Комплексне шифрування, відсутність відстеження, відкритий вихідний код - існує безліч факторів, які роблять сервіс Tuta найбезпечнішим провайдером електронної пошти у світі. Ознайомтеся з функціями безпеки сервісу Tuta та дізнайтеся, наскільки різноманітні заходи захисту захищають ваші конфіденційні дані.
Оцінюючи безпеку та конфіденційність будь-якого онлайн-сервісу, завжди ставте собі такі запитання:︎
︎
Для створення власних продуктів чимало поштових сервісів, навіть захищених, використовують сторонні технології, такі як Dovecot, Roundcube та інші. Щоразу, коли так званий безпечний сервіс використовує сторонні додатки, його стає складніше захистити. Причина проста: кожен сервіс, включений в код, виконує код. Безпека будь-якого сервісу не може бути кращою, ніж безпека його залежностей. Кожна залежність від стороннього коду повинна підтримуватися, а оновлення безпеки повинні застосовуватися негайно. Крім того, кожен сторонній сервіс потенційно може відстежувати користувачів, надсилати дані на власні сервери тощо. Ось чому ми в Tuta використовуємо лише код з відкритим вихідним кодом, який ми перевіряємо перед використанням. Таким чином ми переконуємося, що інструменти з відкритим кодом, які використовує Tuta є безпечними: ми регулярно перевіряємо безпеку цих інструментів, а також своїх клієнтів, наприклад, коли ми вивели наші настільні клієнти з бета-версії. ︎
︎
Звичайно, ми в Tuta також не можемо винайти велосипед. Але усі наші клієнти -веб-, Android, iOS та настільні клієнти - ми створили власноруч. Крім того, весь наш робочий процес розробки зосереджений на безпеці. У всіх розробників однакова ДНК: конфіденційність і безпека понад усе.
︎
Однією з головних відмінностей сервісу Tuta є те, що ми створюємо всі основні частини Tuta самостійно, навіть поза межами основної функціональності електронної пошти, такі як наша капча, сервіс push-сповіщень на Android та багато іншого.
Тільки з відкритим кодом - наших власних клієнтів і програмного забезпечення, від якого залежить сервіс Tuta, - технічно підковані люди можуть перевірити код і переконатися, що сервіс Tuta робить те, що ми обіцяємо: максимально захищає ваші приватні електронні листи. ︎
︎
Перевірте тут чому ми рекомендуємо вибирати наші безпечні настільні клієнти для Linux, Windows і macOS і чому так важливо, що ми створили власну капчу з відкритим вихідним кодом, а також альтернативу Google Push на Android.
Ми дотримуємося концепції "безпека понад усе".
︎
Якщо ви пропонуєте захищений сервіс електронної пошти, люди вірять, що ваша безпека є куленепробивною. Для нас це означає, що в питаннях безпеки ніколи не може бути компромісів. **Безпека має бути вбудована в код, так щоб можна було легко додати до цього зручність використання, а не навпаки.**︎
︎
Така концепція "безпеки насамперед" призвела до кількох рішень у розробці, які сьогодні гарантують першокласну безпеку сервісу Tuta:︎
︎
Зашифрована поштова скринька, календар, контакти.
︎
Від самого початку ми в Tuta подбали про те, щоб якомога більше даних було зашифровано методом E2E. **Сервіс Tuta був першим у світі провайдером наскрізного шифрування електронної пошти та й досі залишається поштовою службою, яка шифрує більше даних, аніж будь-яка інша.**︎
︎
Сервіс Tuta шифрує всі дані за замовчуванням: електронна пошта, календарі, контакти. Наскрізне шифрування, яке забезпечується сервісом Tuta, гарантує безпеку та конфіденційність ваших даних, навіть якщо вони потраплять до сторонніх рук.︎
︎
На серверах Tuta зберігаються лише зашифровані дані, а ключ для розшифрування доступний лише користувачеві. Це гарантує, що навіть якщо ваше інтернет-з'єднання було перехоплене або у вкрай малоймовірному сценарії, коли хтось зламає наші сервери, ваші дані залишаються в безпеці.︎
︎
Завдяки вбудованому шифруванню сервіс Tuta робить безпеку легко доступною для приватних користувачів і компаній по всьому світу. Для розшифрування своїх даних просто увійдіть на вашу захищену адресу електронної пошти за допомогою пароля, і все. Вхід здійснюється через браузер, застосунки Tuta для Android та iOS або через настільні клієнти Tuta для Windows, macOS та Linux
Як надіслати захищеного електронного листа будь-кому.
