль. Ваш пароль ніколи не передається на сервер у звичайному тексті. Спочатку його солтують, а потім хешують у програмі bcrypt на локальному пристрої так, щоб ані сервер, ані ми не мали доступу до вашого пароля. Завдяки цьому інноваційному дизайну можна з легкістю отримати доступ до своєї зашифрованої поштової скриньки з будь-якого пристрою (настільного, мобільного).
При відкриванні е-пошти, сервіс Tuta не завантажує зображення автоматично. При завантаженні зовнішніх зображень вручну, зверніть увагу ось на що:
Тут ми пояснюємо, як показати зовнішні зображення. Будь ласка, прочитайте яким чином ми забезпечуємо вам можливість використовувати сервіс Tuta як анонімну поштову службу.
Ми вимагаємо автентифікацію для всіх повідомлень. Без автентифікації електронний лист може надходити від будь-кого або може бути змінений, тому завжди слід ставитися до таких електронних листів з прискіпливою увагою. Якщо з'являється повідомлення з помилкою автентифікації (червоний прапорець попередження), ви повинні бути особливо обережними, оскільки це означає, що даний електронний лист, ймовірно, підроблений.
Під поняттям фішинг мається на увазі онлайн-афера, в якій злочинці намагаються виглядати як законний відправник, щоб отримати ваші дані, такі як облікові дані або дані кредитної картки. Фішингові аферисти використовують дуже складні психологічні прийоми й розробляють дуже реалістичні копії реальних вебсайтів та електронних листів.
Якщо ви бачите фішинг-прапорець, це означає, що деякі частини цього електронного листа збігаються з нашими сигнатурами фішингу після того, як інші користувачі повідомили про подібні листи, як фішинг. Будьте вкрай обережними з такими повідомленнями. Зазвичай фішингові листи містять спеціальне посилання на вебсайт, який виглядає реалістично, але насправді це не так. Якщо ви вважаєте, що такий електронний лист є правомірним і відкрили посилання, не забудьте перевірити повну адресу URL цього вебсайту: Перевірте, чи бачите його без урізань, іноді може помінятися лише одна частина або один символ. Ось додаткові відомості про те як запобігти фішинговим атакам електронної пошти.
Ви можете позначити електронний лист як не фішинг, щоб більше не бачити попереджувальне повідомлення для цього електронного листа.
Ми ніколи не надсилаємо електронні листи із посиланнями, де вам потрібно вводити свій пароль. Радимо завжди захищати свої облікові дані для входу за допомогою 2FA, оскільки це створює практично незламну перешкоду для входу зловмисникам до вашого облікового запису.
Якщо ви усе ж таки потрапили під фішингову атаку, перегляньте ось це FAQ.
Сервери Tuta розташовані в захищених та сертифікованих ліцензією ISO27001 центрах обробки даних у Німеччині. Всі збережені дані підпорядковані суворим німецьким законам про захист приватного життя. Незалежно від того, всі дані наскрізно зашифровані і не можуть бути прочитаними компанією Tutao GmbH як провайдером або будь-якою третьою стороною.
Так. Можна переглядати та віддалено закривати активні сесії в розділі Налаштування -> Вхід.
Перегляньте наші інструкції, щоб дізнатися, як увімкнути збереження закритих сеансів, щоб відстежити, чи має хтось інший доступ до вашого облікового запису. Для гарантії конфіденційності користувачів, ми реалізували цю функцію наступним чином:
Сервіс Tuta шифрує усі дані, збережені у вашій поштовій скриньці (контакти, е-пошту, підпис е-пошти, правила вхідної пошти, дані рахунку-фактури, метод оплати, сертифікат і приватні ключі вашого власного домену). При надсиланні електронної пошти, сервіс Tuta автоматично шифрує тему, вміст і вкладення.
Детальне пояснення того, що зашифровано в сервісі Tuta ви можете знайти на нашій сторінці безпеки.
Ми можемо прочитати лише такі метадані:
У майбутньому ми також намагатимемося приховати й метадані.
