Proton Mail: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m Bot: rimuovo {{controllo di autorità}} vuoto (ref) |
|||
Riga 26:
Si può usufruire del [[servizio]] accedendo via [[World Wide Web]] oppure con le apposite [[Applicazione mobile|applicazioni]] per [[Android]] e [[iOS]].<ref>{{Cita web|url=http://www.pcprimipassi.it/psoftware/psoftware.asp?id=292|titolo=Posta elettronica anonima e sicura con ProtonMail}}</ref>
ProtonMail è gestito da Proton Technologies [[Società anonima|AG]], un'[[azienda]] svizzera con sede nel [[Canton Ginevra|Cantone di Ginevra]].<ref>{{Cita web|lingua=fr|url=https://ge.ch/hrcintapp/externalCompanyReport.action?companyOfrcId13=CH-660-1995014-1&ofrcLanguage=4|titolo=Registre du commerce du Canton de Genève}}</ref> I suoi [[server
Il servizio ha ricevuto finanziamenti iniziali attraverso una campagna di [[finanziamento collettivo]].
Inizialmente solo su invito, è stato aperto al pubblico a marzo del 2016. A partire da gennaio 2017 aveva oltre 2 milioni di utenti.<ref name="Fighting Censorship">{{Cita web|lingua=en|url=https://protonmail.com/blog/tor-encrypted-email/|titolo=Fighting Censorship with ProtonMail Encrypted Email Over Tor}}</ref> Il dato aggiornato a due anni dopo (dicembre del 2018) è invece di addirittura 10 milioni di utenti in tutto il mondo.<ref>{{Cita web|url=https://protonmail.com/blog/2018-recap-future-roadmap/|titolo=(EN) A look back at 2018 and our vision for the future}}</ref>
L'impostazione predefinita dell'[[account]] è gratuita ed il servizio è supportato da servizi a pagamento facoltativi.
Con la versione 3.12 ha rafforzato anche la [[Sicurezza informatica|sicurezza]] del suo contact manager "ProtonMail Contacts" al fine di proteggere ulteriormente i contatti salvati in [[rubrica]] dai propri utenti.<ref>{{Cita web|url=https://www.wired.it/internet/web/2017/11/23/protonmail-posta-elettronica-cifra-anche-i-contatti/|titolo=ProtonMail, dopo la posta elettronica cifra anche i contatti}}</ref> La rubrica sicura di ProtonMail permette di salvare i contatti [[Posta elettronica|e-mail]] utilizzando la [[crittografia]] e la [[firma digitale]]; questo assicura che solo l’utente potrà accedere a tali informazioni, con un netto aumento della protezione contro gli attacchi [[hacker]].<ref>{{Cita web|url=https://www.mobileworld.it/2018/03/30/protonmail-rubrica-sicura-android-ios-173874/|titolo=ProtonMail porta la sua nuova rubrica sicura anche su Android e iOS}}</ref>
Inoltre, dal 19 gennaio 2017, i suoi utenti possono già utilizzare il servizio dalla [[Tor (software)|rete TOR]] (acronimo di ''The Onion Router'') collegandosi a un indirizzo «onion», ossia ''<nowiki>https://protonirockerxow.onion</nowiki>''.<ref name="Fighting Censorship" /><ref>{{Cita web|url=https://tecnologia.libero.it/protonmail-su-rete-tor-6287|titolo=ProtonMail si sposta su TOR per garantire più privacy ai suoi utenti}}</ref
=== Sviluppo ===
Riga 50:
Il 13 agosto 2015 rilasciò la versione 2.0, che è stato l'aggiornamento più significativo nella sua storia ed incluse un nuovo codebase per la sua interfaccia web, introducendo miglioramenti significativi delle prestazioni. La sua squadra rilasciò simultaneamente il codice sorgente per l'interfaccia web sotto una licenza [[Open source|open-source]].<ref>{{Cita web|url=https://protonmail.com/blog/protonmail-secure-email-open-source/|titolo=(EN) ProtonMail goes Open Source with version 2.0}}</ref>
Il 17 marzo 2016 ProtonMail rilasciò la versione 3.0 che ha visto il lancio ufficiale di ProtonMail fuori dalla [[Versione beta|beta]].
==== Applicazione ProtonMail ====
Riga 66:
=== Attacchi DDoS nel 2015 ===
Dal 3 al 7 novembre 2015, ProtonMail subì numerosi [[Denial of service|attacchi DDoS]] che hanno reso il servizio largamente non disponibile per gli utenti.<ref>{{Cita web|lingua=en|url=https://www.theregister.co.uk/2015/11/05/protonmail_ddos_attack/|titolo=ProtonMail still under attack by DDoS bombardment|sito=theregister.co.uk|data=5 novembre 2015|accesso=29 settembre 2018}}</ref>
ProtonMail riteneva di essere stato colpito da due attacchi separati, il primo guidato da un gruppo di hacker noto come «Collettivo di Armada» (in inglese ''Armada Collective'') ed il secondo da un gruppo sconosciuto, tecnicamente più avanzato e con abilità simili ad un gruppo sponsorizzato dallo [[stato]].
