Ogni servizio di posta elettronica tradizionale permette, nel migliore dei casi, di crittografare il contenuto delle email scambiate tra il dispositivo dell’utente e il server remoto. In altre parole, grazie all’utilizzo di un protocollo crittografico come TLS, il provider di posta assicura che i messaggi trasmessi al server di posta in uscita o ricevuti dal server di posta in arrivo viaggino in forma protetta durante il loro intero tragitto (non sono leggibili da terzi né modificabili in alcun modo).
Questo approccio non esclude però che il fornitore del servizio di posta elettronica effettui una scansione del contenuto dei messaggi degli utenti: non solo per motivi di sicurezza e per attivare funzionalità antivirus e antispam ma anche per finalità commerciali.
C’è poi il problema del dialogo tra i server MTA (mail transfer agent) di provider di posta differenti: non è detto che nel tratto di rete che separa il server di posta del fornitore scelto dall’utente e quello scelto dal destinatario dell’email il messaggio di posta viaggi in forma cifrata. Sono tanti i casi in cui ancor oggi ciò non avviene, anche in Italia: Google ne parla nel rapporto sulla Crittografia di email in transito.
In cosa differiscono ProtonMail e Tutanota rispetto alle normali caselle di posta
ProtonMail e Tutanota sono due provider di posta elettronica che puntano sulla massima sicurezza delle conversazioni e sulla privacy degli utenti. La crittografia utilizzata da questi due servizi è realmente end-to-end nel senso che neppure il gestore è in grado di risalire al contenuto dei messaggi scambiati dagli utenti sotto forma di email.
Diversamente rispetto a quanto accade con gli altri fornitori di email i dati degli utenti vengono mantenuti crittografati sui server di ProtonMail e Tutanota: non c’è quindi mai neppure un momento in cui vi transitano in chiaro.
La password di decodifica è inoltre sempre conservata sui dispositivi client degli utenti tanto che nel caso in cui la si perdesse sarà impossibile accedere al contenuto dell’account ProtonMail o Tutanota.
Né ProtonMail né Tutanota conservano i log delle operazioni effettuate dagli utenti; non richiedono inoltre nessuna informazione personale al momento della registrazione di un account.
Un’altra importante considerazione riguarda lo scambio di email tra utenti di ProtonMail e Tutanota: quando si inviasse un messaggio di posta elettronica a un altro utente dello stesso servizio, l’email sarà automaticamente protetta e firmata con una chiave che solo il destinatario possiede (crittografia asimmetrica; vedere Crittografia: come funziona e perché è fondamentale usarla).
Non c’è bisogno di nessuna impostazione accessoria quando si comunica con qualcuno che utilizza lo stesso servizio.
ProtonMail supporta anche PGP (Pretty Good Privacy): ciò significa che è possibile scambiare email crittografate end-to-end anche con utenti “non-Protonmail” specificando in fase di invio del messaggio la loro chiave pubblica PGP: Crittografare email con ProtonMail: da oggi è possibile scambiare messaggi anche con gli utenti PGP.
Chi utilizza ProtonMail può quindi colloquiare agevolmente con coloro che usano OpenPGP, tra l’altro direttamente supportato ad esempio nel client email Mozilla Thunderbird: Come inviare email crittografate con OpenPGP e Thunderbird.
Ad oggi Tutanota non supporta espressamente PGP anche se le email possono comunque essere crittografate e decodificate usando un approccio manuale anche del tutto automatico come avviene con ProtonMail.
Inviare email verso account di posta “normali” da ProtonMail e Tutanota
Sia ProtonMail che Tutanota consentono l’invio di messaggi di posta agli account email “tradizionali”.
Nel caso in cui non si riuscisse a esortare i propri interlocutori ad abbracciare a loro volta servizi come ProtonMail e Tutanota, entrambi offrono un’opzione per inviare un messaggio crittografato a qualsiasi indirizzo email. L’approccio è sostanzialmente identico per entrambi.
Basta infatti comporre un’email, scegliere di proteggerla con una password e spedirla.
Il destinatario riceverà una notifica che lo informa circa la ricezione di un nuovo messaggio crittografato: esso, in quanto protetto, non apparirà nel corpo dell’email di notifica.
L’email ricevuta contiene invece un link che punta ai server di ProtonMail o Tutanota con un campo per l’inserimento di una password. Il destinatario inserisce la password corretta e può accedere al contenuto del messaggio.
Tutanota crittografa sia il corpo del messaggio che l’oggetto mentre ProtonMail si limita soltanto al contenuto dell’email. Non è un problema: basta assicurarsi che l’oggetto non contenga mai informazioni sensibili.
Nel caso di ProtonMail è necessario cliccare su Componi quindi indicare i destinatari e cliccare sul pulsante Crittografia in basso (icona del lucchetto).
A questo punto verrà richiesto di indicare la password con la quale il contenuto del messaggio sarà automaticamente crittografato. Per impostazione predefinita i messaggi inviati a utenti non-ProtonMail scadranno a distanza di 28 giorni dall’invio a meno che l’utente non abbia impostato un periodo di scadenza più breve.
Non cliccando sul pulsante Crittografia l’email verrà inviata senza proteggerne il contenuto e il suo contenuto risulterà immediatamente visibile.
Tutanota, invece, per gli account dei destinatari non appartenenti al servizio, fa apparire immediatamente il campo Password.