︎
Сервіс Tuta дозволяє надсилати безпечні електронні листи (зашифровані E2E) будь-кому, хто має спільний пароль. Це означає, що повідомлення шифрується на пристрої відправника і може бути розшифроване лише на пристрої отримувача. Ви можете легко обмінюватися конфіденційними розмовами або файлами онлайн, знаючи, що всі дані, надіслані через сервіс Tuta, надійно наскрізно зашифровані. Ви можете легко надсилати зашифровані електронні листи зовнішнім отримувачам, визначивши пароль. Такий пароль дійсний для всіх листів, якими ви обмінюєтеся з цією людиною, нема потреби визначати новий пароль для кожного листа, як у випадку з іншими безпечними провайдерами.
Календар нульових знань.
︎
Tuta постачається з наскрізно зашифрованим календарем, який дозволяє вам планувати та зберігати всі ваші зустрічі конфіденційно. Наш календар є надзвичайним досягненням, оскільки не лише всі дані зашифровані, але також і нагадування зашифровані за алгоритмом E2E. Навіть час, коли користувачеві надсилається нагадування, прихований від наших серверів, так що ми абсолютно не знаємо про будь-які події, які відбуваються у наших користувачів.
Захист протоколу електронної пошти︎
︎
При надсиланні електронних листів за допомогою Tuta ви явно обрали найбезпечніший варіант, оскільки Tuta дозволяє автоматично наскрізно шифрувати електронну пошту.︎
︎
Однак іноді вам може знадобитися надсилати та отримувати незашифровані листи від контактів, які не користуються сервісом Tuta, коли повідомляти їм пароль було б незручно. Захистити такі листи набагато складніше, оскільки в такому випадку провайдер може зашифрувати лише передачу, а не самі дані. Крім того, до цього залучені інші сервіси, наприклад, провайдер електронної пошти отримувача, які повинні переконатися, що передача завершена безпечно.︎
︎
Для максимального захисту незашифрованих електронних листів ми дотримуємося найвищих стандартів поштового протоколу SMTP.︎
︎
Сервіс Tuta підтримує MTA-STS. Цей стандарт на сьогодні вже мають підтримувати всі поштові сервіси, тому що для електронної пошти він є таким самим, як і суворий HTTPS для вебсайтів: він забезпечує транспортне шифрування (TLS) щоразу, коли це можливо.
︎
Сервіс Tuta також підтримує SPF, DKIM і DMARC. Ці три протоколи необхідні для захисту інфраструктури від проникнення фішингових і спам-розсилок.︎
︎
Сервіс Tuta використовує суворий протокол CSP (Content Security Policy - політика безпеки контенту), HTML-санітайзер для показу невідомого контенту (в листах) для запобігання ХSS-атакам і, типово, не завантажує зовнішній контент з інших серверів (картинки й відео в листах). Якщо користувач довіряє відправнику, він може ввімкнути показ зовнішнього контенту одним клацанням або торканням.
︎
Перевірте тут, щоб побачити наскільки добре Tuta оцінюється на Securityheaders.io.
Сервіс Tuta ніколи не передає ваш пароль на сервер.
︎
Коли ви входите до своєї захищеної поштової скриньки, перед тим, як передати хеш на наші сервери, сервіс Tuta хешує та засолює ваш пароль, З цього хешу неможливо отримати справжній пароль, тому ніхто не може знати ваш пароль, навіть ми в Tuta. Для захисту вашого пароля ми використовуємо bcrypt і SHA256.︎
︎
Tuta також забезпечує двофакторну автентифікацію (2FA), щоб додати додатковий рівень безпеки. Для захисту своїх облікових даних ви можете використовувати TOTP або U2F. Ми рекомендуємо використовувати U2F з пристроєм безпеки, оскільки це найбезпечніша форма двофакторної автентифікації. Завдяки цьому тільки авторизований користувач може отримати доступ до свого облікового запису.
