专为您打造的安全电子邮件

免去后顾之忧,让 Tuta 保护您的数据。

指尖上的安全电子邮件

全方位的加密,无跟踪,开放源代码 - 有很多因素使Tuta成为世界上最安全的电子邮件供应商。详细探索Tuta的安全功能,了解其各种安全措施如何保护您的敏感数据。

安全与隐私携手并进

在评估任何在线服务的安全和隐私时,总是问自己以下问题:

  1. **谁为它买单?**用户还是广告商?如果答案是 "广告商",该服务永远无法提供一个真正安全和隐私的解决方案。它的首要任务是广告商的利益,帮助他们根据用户的数据确定目标受众,并为他们提供广告。 在这样的商业模式下,保护用户的隐私永远是第二位的。

  2. **谁控制了技术栈?**这是一个非常技术性的问题,但也是至关重要的。如果一个服务使用第三方 "技术",如Dovecot、Roundcube、Google reCaptcha或Google Push,你肯定知道安全和隐私不可能是其核心优先事项,因为供应商故意将信息泄露给他人--而不警告用户。这是另一个原因,你应该选择一个开源的、不依赖与闭源软件整合的服务。

  3. 哪些数据是端到端(E2E)加密的?许多供应商声称他们的服务提供安全的电子邮件,并声称存储在他们那里的数据是 "加密的"。这个问题之所以如此重要,是因为数据是如何被加密的?因为只有当数据被端到端加密时,它才真正无法被在线服务以及其他第三方访问。只有这样,该服务才能被视为提供安全的电子邮件。这就是为什么仅仅 "加密 "数据是不够的,数据必须是**端到端加密的。

对软件堆栈的控制

许多电子邮件服务,甚至是安全的电子邮件服务,都使用第三方技术,如Dovecot、Roundcube和其他技术来构建自己的产品。每当一个所谓的安全服务使用第三方应用程序时,就会使该服务的安全变得更加困难。原因很简单:每一个包含在代码中的服务都会执行代码。任何服务的安全性都不可能比它的依赖性更好。每一个对第三方代码的依赖都必须被维护,安全更新需要立即应用。此外,每个第三方服务都有可能跟踪用户,将数据发送到自己的服务器等。这就是为什么我们在Tuta只使用我们自己在使用它之前已经归属的开放源代码。这样一来,我们确保自己的开源工具Tuta确实使用 是安全的:我们定期对这些工具以及我们自己的客户端进行安全审查,例如,当我们把我们的桌面客户端从测试版

当然,我们Tuta也不能重新发明轮子。但我们已经建立了我们的整个客户端--网页、安卓、iOS和所有的桌面客户端,都是我们自己的。另外,我们在整个开发工作流程中非常注重安全问题。所有开发人员都有相同的DNA:隐私和安全第一。

Tuta的一个主要区别是,我们建立Tuta的所有主要部分,甚至在核心的电子邮件功能之外,如我们的验证码,我们在Android上的推送通知服务和更多。

只有开放源代码 - 我们自己的客户端和软件,Tuta依赖于 - 技术精通的人可以审核代码,并验证Tuta是做我们的承诺:确保您的私人电子邮件的最大。

检查这里为什么我们建议选择我们的安全桌面客户端,用于Linux,Windows和macOS和为什么它是如此重要,我们已经建立了自己的开源验证码,以及在Android上的谷歌推送的替代品

安全

我们遵循 "安全第一 "的理念。

在提供安全的电子邮件服务时,人们相信您的安全性是防不胜防的。对我们来说,这意味着在安全方面绝不能妥协。必须将安全性融入代码中,以便在此基础上轻松添加可用性,而不是相反。

这种 "安全第一 "的理念促成了多项开发决策,从而保证了 Tuta 如今的顶级安全性:

  • 我们不使用 PGP,而是使用略有不同的实现方式(最初基于 AES 256 和 RSA 2048),这使我们能够加密更多的数据(主题行),并加密我们添加到 Tuta 中的所有其他功能,如联系人和日历,这些功能都是 100% 加密的。我们用 ECDH (x25519) Kyber-1024 取代了 RSA,向所有 Tuta 用户提供量子安全加密。未来,我们还计划支持前向保密。

  • 我们不会在服务器上搜索您的数据,因为这些数据已经加密。相反,Tuta 会建立一个加密搜索索引,存储在您的设备或浏览器中,并在那里进行搜索。这样,您就可以在本地搜索整个电子邮件(发件人、收件人、主题行、正文、附件),同时保护您的隐私。

  • 我们不提供 IMAP,因为只有在我们向您的设备发送加密数据时,IMAP 才能工作。相反,我们建立了自己的开源桌面客户端,可以加密存储您的数据。桌面客户端还经过签名,以便每个人都能验证客户端运行的代码与 GitHub 上发布的代码完全相同。

当您使用 Tuta 创建安全电子邮件地址时,您可以确保您的数据安全无虞。

End-to-end encryption

加密的邮箱,日历,联系人。

从一开始,我们在Tuta确保尽可能多的数据是E2E加密的。Tuta是世界上第一个端到端加密的电子邮件提供商,直到今天,它是电子邮件服务,加密更多的数据比任何其他。