Ricerca all’interno del contenuto delle email
Dal momento che sia ProtonMail che Tutanota crittografano il contenuto dei messaggi lato server con una chiave a loro sconosciuta (nota solo a ogni singolo utente) offrire uno strumento di ricerca dei contenuti all’interno delle email è cosa complessa.
ProtonMail non offre questo tipo di strumento mentre invece Tutanota permette di attivare manualmente la funzionalità di ricerca.
Dal momento che nel caso di Tutanota la ricerca nel contenuto dei messaggi avviene esclusivamente lato client, il fornitore del servizio di posta spiega che essa – una volta abilitata – potrebbe causare un incremento nell’utilizzo delle risorse hardware del dispositivo e il consumo di una maggiore banda di rete.
Questo perché ogni messaggio deve essere decodificato lato client e analizzato singolarmente.
Per attivare la ricerca nelle email Tutanota basta accedere alle impostazioni del servizio, fare clic su Email quindi porre su Attivato la voce Cerca nella mailbox.
ProtonMail e Tutanota: entrambi gratuiti ma con alcune limitazioni
Mentre ProtonMail offre una casella di posta da appena 500 MB a titolo gratuito, Tutanota porta questo valore a 1 GB a patto che l’utente dichiari espressamente di usare il servizio esclusivamente per fini personali non commerciali.
Inoltre, ProtonMail consente di inviare al massimo 150 messaggi al giorno con il profilo free non superando comunque le 50 email l’ora.
I messaggi di posta su ProtonMail possono essere catalogati e classificati usando al massimo tre etichette con il piano gratuito.
È inoltre possibile ricevere i messaggi sul dominio @pm.me
mentre l’invio da tale dominio è possibile solo per gli utenti paganti (per procedere in tal senso basta accedere alle impostazioni, selezionare pm.me nella colonna di sinistra e cliccare sull’apposito pulsante).
Sia ProtonMail che Tutanota permettono di attivare l’autenticazione a due fattori: mentre nel primo caso, però, sono supportati soltanto strumenti per la gestione di OTP mediante smartphone come Google Authenticator, Microsoft Authenticator e simili, Tutanota permette la configurazione e l’utilizzo di chiavi U2F FIDO2.
Supporto IMAP e client dedicati
Né ProtonMail né Tutanota sono compatibili con i “normali” client di posta elettronica. I possessori di account a pagamento ProtonMail hanno accesso a ProtonMail Bridge, uno strumento che funge da intermediario (proxy) tra i server e il client di posta sia esso Outlook, Thunderbird, Mailbird, Apple Mail e così via: Inviare messaggi che si autodistruggono e email cifrate con Protonmail.
Tutanota si affida invece a client dedicati per Windows, Mac e Linux escludendo completamente la possibilità di accedere al servizio usando il protocollo IMAP.
Per accedere a entrambe le piattaforme da smartphone è necessario utilizzare le app dedicate ProtonMail (iPhone, Android) e Tutanota (iPhone, Android, F-Droid).
Entrambi i servizi sono opensource?
Va detto che nessuno dei due servizi è ancora completamente opensource. Nel caso di Tutanota la parte server deve ancora essere “aperta” mentre lato client per tutte le applicazioni (comprese quelle destinate ai dispositivi mobili) ne è stato pubblicato il codice sorgente.
L’interfaccia web di ProtonMail è stata resa opensource dalla versione 2.0, l’app per iPhone è stata “aperta” nel 2019 mentre l’anno successivo è stata la volta della versione destinata ai dispositivi Android. Non v’è però alcuna intenzione di rilasciare e condividere pubblicamente il codice sorgente della parte server perché, a detta degli sviluppatori di ProtonMail, questo offrirebbe uno spaccato su come funzionano i loro algoritmi antispam e di protezione contro gli abusi del servizio.
Molte delle tecnologie sui quali si basano sia ProtonMail che Tutanota, compresi i protocolli crittografici e l’implementazione di OpenPGP in ProtonMail, sono invece già opensource da tempo.
Dove sono fisicamente collocati i server di ProtonMail e Tutanota?
Il Paese in cui sono fisicamente posizionati i server di qualunque fornitore è molto importante, soprattutto se l’obiettivo dell’utente fosse quello di preservare la riservatezza dei dati.
ProtonMail ha il suo “quartier generale” in Svizzera (è stato sviluppato da un gruppo di ingegneri del CERN di Ginevra) mentre Tutanota si serve di macchine fisicamente poste entro i confini tedeschi. Sia la Germania che la Svizzera adottano una legislazione stringente in materia di tutela della privacy.
C’è da dire che una recente decisione dei giudici del tribunale di Colonia (Germania) ha comunque sollevato qualche dubbio nella comunità internazionale: Tutanota, quando un servizio che offre email crittografate viene obbligato a monitorare un utente.
La Svizzera, che gode di una giurisdizione completamente a sé, è invece sempre più scelta dai “paladini della privacy” senza compromessi: I DNS Quad9 abbandonano gli USA e sbarcano in Svizzera.
Tenendo ben presente l’antico adagio “non chiedete all’oste quant’è buono il suo vino“, suggeriamo comunque di consultare la comparativa preparata da Tutanota se non altro per avere contezza di tutte le principali funzionalità del servizio.