¿Los servicios como ProtonMail son tan seguros como usar Thunderbird y una clave PGP?

Sí, existen diferencias de seguridad en comparación con el uso de un cliente de correo. Al utilizar ProtonMail, debe confiar en ellos en cada de sus visitas, ya que su sitio web (y su conexión a él) no se verá comprometido.

Técnicamente, ProtonMail ofrece un esquema de seguridad que es comparable a Thunderbird con un complemento para OpenPGP (vea Enigmail ). Es decir, sus correos electrónicos están cifrados en el lado del cliente (antes de que salgan de su navegador) y ProtonMail no puede entregar sus credenciales o correos electrónicos a las autoridades a pedido o perderlos ante un atacante, ya que sus datos nunca llegan a sus servidores. Texto sin formato. (Consulte su página en detalles de seguridad .)

Pero , aunque ProtonMail no puede acceder a sus datos ahora, podrían cambiar la lógica del lado del cliente en cualquier momento sin que se dé cuenta. Esto podría ser causado por un atacante, un empleado deshonesto o quizás una orden del gobierno. En la práctica, un simple cambio en el Javascript enviado para su pantalla de inicio de sesión sería suficiente para obtener sus credenciales durante el inicio de sesión y redirigirlas a otro lugar en lugar de mantenerlas en el navegador como se prometió. Del mismo modo, podrían entregar JS maliciosos que redireccionan sus correos electrónicos una vez que se descifran y se muestran. Tal ataque parece mucho más práctico y fácil de ocultar que atacar a su cliente de TB enviando código malicioso en una actualización fraudulenta.

Pero también tenga en cuenta que debe confiar en el código del lado del cliente que descarga de cualquier manera. Al usar Thunderbird, eso significa confiar en el código del cliente TB y el complemento Enigmail (y sus actualizaciones periódicas). Al usar el servicio web, eso significa confiar en el marcado enviado y JS las descargas de su navegador en cada una de sus visitas.