Il primo attacco fu legato ad un riscatto di 15 [[Bitcoin]] (circa {{formatnum:16000}} dollari statunitensi) che ProtonMail alla fine pagò a causa delle pressioni degli ISP e di altre società colpite dall'attacco.
Gli [[Denial of service|attacchi DDoS]], tuttavia, non si fermarono ed invece iniziarono ad assumere maggiore sofisticazione, con tassi superiori a 100 Gbit/s.
La società ricevette un'[[Posta elettronica|e-mail]] dal Collettivo di Armada in cui negarono la responsabilità dell'attacco che era in corso.<ref>{{Cita web|url=https://protonmaildotcom.wordpress.com/2015/11/05/ddos-update/|titolo=(EN) DDOS Update}}</ref><ref>{{Cita web|url=https://protonmaildotcom.wordpress.com/2015/11/05/protonmail-statement-about-the-ddos-attack/|titolo=(EN) ProtonMail Statement about the DDOS Attack}}</ref><ref>{{Cita web|url=https://www.govcert.admin.ch/blog/14/armada-collective-blackmails-swiss-hosting-providers|titolo=(EN) Armada Collective blackmails Swiss Hosting Providers}}</ref><ref>{{Cita web|url=https://www.forbes.com/sites/thomasbrewster/2015/11/05/protonmail-pays-to-stop-ddos/#2eaf9b7f1afe|titolo=(EN) ProtonMail Pays Crooks $6,000 In Bitcoin To Cease DDoS Bombardment}}</ref>
Durante l'attacco, la società dichiarò su [[Twitter]] che stava cercando un nuovo data center in [[Svizzera]], dicendo che «molti hanno paura a causa della portata dell'attacco contro di noi».
Da allora dichiararono di avere «una soluzione completa a lungo termine che è già in fase di attuazione».<ref>{{Cita web|url=https://twitter.com/ProtonMail/status/662212032368889856|titolo=(EN) We are seeking a datacenter in Switzerland brave enough to host ProtonMail, many are afraid due to the magnitude of the attack against us.}}</ref>
Riga 84:
=== Da ProtonMail a ProtonMail ===
Un'email inviata ad un altro account ProtonMail viene automaticamente crittografata con la chiave pubblica del destinatario.
Una volta crittografata, solo la chiave privata del destinatario può decrittografare l'[[Posta elettronica|e-mail]].
Quando il destinatario accede, la sua [[password]] della casella di posta decodifica la chiave privata e sblocca la posta in arrivo.
Riga 94:
I messaggi di posta elettronica ad indirizzi elettronici non ProtonMail possono essere facoltativamente inviati con [[crittografia]] [[End-to-end|dall'inizio alla fine]] poiché si possono anche inviare semplicemente in formato testo, con il sistema di codifica base64.
Con la [[crittografia]], l'e-mail viene crittografata con AES con una [[password]] fornita dall'utente. Il destinatario riceve un collegamento al sito web ProtonMail sul quale è possibile inserire la [[password]] e leggere l'e-mail decrittografata. ProtonMail presume che il mittente ed il destinatario abbiano scambiato questa [[password]] attraverso un canale posteriore.<ref>{{Cita web|lingua=en|url=https://security.stackexchange.com/questions/58541/how-are-protonmail-keys-distributed/58552#58552|titolo=How are ProtonMail keys distributed?}}</ref>
Tali e-mail possono essere impostate per autodistruggersi dopo un periodo di tempo.<ref>{{Cita web|lingua=en|url=https://protonmail.com/security-details|titolo=End-to-End Encryption}}</ref>
Riga 104:
Quando un utente crea un account, il suo [[browser]] genera una coppia di chiavi RSA pubbliche e private: la chiave pubblica viene utilizzata per crittografare i messaggi di [[posta elettronica]] ed altri dati; la chiave privata, in grado di decifrare i dati dell'utente, viene simmetricamente crittografata con la [[password]] della casella di [[posta elettronica]].
Questa crittografia simmetrica avviene nel browser Web dell'utente utilizzando AES-256.
ProtonMail inizialmente offriva agli utenti l'accesso solo con password in due modalità che richiedeva una [[password]] di accesso ed una [[password]] della casella di posta. Quella di accesso veniva utilizzata per l'autenticazione; quella della casella di [[posta elettronica]] crittografava la casella contenente le [[Posta elettronica|e-mail]] ricevute, i contatti e le informazioni utente, nonché una chiave di [[crittografia]] privata. Al momento del login, l'utente doveva fornire obbligatoriamente entrambe le password; questo per accedere all'account, alla casella postale crittografata ed alla sua chiave di crittografia privata; la decrittografia avveniva sul lato client in un browser Web o in una delle [[Applicazione mobile|applicazioni mobili]]; la chiave pubblica e la chiave privata crittografata erano entrambe archiviate sui server ProtonMail e pertanto ProtonMail memorizzava le chiavi di decodifica solo nella loro [[crittografia|forma crittografata]], in modo che gli sviluppatori di ProtonMail non erano in grado di recuperare le e-mail degli utenti né di reimpostare le password delle caselle di posta.<ref>{{Cita web|url=https://security.stackexchange.com/questions/58541/how-are-protonmail-keys-distributed/58552#58552|titolo=(EN) How are ProtonMail keys distributed?}}</ref>
Riga 116:
* Decifrare la casella di posta elettronica solo se richiesta o obbligata da un ordine del [[tribunale]].<ref>{{Cita web|url=https://thehackernews.com/2014/05/protonmail-nsa-proof-end-to-end.html|titolo=(EN) ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service}}</ref>
ProtonMail supporta esclusivamente [[HTTPS]] e utilizza TLS con [[scambio di chiavi]] effimero per [[Crittografia|crittografare]] tutto il traffico [[Internet]] tra utenti e [[server]] ProtonMail.