︎
Ознайомтеся з нашим онлайн-посібником із захисту електронної пошти від хакерів.
Сервіс Tuta використовує архітектуру нульового знання, що означає, що дані користувача ніколи не зберігаються у відкритому вигляді на серверах Tuta. На серверах Tuta зберігаються лише зашифровані дані, а ключ до розшифровки доступний виключно користувачеві. Це гарантує, що навіть у випадку злому серверів Tuta, ваші дані залишаться в безпеці.
Європейський Загальний регламент захисту даних (GDPR) вимагає від компаній захищати електронну пошту, що містить конфіденційні дані громадян ЄС. ︎Компанії зобов'язані захищати персональні дані, навіть за умови їх транзиту.︎
︎
Тепер ви можете заощадити час і гроші, розміщуючи всю ділову електронну пошту в зашифрованому вигляді на захищених серверах сервісу Tuta. З Tuta нема потреби використовувати плагін або складне програмне забезпечення для шифрування поверх роздутого корпоративного рішення для електронної пошти, яке добре пасувало компаніям десять років тому.︎
︎
Шифрування електронної пошти гарантує відповідність вимогам GDPR і сервіс Tuta пропонує найбезпечніше рішення для електронної пошти для бізнесу з повною відповідністю вимогам GDPR.︎
︎
Сервіс Tuta розроблено з дотриманням принципів мінімізації даних та конфіденційності.
︎
Ми несемо відповідальність за захист ваших персональних даних і ставимося до цього дуже серйозно. Тому:︎
︎
У Німеччині діють одні з найсуворіших законів про захист даних.
Правила захисту даних у Європейському Союзі (ЄС) є одними з найсуворіших у світі й серед усіх європейських країн-членів ЄС Німеччина має одну з найпотужніших політик: Федеральний закон про захист даних (Bundesdatenschutzgesetz). Загальний регламент ЄС про захист даних (GDPR) значною мірою був розроблений на основі Федерального закону про захист даних Німеччини.︎
︎
Цей закон захищає користувачів інтернет-послуг. Він покладає на користувача відповідальність за те, що слід робити з його даними: компанії (=ми) не мають права збирати будь-яку особисту інформацію без явного дозволу особи (=вас) (наприклад, ім'я, дату народження, IP-адресу).︎
︎
До того ж у Німеччині не існує закону, який міг би змусити нас підкоритися наказу про нерозголошення або впровадити чорний хід.
︎
Детальну інформацію про німецьке законодавство щодо захисту даних можна знайти в нашому блозі та у Звіті про прозорість.
Сервіс Tuta зберігає всі дані в зашифрованому вигляді у високозахищених центрах обробки даних у Німеччині.
︎
Усі дані в Tuta зберігаються наскрізно зашифрованими на наших власних серверах у центрах обробки даних у Німеччині, сертифікованих за стандартом ISO 27001. ︎
︎
Ніхто не має доступу до наших серверів, окрім наших постійних адміністраторів, які повинні пройти процедуру багатофакторної автентифікації, перш ніж отримати доступ. Усі робочі системи знаходяться під моніторингом 24/7 на предмет несанкціонованого доступу та надзвичайної активності.
Tuta - це сервіс анонімної електронної пошти, який не відстежує вас.
