Tuta konu satırını, mesaj gövdesini ve takvimi şifreliyor - 2020 tarihli bir mahkeme kararı bu korumanın nerede bittiğini gösterdi.

Nasıl çalışır

Tuta, Tutao GmbH tarafından Almanya'nın Hannover kentinden işletilen, barındırmalı bir e-posta hizmetidir. Hizmet 2011'den bu yana çevrimiçi ve Kasım 2023'teki ad değişikliğine kadar Tutanota adını taşıyordu. Bir hesap; şifreli bir posta kutusu, şifreli bir takvim ve şifreli bir adres defteri içerir; bunlara bir web istemcisi, Linux, Windows ve macOS için masaüstü istemciler ve mobil uygulamalar üzerinden erişilir. İstemci kodunun tamamı 2014'ten bu yana GPLv3 lisansıyla GitHub üzerinde yayımlanıyor; böylece şifreleme, güvene dayanarak kabul edilmek yerine incelenebiliyor.

Şifreleme, herhangi bir şey Tuta'nın sunucularına ulaşmadan önce cihazda gerçekleşir. Mesaj gövdeleri, konu satırları, ekler, kişiler ve takvim girdileri, hesap parolasından türetilen anahtarlarla mühürlenir; Tuta şifreli metni saklar ve onu açamaz. Standart hesaplar AES-256 ve RSA-2048 kullanır. Mart 2024'te şirket, X25519 eliptik eğrisini post-kuantum algoritması Kyber-1024 ile birleştiren hibrit bir şema olan TutaCrypt'i tanıttı; bu önce yeni hesaplara, ardından Aralık 2024'ten itibaren mevcut hesaplara uygulandı.

KYC ve gizlilik

Kayıt bir adres ve bir parola ister, başka hiçbir şey değil: telefon numarası yok, kurtarma adresi yok, resmi kimlik belgesi yok. Ücretsiz bir hesap yalnızca seçilen adresi saklar ve Tuta, giden postadan gönderenin IP adreslerini temizler. Bu bir finansal hizmet olmadığı için AML katmanı yoktur ve hiçbir kademede kimlik doğrulaması bulunmaz.

Sınırlar gizlenmiş değil, yapısaldır. E-posta adresleri ve zaman damgaları şifresiz kalır, çünkü ağ postayı yönlendirmek için bunlara ihtiyaç duyar. Şifreleme yalnızca Tuta kullanıcıları arasında veya parolayla korunan bir bağlantı üzerinden uçtan uçadır; dış sağlayıcılardan gelen posta, beklemede şifrelenmeden önce sunucuya düz metin olarak ulaşır. İşte bu boşluğu 2020'de bir Köln mahkemesi sınadı: mahkeme, Tuta'ya bir gasp davasında kullanılan tek bir hesabın gelecekte alacağı düz metin mesajları yakalamasını emretti - geniş yankı uyandıran ve istinafta onanan bir karar. Uçtan uca şifreli içerik baştan sona erişilemez kaldı.

Ödeme, gizlilik açısından diğer zayıf noktadır: Tuta doğrudan kart, PayPal ve SEPA ile ücret alır. Sitede kripto para kabul edilmez; ancak Tuta hediye kartları bir iş ortağı mağaza aracılığıyla Bitcoin, Monero veya nakitle satın alınabilir; bu da isteyenler için anonim bir yol açar.

Güçlü yönler ve sınırlar

Tuta lehine en güçlü argüman, kapsamının genişliğidir. Çoğu sağlayıcı konu satırını ve takvimi açıkta bırakır; Tuta bırakmaz ve bu tasarımı on yılı aşkın süredir tek bir veri sızıntısı olmadan sürdürür. Açık kaynak istemciler ve post-kuantum şifrelemeye erken geçiş, güvenlik vaatlerini destekler; Tutanota'dan gelen ad değişikliği de hizmeti kesintiye uğratmadı.

Sınırlar gerçektir ve açıkça söylenmeyi hak eder. Tuta, OpenPGP yerine kendi şifrelemesini kullanır; bu nedenle başka yerlerdeki PGP kullanıcılarıyla birlikte çalışabilir şifreli posta alışverişi yoktur. IMAP veya SMTP köprüsü bulunmaz; bu da Thunderbird ve Apple Mail'i arayüz olarak devre dışı bırakır. 2020'deki bir dizi DDoS saldırısı hizmeti saatlerce çevrimdışı bıraktı, ancak hiçbir veriyi açığa çıkarmadı. Yargı yetkisi her iki yönde de işler: Alman hukuku güçlü veri koruma varsayılanları sunar, ama aynı zamanda 2020 kararının dayandığı yasal dinleme yetkilerini de.

Karar

Tuta, çoğu rakibinden daha fazlasını cihazda şifreleyen ve hesap açmak için kimlik belirten hiçbir bilgi istemeyen, olgun ve şeffaf bir şifreli posta kutusudur. Çekince ticari değil, yargısaldır: bir Alman mahkemesi, hedeflenen bir hesabın gelecekte alacağı düz metin postanın yakalanmasını zorunlu kılabilir; tehdit modeli bu riski içeren kullanıcılar bunu tartmalıdır. Gündelik özel bir posta kutusu arayan herkes için ise birinci sınıf bir seçenek olmayı sürdürür. Not: A- (8,6/10). Güven: TRUSTED.