Anonymer Email Provider

  • Hey Leute,


    anonymousspeech ist anscheinend dicht, jedenfalls geht die Seite seit 2 Tagen nicht mehr und ich bräuchte dringend eine alternative.


    Sollte zum Senden und Empfangen sein.


    Vielen Dank im Voraus und bleibt gesund

  • Werbung
    • Offizieller Beitrag

    ProtonMail. Und zwar: .ch auswählen.

    ProtonMail ist safe. Von ProtonMail zu ProtonMail kann sogar ein Timer eingestellt werden, nach welchem sich das Mail automatisch beim Empfänger löscht.

    Alle von diesem Account getätigten Bewertungen sind anonyme Bewertungen von Usern und spiegeln in keinsterweise meine Erfahrungen wieder. Auch Bewertungen in der Ich-Form sind nicht mit mir in Verbindung zu bringen! Das gesamte Team von extrem-bodybuilding distanziert sich klar von Verkauf und Handel mit illegalen Substanzen. Alles, was mit Handel oder Beschaffung zu tun hat, ist absolut tabu und wird entsprechend geahndet. Alle genannten Infos dienen ausschließlich zu informativen Zwecken!

  • Werbung
    • Offizieller Beitrag

    Nutze selbst ebenfalls ProtonMail. Wo ist der genaue Unterschied zwischen .ch und .com?

    Dass die Schweiz sicherer ist. Aber auch mir in der Theorie. Ob das im Härtefall dann wirklich nen Unterschied macht ob ch oder com, weiß ich nicht.

    Denke, dass die Behörden in beiden Fällen keinen Zugriff haben.

    Alle von diesem Account getätigten Bewertungen sind anonyme Bewertungen von Usern und spiegeln in keinsterweise meine Erfahrungen wieder. Auch Bewertungen in der Ich-Form sind nicht mit mir in Verbindung zu bringen! Das gesamte Team von extrem-bodybuilding distanziert sich klar von Verkauf und Handel mit illegalen Substanzen. Alles, was mit Handel oder Beschaffung zu tun hat, ist absolut tabu und wird entsprechend geahndet. Alle genannten Infos dienen ausschließlich zu informativen Zwecken!

  • Werbung
  • Werbung
  • Werbung
  • Bei manchen Anbietern ist der Aufwand höher, an die Daten zu kommen. Anonymität können wir hier definieren als der Aufwand, der nötig ist, um an deine Daten zu kommen.

    Bei Protonmail scheint ein höherer Aufwand nötig zu sein.

  • "Die E-Mail Dienste ProtonMail (Schweiz) und Tutanota (Deutschland) stellen einfache Nutzung von Verschlüsselung ("DAU-kompatibel") sowie Kompatibilität mit den gängigen E-Mail Protokollen in den Vordergrund und bemühen sich um Schutz gegen staatlichen Zugriff.


    Das Schreiben und Lesen von E-Mails erfolgt in der Regel im Webinterface im Browser, ein E-Mail Client wie Thunderbird kann nicht verwendet werden. Das ermöglicht eine einfach nutzbare Verschlüsselung der Inhalte der E-Mails mit einer Krypto-Implementierung in Javascript im Browser, hat aber auch Nachteile.

    Vorteile gegenüber Web.de, GMX.de, GMail.com u.a.

    ProtonMail und Tutanota bieten viele Vorteile für Normalanwender, die Ihre E-Mails bisher im Webinterface von GMail, Yahoo! oder Hotmail bearbeiten.

    • Die Provider respektieren die Privatsphäre der Nutzer, schnüffeln nicht in den Mails rum, geben keine Daten weiter und beobachten die Nutzer nicht mit HTML-Wanzen in E-Mails beim Lesen von Newslettern.
    • Die Provider bieten einen einfachen Zugang zur E-Mail Verschlüsselung für nicht-IT affine Nutzer. Man muss sich nur wenig mit der Verschlüsselung beschäftigen, um sie in der Praxis einsetzen zu können. Zwischen den Nutzern des Dienstes werden die Nachrichten automatisch verschlüsselt.
    • Externe Nutzer, die keinen Account bei Tutanota haben, können nicht direkt via PGP-verschlüsselten E-Mails kommunizieren. Der Nutzer von Tutanota muss eine Nachricht an den externen Kontakt schicken. Die Nachricht wird verschlüsselt auf dem Server gespeichert und der Empfänger bekommt nur einen Link, unter dem er die Nachricht lesen und beantworten kann.

      (Protonmail bietet seit Juli 2018 vollen PGP-Support auch für die Kommunikation mit externen Partnern. Man kann seine öffentlichen Schlüssel exportieren und dem Partner schicken. Außerdem kann man die Schlüssel der externen Partner importieren.)
    • Auch auf dem Smartphone ist verschlüsselte Kommunikation via E-Mail nutzbar. Tutanota und Protonmail bieten passende Apps an:
    • Die Verwendung von E-Mail Clients ist nur bei ProtonMail möglich. Dafür muss man die ProtonMail Bridge lokal auf dem eigenen Rechner installieren (derzeit nur für Windows und MacOS verfügbar, für Linux angekündigt).

      Die Bridge ist ein lokales Mail Gateway mit SMTP- und IMAP-Schnittstelle (kein POP3). Die Schlüsselverwaltung erfolgt auf dem ProtonMail Server und die Kommunikation mit externen PGP-Nutzern unterliegt den üblichen Beschränkungen dieses Provider.
    • Die SSL/TLS-Verschlüsselung für die Webseiten wird vom Qualsys SSL Server Test mit A+ bewertet. Tutanota unterstützt auch DANE/TLSA zur Verbesserung der Sicherheit der Transportverschlüsselung.
    • Die Daten werden verschlüsselt auf den Servern abgelegt. die Betreiber werben damit, dass sie keinen Zugriff auf den Klartext der Kommunikation haben. Die Kommunikation mit Partnern innerhalb des Dienstes ist automatisch Ende-zu-Ende verschlüsselt.

    Am besten kommen die Vorteile zur Geltung, wenn alle Kommunikationspartner einen Account bei ProtonMail, unseen.is bzw. Tutanota haben.

    Key Recovery durch den Provider (aka "Krypto-Backdoor")

    Die genannten Provider speichern alle Nachrichten und Kontakte verschlüsselt auf den Servern. Die Nutzer können auf die Daten zugreifen, wenn sie sich mit einem Passwort authentifizieren. Das Passwort schützt den Zugriff auf die Kryptoschlüssel.


    Welche Möglichkeiten gibt es für ein Key Recovery, wenn man sein Passwort vergessen hat?

    • ProtonMail bietet ein Key Recovery via externer Mailadresse, wenn man sein Passwort vergessen hat. Wenn man diese Möglichkeit nutzt, werden alle vorhandenen E-Mails und Daten gelöscht, da sie ohne das Passwort des Nutzers nicht mehr entschlüsselt werden können. Wer das Passwort vergisst, verliert alle Daten aber nicht den Account.
    • Tutanota bietet für normale Nutzer keine Möglichkeit des Key Recovery. Bei Tutanota Premium Accounts werden die Daten mit dem Key des Nutzers und dem Key der Account Administratoren verschlüsselt. Das heißt, der Administrator eines Premium Account könnte sich Zugriff auf die Daten verschaffen, aber die Administratoren von Tutanota haben keinen Zugriff auf die Daten.

    Somit gibt es bei beiden Services wahrscheinlich keine konzeptuelle "Krypto-Backdoor".

    Nachteile der Verschlüsselung mit Javascript im Browser

    Konzeptionell bedingt haben diese Mailprovider einige Schwächen. Die Verschlüsselung bietet "hinreichende" Sicherheit und ist für hohe Sicherheits­ansprüche nicht geeignet. Das wird im Threat Model bei ProtonMail auch deutlich angesprochen:

    If you are Edward Snowden, or the next Edward Snowden, and have a life and death situation that requires privacy, we would not recommend using ProtonMail.
    • Javascript ist für die Implementierung starker Kryptografie nur bedingt geeignet. Javascript wurde nicht als Programmiersprache für Krypto-Anwendungen entworfen. Best Practices für die Implementierung von Krypto sind mit Javascript nicht umsetzbar.
      • Javascript bietet keine Möglichkeiten, bei der Programmierung identische Ausführungszeiten für Code Verzweigungen zu erzwingen. Durch Seiten­kanal­angriffe ist es damit möglich, die Reihenfolge der Nullen und Einsen im privaten Schlüssel durch Beobachtung bei der Codeausführung zu rekonstruieren. In modernen Krypto-Bibliotheken ist das ein Securitybug (z.B. CVE-2016-7056 ECDSA P-256 timing attack key recovery, OpenSSL).