Tuta默认加密所有数据:电子邮件、日历、联系人。Tuta提供的端到端加密确保你的数据是安全和私密的,即使它落入坏人之手。

Tuta的服务器只存储加密的数据,而解密密钥只对用户可用。这确保了即使您的互联网连接被拦截,或在极其不可能的情况下,有人入侵我们的服务器,您的数据仍然是安全的。

随着其内置的加密Tuta使安全容易访问的私人用户和企业世界各地的。要解密您的数据,您只需用您的密码登录到您的安全电子邮件地址,就可以了。您可以通过网络浏览器,通过Android和iOS的Tuta应用程序,或通过Windows、macOS和Linux的Tuta桌面客户端轻松登录。

如何发送安全的电子邮件给任何人。

Tuta让你发送安全的电子邮件(E2E加密)给任何人,共享密码。这意味着,信息在发件人的设备上被加密,只能由收件人的设备解密。您可以轻松地在线交流敏感的对话或文件,因为您知道通过Tuta发送的所有数据都是端对端安全加密的。您可以通过定义一个密码轻松地将加密的电子邮件发送给外部收件人。该密码对您与此人交换的所有电子邮件都有效,不需要像其他安全供应商那样为每封电子邮件定义一个新的密码。

零知识日历

Tuta配备了一个端对端加密的日历,让您秘密地安排和存储您的所有约会。我们的日历是一个杰出的成就,因为不仅所有的数据是加密的,而且提醒也是E2E加密的。即使是通知被发送到用户的时间也被我们的服务器掩盖了,所以我们对所有用户的约会仍然一无所知。

TLS加密

安全的电子邮件协议

当用Tuta发送电子邮件时,你显然选择了最安全的选项,因为Tuta允许自动加密电子邮件的端到端。

然而,有时你可能想发送和接收未加密的电子邮件给不使用Tuta的联系人,当与他们分享一个密码会很不方便。要确保这些电子邮件的安全要难得多,因为在这种情况下,电子邮件提供商只能加密传输 - 而不是数据本身。除此之外,还涉及其他服务,如收件人的电子邮件提供商,需要确保安全地完成传输。

为了尽可能地保护未加密的电子邮件,我们坚持SMTP电子邮件协议的最高标准。

图坦塔支持MTA-STS。这个标准现在应该被所有的电子邮件服务所支持,因为它是对电子邮件的严格HTTPS是对一个网站:它执行传输加密(TLS),只要TLS是可能的。

Tuta还支持SPF,DKIM和DMARC。

Tuta使用严格的CSP(内容安全策略),一个用于显示未知内容(在电子邮件中)的HTML净化器,以防止XSS攻击,并且,默认情况下,不会从其他服务器加载外部内容(电子邮件中的图片和视频)。如果用户信任发件人,他们可以选择通过一次点击或轻击来显示外部内容。

在这里查看Tuta在 Securityheaders.io 上的得分情况。

最大限度的登录保护

Tuta 从不将您的密码传送到服务器。

当您登录到您的安全邮箱时,Tuta 会对您的密码进行散列和加盐处理,然后将散列值传送到我们的服务器。从这个哈希值中无法推导出实际密码,因此任何人都无法知道您的密码,即使是我们 Tuta 也不例外。为了保护您的密码,我们使用 Argon2 和 SHA256。

Tuta 还提供双因素验证 (2FA) 以增加额外的安全层。为确保登录凭据的安全,您可以使用 TOTP 或 U2F。我们建议使用带有安全设备的 U2F,因为这是最安全的双因素身份验证形式。这可以确保只有授权用户才能访问其账户。

请查看我们的如何保护您的电子邮件免受黑客攻击的在线安全指南.

零知识架构

Tuta使用零知识架构,这意味着用户的数据永远不会以纯文本存储在Tuta的服务器上。Tuta的服务器只存储加密的数据,而解密密钥只对用户可用。这确保了即使Tuta的服务器被入侵,数据仍然是安全的。

符合 GDPR 标准

欧洲GDPR要求企业保护含有欧盟公民敏感数据的电子邮件。

企业被要求保护个人数据,甚至在运输过程中。通过托管您的所有商业电子邮件在Tuta的安全服务器上加密,节省时间和金钱。有了Tuta,就不需要在臃肿的企业电子邮件解决方案的基础上使用插件或复杂的加密软件,这在十年前是很适合企业的。

电子邮件加密保证符合GDPR,丹麦是第一个欧盟国家正式声明,由于GDPR,企业必须通过适当的端到端加密来保护电子邮件中的敏感个人资料。Tuta为企业提供最安全的电子邮件解决方案,完全符合GDPR的要求。

Tuta遵循数据最小化和隐私设计的原则。

我们有责任保护您的个人数据,我们非常重视这个责任。因此:

  • Tuta 基于 "数据最小化 "和 "设计隐私 "的数据隐私原则。

  • 所有用户数据都在 Tuta 中进行端到端加密存储(元数据除外,如电子邮件的发件人和收件人的电子邮件地址,因为电子邮件协议需要这些信息才能将电子邮件发送到正确的地址)。

