Mailvelope
Mailvelope ist eine freie Software zur Ende-zu-Ende-Verschlüsselung von E-Mail-Verkehr innerhalb eines Webbrowsers (Firefox, Chromium oder Edge), die sich in bestehende Webmail-Anwendungen („E-Mail-Webseiten“) integriert. Damit können elektronische Nachrichten samt angehängten Dateien auch ohne ein separates, natives E-Mail-Programm (wie Thunderbird) unter Benutzung des OpenPGP-Standards signiert und verschlüsselt werden.
Mailvelope | |
---|---|
Verfassen einer verschlüsselten Nachricht | |
Basisdaten | |
Entwickler | Mailvelope GmbH |
Erscheinungsjahr | 2012 |
Aktuelle Version | 4.4.1[1] (12. Mai 2021) |
Betriebssystem | Webbrowser |
Programmiersprache | JavaScript |
Kategorie | Browsererweiterung |
Lizenz | AGPL (freie Software) |
mailvelope.com |
Der Name ist ein Kofferwort aus den Wörtern „Mail“ (englisch für „Post“) und „Envelope“ (englisch für „Umschlag“).[2] Es steht mitsamt Quellcode unter den Bedingungen von Version 3 der GNU Affero General Public License (AGPL) zur Verfügung. Das Herstellerunternehmen Mailvelope GmbH betreibt die Entwicklung mit einem öffentlichen Code-Repository auf GitHub. Die Entwicklung wird vom Open Technology Fund und Internews gefördert.[3]
Funktionsweise
Mailvelope rüstet Webmail-Anwendungen mit OpenPGP-Funktionalität aus. Die Unterstützung mehrerer populärer Anbieter wie Gmail, Outlook.com, Yahoo, Web.de, GMX, Posteo und anderer sind in Mailvelope bereits vorkonfiguriert und Mailvelope erkennt diese als Webmail-Provider. Die Webmail-Software Roundcube erkennt und unterstützt Mailvelope ab Version 1.2 vom Mai 2016.[4] Weitere Anbieter können optional hinzugefügt (autorisiert) werden. Für Chromium/Chrome besteht über die integrierte Software-Verwaltung „Chrome Web Store“ eine authentifizierte Installationsmöglichkeit.[5] Daneben ist Mailvelope auch für Firefox und Microsoft-Edge als Add-On verfügbar.
Mailvelope arbeitet nach dem 1998 erstmals standardisierten asymmetrischen Verschlüsselungsverfahren OpenPGP. Es ist eine in JavaScript geschriebene Webbrowser-Erweiterung für Firefox oder Chromium (beziehungsweise Chrome). Auf voreingestellten, bzw. vom Benutzer autorisierten Webseiten überlagert es die Seite durch seine Bedienelemente, welche optisch durch eine umgebende Hintergrundgrafik als getrennt von der Webanwendung gekennzeichnet werden. Diese kann zur Erkennung von Imitationen in den Einstellungen individualisiert werden.[6] Für die Verschlüsselung baut es auf die Funktionalität der Programmbibliothek OpenPGP.js, einer freien JavaScript-Implementierung des OpenPGP-Standards. Indem es in einem eigenen Inlineframe läuft, wird sein Code separat von der Webanwendung ausgeführt und diese sollte somit keinen Zugriff auf Klartext haben.[7]
Die in Zusammenarbeit mit United Internet entwickelte Einbindung von Mailvelope über eine API erlaubt eine tiefergehende Integration zwischen dem Webmail-Dienst und den Mailvelope-Komponenten. Somit kann die Einrichtung und Erzeugung eines Schlüsselpaares mit Hilfe eines Assistenten direkt im Webmailer erfolgen. Mailvelope verwaltet alle OpenPGP-Schlüssel lokal im Browser.[8] Seit Version 3.0 kann eine lokale GnuPG-Installation in die Schlüsselverwaltung von Mailvelope eingebunden werden, sodass Nutzer auf Wunsch native Anwendungen verwenden können.[9]
Geschichte und Verbreitung
Thomas Oberndörfer begann die Entwicklung im Frühjahr 2012, und am 24. August erschien die erste öffentliche Version 0.4.0.1. Im Zuge der NSA-Affäre rückte ab 2013 unter anderem auch die Frage nach der Sicherheit privater und geschäftlicher E-Mail-Kommunikation mehr in das Zentrum des öffentlichen Interesses. Gleichzeitig galt die E-Mail-Verschlüsselung mit OpenPGP als zu kompliziert in der Handhabung, bzw. boten die von Privatpersonen vielfach genutzten Webmail-Dienste keine Verschlüsselungsfunktionen an. Dies führte zu diversen Erwähnungen von Mailvelope in der Presse.[10][11][12]
Mario Heiderich und Krzysztof Kotowicz von Cure53 unterzogen 2012/2013 eine Alpha-Version einem Sicherheitsaudit.[5] Anhand dessen wurde unter anderem die Separation von der Webmail-Anwendung und ihren Datenstrukturen verbessert. Von derselben Gruppe wurde im Februar 2014 auch die zugrundeliegende Bibliothek OpenPGP.js untersucht. Die im folgenden April erschienene Mailvelope-Version 0.8.0 übernahm die daraus hervorgehenden Korrekturen und brachte Unterstützung für die Signierung von Nachrichten. Im Mai 2014 veröffentlichte iSEC Partners eine Untersuchung der Firefox-Erweiterung.[6] Version 1.0.0 wurde am 18. August 2015 veröffentlicht.
