运作方式
Tuta 是一项托管式电子邮件服务,由 Tutao GmbH 公司在德国汉诺威运营。该服务自 2011 年起上线,在 2023 年 11 月更名前一直名为 Tutanota。一个账户包含一个加密邮箱、一个加密日历和一个加密通讯录,可通过网页客户端、面向 Linux、Windows 和 macOS 的桌面客户端以及移动应用访问。全部客户端代码自 2014 年起以 GPLv3 许可证发布在 GitHub 上,因此加密机制可以被审查,而无需凭信任接受。
加密在设备上完成,任何内容到达 Tuta 服务器之前就已加密。邮件正文、主题、附件、联系人和日历条目用从账户密码派生的密钥封存;Tuta 存储的是密文,无法将其打开。标准账户使用 AES-256 和 RSA-2048。2024 年 3 月,公司推出了 TutaCrypt——一种将 X25519 椭圆曲线与后量子算法 Kyber-1024 相结合的混合方案,先应用于新账户,再从 2024 年 12 月起扩展到现有账户。
KYC 与隐私
注册只需一个地址和一个密码,别无其他:不要电话号码,不要恢复地址,不要政府身份证件。免费账户只保存所选的地址,Tuta 还会从发出的邮件中删除发件人的 IP 地址。这里没有 AML 环节,因为它并非金融服务,任何层级都不存在身份核验。
这些局限属于结构性的,而非被刻意隐藏。电子邮件地址和时间戳保持未加密,因为网络需要它们来投递邮件。端到端加密只在 Tuta 用户之间或通过密码保护的链接生效;来自外部提供商的邮件在静态加密之前会以明文形式抵达服务器。正是这一缺口,2020 年被科隆的一家法院加以检验:法院命令 Tuta 拦截一个用于敲诈案件的账户今后收到的明文邮件——这一判决被广泛报道,并在上诉中得到维持。端到端加密的内容自始至终都无法被读取。
付款是隐私方面的另一处薄弱环节:Tuta 直接通过银行卡、PayPal 和 SEPA 收费。网站本身不接受加密货币,不过 Tuta 礼品卡可以通过一家合作商店用 Bitcoin、Monero 或现金购买,为有需要的用户恢复了一条匿名途径。
优势与局限
支持 Tuta 的最有力理由是其覆盖范围之广。多数提供商把邮件主题和日历留在明文状态;Tuta 不这样做,并且这一设计已坚持十多年,没有发生过一次数据泄露。开源客户端以及对后量子加密的早期采用,为其安全承诺提供了支撑,而从 Tutanota 更名也没有中断服务。
局限同样真实,值得直说。Tuta 使用自有加密而非 OpenPGP,因此无法与其他服务上的 PGP 用户进行可互通的加密邮件往来。它没有 IMAP 或 SMTP 桥接,这就排除了把 Thunderbird 和 Apple Mail 作为前端的可能。2020 年的一系列 DDoS 攻击使服务中断数小时,但没有任何数据遭到泄露。司法管辖权是把双刃剑:德国法律提供了强有力的数据保护默认规则,但也赋予了 2020 年那道命令所依据的合法拦截权力。
结论
Tuta 是一个成熟、透明的加密邮箱,在设备上加密的内容比多数竞争对手都多,开设账户时不索取任何可识别身份的信息。需要保留的一点属于司法管辖范畴,而非商业层面:德国法院可以强制拦截某个特定账户今后收到的明文邮件,威胁模型中包含这一风险的用户应当加以权衡。对于其他所有寻求日常私密邮箱的人来说,它仍是首选之一。评分:A- (8.6/10)。信任:TRUSTED。
Tuta 是一个成熟、透明的加密邮箱,加密的内容比多数竞争对手都多,注册时不索取任何可识别身份的信息。唯一需要保留的一点属于司法管辖范畴:德国法院可以强制拦截某个特定账户今后收到的明文邮件,应将其纳入你的威胁模型。就日常私密邮箱而言,它仍位列最强选择之一。评分:A- (8.6/10)。信任:TRUSTED。