  • 我们已采取技术和组织措施,最大限度地保护您的数据。

  • Tuta 提供具有法律约束力的数据保护保证的订单处理协议,以帮助您证明您遵守了 GDPR。

请阅读我们完整的隐私声明了解详情。

我们的内置加密和我们使您能够发送加密的电子邮件给世界上任何收件人的事实,使Tuta一个完美的适合寻找最好的安全电子邮件为您的企业。Tuta帮助你轻松地发送敏感的个人数据,端到端加密,从而确保你的公司是符合GDPR的要求。

阅读我们的博客,了解Tuta如何帮助您的企业实现GDPR合规

德国制造的隐私

德国拥有最严格的数据保护法之一。

欧盟(EU)的数据隐私法规是世界上最严格的法规之一,而在所有欧洲成员国中,德国拥有最强有力的政策之一:《联邦数据保护法》(Bundesdatenschutzgesetz)。欧盟《通用数据保护条例》(GDPR)在很大程度上是根据德国《联邦数据保护法》设计的。

这项法律保护互联网服务的用户。它让用户来决定应该如何处理他们的数据:公司(=我们)不允许在未经个人(=你)明确许可的情况下收集任何个人信息,(如姓名、出生日期、IP地址)。

此外,在德国,没有任何法律可以迫使我们服从禁言令或实施后门

你可以在我们的博客和我们的透明度报告中找到有关德国数据保护法律的详细信息。

存储在德国的数据

Tuta存储在德国的高度安全的数据中心的所有数据。

Tuta的所有数据都存储在我们自己的服务器上的ISO 27001认证的数据中心在德国的端到端加密的。

除了我们的永久管理员,没有人可以访问我们的服务器,他们需要通过多重因素的认证才能获得访问权。所有生产系统都受到24小时监控,以防止未经授权的访问和特殊活动。

匿名电子邮件服务:没有跟踪,没有广告

图塔诺塔是一个匿名电子邮件服务,不会跟踪你。

我们的商业模式与大多数电子邮件服务不同:由于加密,我们不能扫描你的电子邮件。我们不跟踪你。我们不会向您的邮箱发送有针对性的广告。这意味着,除了提供电子邮件和日历服务,您的数据不会被用于任何其他目的。这确保您的数据永远不会与第三方广告商或其他实体共享,这可能会损害您的隐私。

默认情况下,Tuta不会在您登录或发送电子邮件时记录IP地址。注册时,您不需要提供任何个人数据(例如,不需要电话号码),即使您通过Tor浏览器注册。Tuta从邮件标题中剥离发送的电子邮件的IP地址,以便您的位置仍然未知。尽管有所有这些保护措施,你可能仍然希望保持你的IP地址隐藏,甚至从我们这里,这就是为什么我们将永远不会添加一个VPN或浏览器到我们的报价。特别是提供VPN没有任何意义,因为如果我们这样做,我们作为电子邮件提供商仍然能够发现用户的原始IP地址,如果他们通过这个VPN连接。出于隐私的考虑,最好将这些服务分开。

增强的隐私功能

图塔诺塔是一个以隐私为核心的电子邮件服务。

公司喜欢用电子邮件进行营销活动。因为默认情况下,电子邮件不尊重你的隐私。当你收到营销通讯时,电子邮件通常会加载外部内容(如图片、视频)。在这种情况下,你会被追踪:IP地址,你使用的浏览器,以及更多的信息被传输给发件人。

Tuta提供了一个电子邮件服务,自动保护从这些跟踪方法:

  • Tuta默认阻止图像。当你打开一封电子邮件时,没有外部内容被加载,除非你主动允许。

  • Tuta剥离所有头信息(IP地址)从发送的电子邮件,以保护您的隐私。

  • Tuta警告你,当技术发件人与来自发件人不同。伪造发件人是网络钓鱼攻击中使用的一个典型方法。在我们的博客上,你可以找到更多关于如何防止电子邮件钓鱼的提示

远程监控和关闭会议

检查是否有人访问过您的加密的Tuta邮箱。

Tuta让您检查活动和关闭的会话,作为一个选择功能。这使您能够验证,除了您自己,没有人登录您的帐户。关闭的会话在一个星期后自动删除。Tuta的会话处理也使您能够远程关闭会话。当您丢失了您的手机,而您仍在用Tuta应用程序登录,您可以从任何其他设备关闭这个会话。通过远程关闭会话,您可以确保没有人可以在丢失的手机上访问您的安全电子邮件。

打开和关闭会话的IP地址总是被加密存储,并在一周后自动删除。由于加密,只有你可以访问这些信息。我们Tuta绝对不能访问这些信息。

致力于开放源代码

自由和开放源码的电子邮件为每个人。

Tuta专注于安全和隐私。对我们来说,开源是实现这两个目标的关键。我们已经发布了Tuta网络客户端,Tuta桌面客户端以及Android和iOS应用程序作为开源软件在GitHub

这样每个人都可以检查代码,并验证代码库中是否有错误或安全漏洞。通过开放源代码,潜在的问题可以被注意到,并比封闭源代码的应用程序更快修复。