︎
Принцип роботи нашої бізнес-моделі відрізняється від більшості поштових сервісів: завдяки шифруванню ми не можемо сканувати ваші електронні листи. Ми не відстежуємо вас. Ми не надсилаємо адресну рекламу на вашу поштову скриньку. Це означає, що ваші дані не використовуються для будь-яких інших цілей, окрім надання послуг електронної пошти та календаря. Тим самим гарантується, що ваші дані ніколи не будуть передані стороннім рекламодавцям або іншим організаціям, що може поставити під загрозу вашу конфіденційність.︎
︎
Типово, сервіс Tuta не реєструє IP-адреси, коли ви входите в систему або при надсиланні електронного листа. Після реєстрації вам не потрібно надавати жодних особистих даних (наприклад, не потрібно вказувати номер телефону), навіть якщо ви реєструєтесь через браузер Tor. Сервіс Tuta видаляє IP-адреси відправлених електронних листів із заголовків, щоб ваше місцеперебування залишалося невідомим. Попри всі ці засоби захисту, ви все одно можете побажати приховати свою IP-адресу навіть від нас, тому ми ніколи не будемо додавати VPN або браузер до нашої пропозиції. Пропонувати VPN не має жодного сенсу, тому що якби ми це зробили, ми, як постачальник послуг електронної пошти, все одно змогли б дізнатися початкові IP-адреси користувачів, якби вони підключалися через цей VPN. З міркувань конфіденційності краще тримати такі послуги окремо.
Tuta - це сервіс електронної пошти, побудований на засадах конфіденційності.
︎
Компаніям подобається використовувати електронну пошту для маркетингових розсилок. Оскільки електронна пошта типово не поважає вашу конфіденційність. При отриманні маркетингової розсилки в електронний лист зазвичай завантажується зовнішній контент (наприклад, зображення, відео). Таким чином, вас відстежують: IP-адреса, браузер, який ви використовуєте та інша інформація пересилається відправнику.︎
︎
Сервіс Tuta пропонує послугу електронної пошти, яка автоматично захищає від таких методів відстеження:︎
︎
Перевірте, чи хтось отримав доступ до вашої зашифрованої поштової скриньки Tuta.
︎
За бажанням, сервіс Tuta дозволяє перевіряти активні та закриті сесії. Це дає змогу переконатися, що ніхто, крім вас, не входив до вашого облікового запису. Закриті сесії автоматично видаляються через тиждень. Керування сесіями в Tuta також дозволяє закривати сесії віддалено. Якщо ви втратили свій мобільний телефон, але все ще ввійшли в додаток Tuta, ви можете закрити цю сесію з будь-якого іншого пристрою. Віддалено закриваючи сеанс, ви гарантуєте, що ніхто не зможе отримати доступ до ваших захищених електронних листів на втраченому телефоні.︎
︎
IP-адреси відкритих і закритих сесій завжди зберігаються в зашифрованому вигляді та автоматично видаляються через тиждень. Завдяки шифруванню тільки ви маєте доступ до цієї інформації. Ми в Tuta не маємо жодного доступу до цієї інформації.
Безплатні електронні листи з відкритим кодом для всіх.
︎
Сервіс Tuta зосереджується на безпеці та приватності. Відкритий вихідний код для нас є важливим для досягнення обох цілей. Ми опублікували вебклієнт сервісу Tuta, його настільні клієнти, а також додатки для Android та iOS як програмне забезпечення з відкритим вихідним кодом на GitHub.︎
︎
Це дає змогу кожному перевірити код і переконатися, що в ньому немає помилок або вразливостей безпеки. Завдяки відкритому коду потенційні проблеми можна помітити та виправити набагато швидше, ніж у випадку з програмами з закритим кодом.
Пошта Tuta відрізняється від більшості поштових провайдерів: коли ми вперше почали розробляти сервіс Tuta, ми почали з протоколу шифрування. Тоді як більшість сервісів спочатку створюють продукт, а потім намагаються доповнити його функціями безпеки, ми зробили все навпаки: безпека була на першому місці й вона завжди стоїть на першому місці в усіх наших рішеннях стосовно розробки.︎
︎
Ось чому сервіс Tuta перевершує всі інші сервіси з огляду на безпеку та конфіденційність. Завдяки наскрізному шифруванню, двофакторній автентифікації, відкритому вихідному коду та архітектурі з нульовим рівнем знань ми гарантуємо безпеку та конфіденційність ваших даних, незалежно від того чи використовуєте ви сервіс Tuta як ділову електронну пошту чи як приватний користувач.