ProtonMail nie taki bezpieczny? Administracja oskarżona o współpracę ze służbami

Maciej Olanicki , 30.05.2019 r.

ProtonMail to stosunkowo młoda usługa pocztowa, której najmocniejszą stroną jest ochrona prywatności swoich użytkowników. Biorąc pod uwagę niewielką pojemność darmowego wariantu – jest to zaledwie 500 MB – to właśnie ochrona danych i tajemnicy korespondencji jest najmocniejszą stroną ProtonMaila. Problem w tym, że właśnie została ona zakwestionowana.

ProtonMail zbudował swoją markę na pochodzeniu – siedziba zespołu rozwijającego usługę i serwery zlokalizowane są w Szwajcarii, co ma budzić skojarzenia z bezpieczeństwem i neutralnością stojącą w sprzeczności ze współpracą ze służbami innych państw. Poczta w ProtonMail ma być bezpieczna jak w szwajcarskim banku. Ten wizerunek został zresztą utrwalony w popularnym serialu Mr. Robot, gdzie główny bohater, haker-schizofrenik, korzystał właśnie z tej usługi pocztowej.

protonmail-1

Za wizerunkiem korzystającym z międzynarodowej renomie samej Szwajcarii idą także konkretne parametry samej poczty. Korespondencja szyfrowana jest end-to-end dzięki kombinacji wykorzystującej klucz publiczny i szyfrowanie algorytmem symetrycznym AES-256. W użyciu są dwa hasła – jedno służy logowaniu, drugie odszyfrowaniu klucza prywatnego. Zarówno aplikacja przeglądarkowa, jak i mobilne oferują wsparcie dla PGP. Także wspomniana lokalizacja serwerów jest czymś więcej niż samym marketingiem – ProtonMail polega wyłącznie na własnej infrastrukturze.

Dotąd nikt nie miał większych wątpliwości, że ProtonMail jest jedną z najlepszych propozycji w swojej wąskiej kategorii. Zmieniło się to za sprawą artykułu opublikowanego przez szwajcarskiego prawnika, Margina Steigera, z kancelarii Steiger Legal. Według niego prywatność oferowana przez ProtonMaila to mit. Prawnik oskarża administrację o dobrowolną współpracę ze służbami i umożliwianie im ciągłego i bieżącego nadzoru nad korespondencją, mimo że nie jest do tego obligowana przez szwajcarskie prawo.

Zobacz też: Czy prywatność to towar luksusowy? Apple odpowiada na szefowi Google

Steiger powołuje się na wystąpienie Stephena Waldera, szefa wydziału szwajcarskiej policji zajmującego się cybeprzestępczością. Walder miał jako dobry przykład współpracy dostawcy usług internetowych i służb podać właśnie ProtonMaila. Jego administracja miała dobrowolnie pozwalać na policyjny nadzór. Sam Walder uważa, że nic takiego nie powiedział, mówił jedynie o potencjalnej współpracy z ProtonMailem, jednak Steiger nie ma wątpliwości, że takie słowa padły, gdyż był tego osobistym świadkiem podczas wystąpienia.

protonmail-2

Dalej Steiger uderza w fundament ProtonMaila – jego szwajcarskość. Administracja chwali się, że podlega wyłącznie szwajcarskiemu prawu, ale Steiger czyni z tego „atutu” kolejne zagrożenie dla prywatności użytkowników usługi. ProtonMail podlegać ma bowiem Federalnemu aktowi o nadzorze nad pocztą i telekomunikacją (SPTA) i Federalnemu aktowi o ochronie danych (FADP), które stanowią, że administracja jest zobowiązana do współpracy ze służbami oraz dostarczania im informacji wymaganych do inwigilacji. Łącznie z przekazywaniem IP osób podejrzanych o działalność przestępczą.

Dotąd administracja ProtonMaila utrzymywała, że nie jest w rozumieniu szwajcarskiego prawa dostawcą usług komunikacyjnych i nie podlega wspomnianym aktom, Steiger twierdzi co innego. Prawnik przypomina także, że zapisy umożliwiające policyjny nadzór nad usługą znalazły się nawet w raporcie transparentności ProtonMaila:

ProtonMail jest zobligowany dostarczyć wszelkie informacje o użytkownikach, które mogą pomóc w identyfikacji osoby będącej podejrzaną w toku śledztwa kryminalnego prowadzonego przez władze Szwajcarii. Oprócz danych z listy w naszej polityce prywatności, w ekstremalnych przypadkach, ProtonMail może być także zobligowany do monitorowania IP wykorzystywanego do łączenia się z pocztą, którego właściciel zaangażowany jest działalność przestępczą. W żadnym wypadku ProtonMail nie jest w stanie dostarczać treści szyfrowanych end-to-end wiadomości.

Steiger jest zdania, że jednym są zapisy w raporcie transparentności i podleganie SPTA i FADP, a drugim wspomniana mimochodem przez Stephena Waldera dobrowolna współpraca nad inwigilacją „w czasie rzeczywistym”.

Reakcja administracji ProtonMaila była natychmiastowa – zespół stanowczo zaprzecza, by jakakolwiek „dobrowolna współpraca nad inwigilacją w czasie rzeczywistym” miała miejsce i otwarcie zarzuca Steigerowi kłamstwo. Powołuje się zresztą na dementi wydane przez rzeczonego szefa wydziału cyberprzestępczości, który także twierdzi, że nigdy nie wspominał o takiej formie współpracy ProtonMaila i szwajcarskich służb. Steiger twierdzi jednak, że usłyszał to, co usłyszał i nie wycofuje swoich oskarżeń.

Zobacz też: Open Source na żądanie – Jewgienij Kaspersky ma sposób na rządowe blokady

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: