Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Die E-Mail Dienste ProtonMail (Schweiz) und Tutanota (Deutschland) stellen einfache Nutzung von Verschlüsselung ("DAU-kompatibel") sowie Kompatibilität mit den gängigen E-Mail Protokollen in den Vordergrund und bemühen sich um Schutz gegen staatlichen Zugriff.

Das Schreiben und Lesen von E-Mails erfolgt in der Regel im Webinterface im Browser, ein E-Mail Client wie Thunderbird kann nicht verwendet werden. Das ermöglicht eine einfach nutzbare Verschlüsselung der Inhalte der E-Mails mit einer Krypto-Implementierung in Javascript im Browser, hat aber auch Nachteile.

Vorteile gegenüber Web.de, GMX.de, GMail.com u.a.

ProtonMail und Tutanota bieten viele Vorteile für Normalanwender, die Ihre E-Mails bisher im Webinterface von GMail, Yahoo! oder Hotmail bearbeiten. Am besten kommen die Vorteile zur Geltung, wenn alle Kommunikationspartner einen Account bei ProtonMail, unseen.is bzw. Tutanota haben.

Key Recovery durch den Provider (aka "Krypto-Backdoor")

Die genannten Provider speichern alle Nachrichten und Kontakte verschlüsselt auf den Servern. Die Nutzer können auf die Daten zugreifen, wenn sie sich mit einem Passwort authentifizieren. Das Passwort schützt den Zugriff auf die Kryptoschlüssel.

Welche Möglichkeiten gibt es für ein Key Recovery, wenn man sein Passwort vergessen hat? Somit gibt es bei beiden Services wahrscheinlich keine konzeptuelle "Krypto-Backdoor".

Nachteile der Verschlüsselung mit Javascript im Browser

Konzeptionell bedingt haben diese Mailprovider einige Schwächen. Die Verschlüsselung bietet "hinreichende" Sicherheit und ist für hohe Sicherheits­ansprüche nicht geeignet. Das wird im Threat Model bei ProtonMail auch deutlich angesprochen:
If you are Edward Snowden, or the next Edward Snowden, and have a life and death situation that requires privacy, we would not recommend using ProtonMail.
Tutanota und ProtonMail bieten inzwischen Apps für Android und iPhones an, die den Code für die Verschlüsselung enthalten und aus den Appstores installiert werden können können. Damit entfällt diese Schwäche für Smartphone Nutzer.

Auf dem Desktop PC könnte man die ProtonMail Bridge als Mail-Gateway installieren oder die Software von Tutatnota von Github aus­checken und lokal installieren. Auch das schützt gegen Angriffe, ist allerdings komplizierter, als OpenPGP zu konfigurieren.
Lizenz: Public Domain