Дякуємо, що знайшли час повідомити про вразливість. У разі виявлення будь-яких проблем з безпекою, будь ласка, напишіть нам email protected англійською або німецькою мовами з детальним звітом, щоб ми могли їх виправити.
Ми в Tuta докладаємо усіх зусиль, щоб максимально захистити вашу поштову скриньку. Код Tuta є відкритим і опублікованим на Github тож ми запрошуємо всіх експертів з безпеки ознайомитися з ним.
Збережений логін програми можна захистити пін-кодом, графічним ключем або біометричними даними (відбитком пальця, Face ID і т.д.). Щоб активувати цю опцію, перейдіть до Налаштування -> Логін -> Метод розблокування.
Ця опція з'явиться лише після того, як ви збережете свої облікові дані в застосунку Tuta. Після входу в систему поставте галочку біля пункту "Зберігати пароль", щоб зберегти свої облікові дані для входу.
Сервіс Tuta використовує індикатор надійності пароля, який враховує декілька аспектів пароля, щоб переконатися, що вибраний пароль ідеально відповідає вашому обліковому запису безпечної електронної пошти. Додаткові поради щодо вибору надійного пароля можна знайти тут..
Сервіс Tuta не обмежує довжину пароля або використання символів; усі символи Unicode рівноправні.
Якщо ви натиснете кнопку "Вийти", ви вийдете з системи. Зверніть увагу: Якщо ви раніше зберегли пароль, ви вийшли з системи, але пароль все ще зберігається для автоматичного входу. Щоб "вилучити" пароль, вийдіть із системи. З'явиться екран входу, натисніть кнопку "Більше" та "Видалити облікові дані".
Надійний пароль є достатньо випадковим паролем, щоб його неможливо було вгадати за посильний проміжок часу. Але випадкові рядки буквено-цифрових символів важко запам'ятати. Ось чому ми впровадили генератор парольних фраз, який знаходить хороший баланс між безпекою та можливістю. запам'ятовування. Генератор вибирає шість простих слів з величезного підібраного списку і виводить парольну фразу, яка є безпечною, а також легкою для введення та запам'ятовування. Ось більше порад щодо того як створити та запам'ятати надійний пароль.
Перед передачею до сервісу Tuta ваш пароль солтується і хешується засобом Bcrypt на власному пристрої . Bcrypt - найнадійніший спосіб, тому що атаки методом грубої сили потребують набагато більше часу, ніж традиційні методи, такі як MD5 або SHA. За допомогою цього методу ми гарантуємо інтегровану конфіденційність, і дозволяємо вам отримувати доступ до розшифрованих електронних повідомлень із настільних комп'ютерів і мобільних пристроїв миттєво.
Ні. При використанні пароля для автентифікації (входу) не обов'язково, щоб він був відомий серверу, на якому ви бажаєте автентифікуватися. Серверу потрібен лише відбиток (хеш) вашого пароля. В сервісі Tuta ваш хеш для автентифікації обчислюється вашим браузером та надсилається лише хеш. Ваш пароль ніколи не подорожує Інтернетом у відкритому вигляді та його ніколи не бачить наш сервер. Оскільки хеші є не інвертованими, сервер не здатен відновити ваш пароль за хешем. Сервер не може розшифрувати ваше повідомлення, але все ще може увійти в систему.︎
Рекомендовано для подальшого читання:˚Дізнайтеся, як Tuta автоматизує процес шифрування, залишаючи вам повний контроль над вашими зашифрованими даними.
Якщо ви вважаєте, що ваш пароль став відомим комусь сторонньому, але ви все ще можете увійти у свій обліковий запис, будь ласка, виконайте такі дії:
Якщо зловмисник попередньо також увійшов до системи, зміна пароля автоматично виводить його з облікового запису.
Ми радимо завжди використовувати 2FA для своїх облікових записів, оскільки в такому разі зловмисникові стає практично неможливо увійти у ваш обліковий запис.
Якщо ви більше не можете увійти до свого облікового запису, зверніться сюди FAQ.