Il loro certificato SSL RSA 4096 bit è firmato da QuoVadis Trustlink Schweiz AG e supporta Extended Validation, Certificate Transparency, Public Key Pinning e Strict Transport Security.<ref>{{Cita web|url=https://protonmail.com/blog/swiss-ssl-certificate-update/|titolo=(EN) SSL Certificate Update}}</ref>
Riga 122:
Protonmail.com detiene una valutazione A+ di Qualys SSL Labs.<ref>{{Cita web|url=https://www.ssllabs.com/ssltest/analyze.html?d=protonmail.com&latest|titolo=(EN) SSL Report: protonmail.com}}</ref>
A settembre 2015, ProtonMail ha aggiunto il supporto nativo alla loro interfaccia web e [[Applicazione mobile|app mobile]] per Pretty Good Privacy (PGP).
Ciò consente a un utente di esportare la sua chiave pubblica codificata con ProtonMail PGP ad altri al di fuori di ProtonMail, consentendo loro di utilizzare la chiave per la [[crittografia]] della [[posta elettronica]].
Il team di ProtonMail prevede di supportare la [[crittografia]] PGP da ProtonMail ad utenti esterni.<ref>{{Cita web|url=https://protonmail.com/blog/protonmail-facebook-pgp/|titolo=(EN) ProtonMail adds Facebook PGP integration}}</ref>
Riga 130:
=== Crittografia a curve ellittiche ===
Nel marzo del 2018 ProtonMail rilasciò la [[crittografia]] a [[Curva ellittica|curve ellittiche]] (in inglese: "elliptic curve cryptography") in [[OpenPGP]], la [[Libreria (software)|libreria]] di [[crittografia]] [[open source]] che gestisce, consentendo a centinaia di [[Applicazione (informatica)|app]] di sfruttare questa [[crittografia]] in fase di introduzione.
Ad agosto [[OpenPGP]] superò un controllo di [[Sicurezza informatica|sicurezza]] indipendente, aprendo la strada all'implementazione in ProtonMail.
Riga 138:
== Proprietà ==
Se si dimenticano o si perdono le [[
== Architettura del centro elaborazione dati ==
ProtonMail mantiene e possiede l'[[hardware]] e la rete del [[server]] per evitare di fidarsi di [[Persona (linguistica)|terzi]].
Sono in mantenimento due ridondanti [[Centro elaborazione dati|centri elaborazione dati]] a [[Losanna]] e [[Attinghausen]] (nell'ex [[bunker]] militare K7 sotto i mille metri di [[roccia]] [[Granito|granitica]]).<ref>{{Cita web|url=https://protonmail.com/security-details|titolo=End-to-End Encryption|lingua=en}}</ref><ref>{{Cita web|url=https://www.techrepublic.com/article/exclusive-inside-the-protonmail-siege-how-two-small-companies-fought-off-one-of-europes-largest-ddos/|titolo=Exclusive: Inside the ProtonMail siege: how two small companies fought off one of Europe's largest DDoS attacks|lingua=en}}</ref><ref>{{Cita web|url=https://www.srf.ch/play/tv/schweiz-aktuell/video/im-geheimen-datenbunker-von-attinghausen?id=ef62ec6f-7916-44d6-a3db-4926c28be8ca&station=69e8ac16-4327-4af4-b873-fd5cd6e895a7|titolo=Im geheimen Datenbunker von Attinghausen|lingua=de}}</ref> Poiché i centri elaborazione dati si trovano in [[Svizzera]], essi sono [[Legge (diritto)|legalmente]] al di fuori della [[giurisdizione]] degli [[Stati Uniti d'America|Stati Uniti]] e dell'[[Unione europea]].
Secondo la legge [[svizzera]] tutte le richieste di sorveglianza provenienti da paesi stranieri devono passare attraverso un [[tribunale]] [[Svizzera|svizzero]] e sono soggette a [[Trattato internazionale|trattati internazionali]]. Gli obiettivi di sorveglianza prospettici vengono notificati e possono presentare ricorso in [[tribunale]].
Riga 194:
* {{Collegamenti esterni}}
{{Portale|crittografia|sicurezza informatica}}
| |||