Почтовый сервис Tutanota сотрудничает со спецслужбами?

В интернете всё сложнее зарегистрировать e-mail, не требующий верификации с помощью номера телефона или адреса другого e-mail'а, который бы требовал верификацию. И нормально бы относился к пользователям Tor.

При этом на рынке есть несколько сервисов, которые позиционируют себя как очень приватные, надёжные и подходящие для любителей анонимности. Что интересно, многие из них находятся на территории Европейского союза, где сервисы по закону должны сохранять всю информацию о пользователе и тайно предоставлять её правоохранителям.

Один из таких сервисов – Tutanota, зарегистрированная в Германии. Они используют оконечное шифрование, хвалятся открытым исходным кодом и своей борьбой против массовой слежки со стороны правительств. Так, в августе 2018 года Tutanota стала первым почтовым сервисом, выпустившим своё приложение для мобильной ОС F-Droid, которая является модификацией Android, очищенной от всего проприетарного и потенциально вредного для пользователя.

В компании, конечно, не отрицают, что исполняют законные распоряжения правоохранителей, но и тут стараются выглядеть красиво – якобы они выдают данные пользователей только в исключительных случаях, и стараются выдать как можно меньше. Например, в ноябре 2020 года суд города Кёльн (Германия) обязал их выдавать информацию об аккаунте, с которого некто занимался вымогательством. Tutanota согласилась на это лишь частично: не выдала переписок, созданных до решения суда, и вообще правоохранители могли читать только новые незашифрованные сообщения, не имея доступ к тем, которые пользователь решил зашифровать стандартными средствами сервиса.

Но есть слухи, что у сервиса появилась функция, ставящая под угрозу всю информацию о пользователях, включая зашифрованную – код восстановления (recovery code), который создаёт не пользователь, а генерирует сервис. Далее – перевод сообщения с zigforums.com об этом.

ТУТАНОТА СКОМПРОМЕТИРОВАНА
ПРЕДУПРЕЖДЕНИЕ
Tutanota недавно создала новую функцию – код восстановления, позволяющий пользователю восстановить доступ к аккаунту при утере пароля. Этот код является вторым способом расшифровать ваш приватный ключ, то есть и ваши сообщения. Сообщество пользователей никогда не просило ввести такую функцию, и сервис не даёт пользователям отказаться от создания кода восстановления. Каждый раз, когда вы входите в Tutanota, вы видите всплывающее окно, требующее создать код восстановления.

Теперь я объясню, почему так происходит:

Я госслужащий Германии, и достоверно знаю, что Tutanota получила распоряжение от разведслужбы, требующее создать базу данных, с помощью которой можно расшифровать переписки любого пользователя. Это распоряжение запрещает Tutanota сообщать кому-либо о его существовании. Короче, происходит такая же ситуация, как с Hushmail и Lavabit 2.0. Код восстановления по сути является бэкдором, который власти могут использовать для доступа к вашим сообщениям.

Я пишу это, используя публичный WiFi с одноразового устройства в месте, где нет камер видеонаблюдения. Было очень сложно это сделать, и больше я ничего писать не буду, так что, пожалуйста, не удаляйте эту ветку. Пользователей прошу сделать скриншот или заархивировать ветку. Я решил, что должен предупредить людей, особенно имея в виду журналистов, полагающихся на безопасность Tutanota, и находящихся в странах, где происходят государственные репрессии или нарушения прав человека.

КОНЕЦ ПЕРЕВОДА

Подтверждение этой информации может дать специалист, способный понять, есть ли на самом деле у сервиса возможность использовать коды восстановления пользователей.

Также в ноябре 2020 года суд в Германии постановил, что Tutanota подпадает под определение оператора связи, и поэтому должна создать для правоохранителей бэкдор, дающий доступ к данным пользователей. Tutanota намеревалась оспорить решение, но продолжение этой истории в источнике не приводится. Что оставляет читателям широкое пространство для домыслов.