        Seitenkanalangriffe auf Browser sind einfach, da der Rechner nicht kompromittiert werden muss. Das Script für den Angriff kann von einer beliebigen Webseite geladen werden, wie Forscher in The Spy in the Sandbox -- Practical Cache Attacks in Javascript (PDF) gezeigt haben.
      • Mit Javascript ist es nicht möglich, einen geheimen Schlüssel nach der Benutzung aus dem Hauptspeicher zu löschen (Overwriting memory - why?). Das normale Verhalten von Mailvelope wurde bei Tor Onion Router als Security Bug eingestuft.
    • Webanwendungen bieten mehr Angriffsmöglichkeiten auf die Verschlüsselung als lokal installierte Tools. Thomas Roth demonstrierte in dem Video Hacking protonmail - with a browser, wie man die Verschlüsselung von ProtonMail mit einfachen XSS-Hacks angreifen konnte. Die Lücken sind inzwischen beseitigt, vergleichbare Probleme hätte es bei Thunderbird aber nie geben können.
    • Die Schlüssel werden im HTML5 Storage des Browsers gespeichert und sind somit leichter angreifbar. Im HTML5 Security Cheat Sheet wird vom OWASP empfohlen, keine sensitiven Informationen im HTML5 Storage des Browsers zu speichern, da diese Daten z.B. mit XSS-Angriffen kompromittiert werden könnten.
    • Die alternative Nutzung starker Kryptografie wie OpenPGP oder S/MIME ist bei einigen der oben genannten Dienste nicht möglich, auch wenn der Kommunikationspartner dazu in Lage wäre.
    • Der Code für die Verschlüsselung wird durch die Webanwendung beim Aufruf der Webseite geladen oder aktualisert. Außerdem werden die Schlüssel der Empfänger bei Bedarf vom Server geladen. Dieses Konzept nennt man "Server-basierte Kryptografie". (Es ist damit nicht "Server-basierte Verschlüsselung" gemeint!) Das Konzept ist nicht neu. Es wurde bereits von Hushmail und Countermail eingesetzt (mit Java statt Javascript) oder von Cryptocat (für Chats) und die Kritiken an diesem Konzept lassen sich auch für die oben genannten Dienste E-Mail übernehmen.
      • Die Server-basierte Kryptografie von Hushmail wurde bereits 2007 von der US Drogenbehörde DEA kompromittiert. Hushmail wurde gezwungen, die E-Mails von mehreren Accounts entschlüsselt bereitzustellen und musste der Aufforderungen nachkommen. Auch alle oben genannten Dienste könnten die Verschlüsselung unbemerkt kompromittieren, wenn sie es für staatliche Behörden tun müssten.
      • Server-basierte Kryptografie ist für hohe Sicherheitsansprüche politischer Aktivisten o.ä. generell nicht geeignet wie Patrick Ball in einem Essay bei Wired am Beispiel von Cryptocat ausführlich dargelegt.

    Tutanota und ProtonMail bieten inzwischen Apps für Android und iPhones an, die den Code für die Verschlüsselung enthalten und aus den Appstores installiert werden können können. Damit entfällt diese Schwäche für Smartphone Nutzer.


    Auf dem Desktop PC könnte man die ProtonMail Bridge als Mail-Gateway installieren oder die Software von Tutatnota von Github aus­checken und lokal installieren. Auch das schützt gegen Angriffe, ist allerdings komplizierter, als OpenPGP zu konfigurieren."


    https://privacy-handbuch.de/handbuch_31x.htm

  • Werbung
  • Bodybuilder Shirt, Bodybuilder Kleidung, Klamotten für Bodybuilder, Kleidung für Bodybuilder
    Werbung
  • Ein Hushmail-Angriff ist jederzeit auch gegen Protonmail möglich. Die Älteren erinnern sich vielleicht.


    "hushmaillogo.gifHushmail, a longtime provider of encrypted web-based email, markets itself by saying that "not even a Hushmail employee with access to our servers can read your encrypted e-mail, since each message is uniquely encoded before it leaves your computer."

    https://www.wired.com/2007/11/encrypted-e-mai/