Mailvelope
 Mailvelope editor
| |
| Utvecklare | Mailvelope GmbH |
|---|---|
| Initial release | 2012 |
| Stabil frisättning | 4.4.1 / 12 maj 2021
|
| Förvar | mailvelope på GitHub |
| Skrivet i | JavaScript |
| Plattform | webbläsare |
| Typ | webbläsartillägg |
| Licens | AGPL ( fri programvara ) |
| Hemsida | |
Mailvelope är en gratis programvara för end-to-end-kryptering av e- posttrafik inuti en webbläsare ( Firefox , Chromium eller Edge ) som integrerar sig själv i befintliga webbmailapplikationer ("e-postwebbplatser"). Den kan användas för att kryptera och signera elektroniska meddelanden, inklusive bifogade filer , utan att använda en separat, inbyggd e-postklient (som Thunderbird) med OpenPGP - standarden.
Namnet är en portmanteau av orden "post" och "kuvert". Den publiceras tillsammans med sin källkod under villkoren i version 3 av GNU Affero General Public License ( AGPL). Företaget Mailvelope GmbH driver utvecklingen med hjälp av ett offentligt kodlager på GitHub . Utvecklingen sponsras av Open Technology Fund och Internews .
Liknande alternativ hade varit Mymail-Crypt och WebPG.
Funktioner
Mailvelope utrustar webbmailapplikationer med OpenPGP-funktionalitet. Stöd för flera populära leverantörer som Gmail , Yahoo , Outlook på webben och andra är förkonfigurerade. Webbmailmjukvaran Roundcube känner av och stöder Mailvelope från och med version 1.2 från maj 2016, såväl som de flesta (självhostade) webbmailklienter. För Chromium/Chrome finns möjligheten att installera från en autentiserad källa med den integrerade programvarutilläggshanteraren " Chrome Web Store" . Dessutom finns Mailvelope även tillgängligt för Firefox och Microsoft Edge som ett tillägg .
Mailvelope fungerar enligt OpenPGP- standarden, ett kryptosystem med offentlig nyckel som först standardiserades 1998 och är skrivet i JavaScript . På förinställda eller användarauktoriserade webbsidor överlagrar den sidan med dess kontrollelement, som optiskt särskiljs från webbapplikationen av en omgivande säkerhetsbakgrund. Den här bakgrunden kan anpassas för att upptäcka personifieringar. För kryptering är det beroende av funktionaliteten i programbiblioteket OpenPGP.js, en gratis JavaScript-implementering av OpenPGP-standarden. Genom att köra inuti en separat inline-ram exekveras dess kod separat från webbapplikationen och bör hindra den från att komma åt tydligt textmeddelandeinnehåll.
Integrationen av Mailvelope via ett API, utvecklat i samarbete med United Internet , möjliggör en djupare integration mellan webbmailtjänsten och Mailvelope-komponenter. Således kan konfigureringen och genereringen av ett nyckelpar göras direkt i webmailern med hjälp av en guide. Mailvelope hanterar alla OpenPGP-nycklar lokalt i webbläsaren. Sedan version 3.0 kan en lokal GnuPG-installation inkluderas i Mailvelopes nyckelhantering, vilket tillåter användare att använda inbyggda applikationer om så önskas.
Historia och användning
Thomas Oberndörfer började utveckla Mailvelope våren 2012 med den första offentliga versionen 0.4.0.1 som släpptes den 24 augusti. Det globala övervakningsavslöjandet väckte frågor om säkerheten för privat och företags e-postkommunikation. Då ansågs e-postkryptering med OpenPGP vara för komplicerat att använda. Dessutom erbjöd de webbmailtjänster som var särskilt populära bland privatpersoner inga end-to-end-krypteringsfunktioner. Detta ledde till olika omnämnanden av Mailvelope i pressen som en möjlig lösning på detta problem.
Mario Heiderich och Krzysztof Kotowicz från Cure53 gjorde en säkerhetsrevision på en alfaversion från 2012/2013. Bland annat förbättrades separationen från webbapplikationen och dess datastrukturer baserat på dess resultat. I februari 2014 analyserade samma grupp biblioteket OpenPGP.js som Mailvelope bygger på. Version 0.8.0, som släpptes följande april, antog de resulterande korrigeringarna och lade till stöd för meddelandesignering. I maj 2014 publicerade iSEC Partners en analys av Firefox-tillägget. Version 1.0.0 publicerades den 18 augusti 2015.
I april 2015 utrustade De-Mail- leverantörer sina tjänster med ett standardinaktiverat alternativ för end-to-end-kryptering baserat på Mailvelope, men det kunde endast användas i kombination med Mobile TAN eller det tyska elektroniska identitetskortet . Den nya versionen av tillägget släpptes i maj 2015. I augusti 2015 introducerade e-posttjänsterna för Web.de och GMX stöd för OpenPGP-kryptering och integrerade Mailvelope i sina webbmailapplikationer för det. Enligt företagets egna uppgifter var denna möjlighet att kryptera e-post på detta sätt tillgänglig för runt 30 miljoner användare.
En studie från 2015 undersökte användbarheten av Mailvelope som ett exempel på en modern OpenPGP-klient och ansåg att den var olämplig för massorna. De rekommenderade att integrera assistentfunktioner, skicka instruktiva inbjudningsmeddelanden till nya kommunikationspartners och publicera grundläggande förklarande texter. Det Mailvelope-baserade OpenPGP-systemet från United Internet integrerar sådan funktionalitet och dess användbarhet fick några positiva omnämnanden i pressen, särskilt den erbjudna nyckelsynkroniseringsfunktionen. En användbarhetsanalys från 2016 fann att den fortfarande var "värd att förbättras" ("verbesserungswürdig") och nämnde "förvirrande formulering" ("irritierende Formulierungen"), missad kommunikation av konceptet, dåliga lösenordsrekommendationer, saknad negativ dissociation av det mer framträdande läget som endast har transportkryptering, plus otillräckligt stöd för kontroll av nyckeläkthet (för att motverka man-in-the-middle-attacker) .
Mailvelope förbättrades 2018/19 som en del av ett BSI-initiativ. Sammantaget förenklades "nyckelhanteringen och säkerheten för programvaran förbättrades." Alla säkerhetsbrister i Mailvelope-källkoden, såväl som i OpenPGP.js-programbiblioteket som används, som uppdagades av en säkerhetsrevision utförd av SEC Consult stängdes. Enligt BSI var ett mål med projektet också att göra det möjligt för webbplatsoperatörer att i framtiden erbjuda kontaktformulär för att säkert kryptera meddelanden från användarens webbläsare till mottagaren. Importen av nya nycklar skulle vara HTTPS-krypterad med WKD-protokollet (Web Key Directory).