Im April 2015 rüsteten De-Mail-Anbieter ihre Dienste mit einer standardmäßig deaktivierten Option für Ende-zu-Ende-Verschlüsselung auf der Basis von Mailvelope aus,[13] die allerdings nur in Kombination mit Mobile TAN oder elektronischem Personalausweis genutzt werden konnte.[14]
Im August 2015 führten die E-Mail-Dienste von GMX und Web.de Unterstützung für OpenPGP-Verschlüsselung ein und integrierten hierfür Mailvelope über eine API in ihre Webmail-Anwendungen. Diese Wahlmöglichkeit, E-Mails künftig zu verschlüsseln, stand nach eigenen Angaben etwa 30 Millionen Nutzern offen.[15]
Eine Studie von 2015 untersuchte die Benutzerfreundlichkeit von Mailvelope als einem Beispiel für einen modernen OpenPGP-Client und bescheinigte ihm fehlende Massentauglichkeit. Sie riet an, Assistenzfunktionen zu integrieren, Einladungsnachrichten mit Anweisungen an neue Gesprächspartner zu versenden und grundlegende Erklärungstexte zu veröffentlichen.[16] Das Mailvelope-basierte OpenPGP-System von United Internet integriert derartige Funktionen. Eine Untersuchung der Benutzerfreundlichkeit von 2016 befand allerdings auch diese als „verbesserungswürdig“ und sprach von „irritierenden Formulierungen“, fehlender Vermittlung des Konzeptes, schlechten Passwortempfehlungen, fehlender negativer Abgrenzung des aufdringlicheren nur transportverschlüsselten Modus, sowie unzureichende Unterstützung der Schlüsselauthentizitätsprüfung gegen mögliche Mittelsmannangriffe.[6]
Mailvelope wurde in den Jahren 2018/19 im Rahmen einer Initiative des BSI erweitert.[9] Insgesamt wurde die “Schlüsselverwaltung vereinfacht, und Sicherheit der Software verbessert”. Alle durch ein von SEC Consult durchgeführtes Security Audit zutage geförderten Sicherheitslücken im Mailvelope Quellcode, sowie in der genutzten Programmbibliothek OpenPGP.js wurden geschlossen.[17] Dem BSI zufolge, bestand ein Ziel des Projektes auch darin, es den Betreibern von Webseiten künftig zu ermöglichen, Kontaktformulare anzubieten, um die Nachrichten vom Browser des Nutzers zum Empfänger sicher zu verschlüsseln. Der Import neuer Schlüssel werde HTTPS-verschlüsselt über das WKD-Protokoll (Web Key Directory) abgewickelt. Das BSI dachte als Einsatzfeld für diese Technik vor allem an Ärzte oder Banken.[17]
Weblinks
- Webpräsenz
- Quellcode auf GitHub
- Videoanleitung zu Installation und Bedienung (englisch)
Einzelnachweise
- Release 4.4.1. 12. Mai 2021 (abgerufen am 16. Mai 2021).
- Thomas Oberndörfer: Wir über uns | Mailvelope. Mailvelope GmbH, abgerufen am 10. Februar 2022.
- Lorenzo Franceschi-Bicchierai: Why the US Government Is Investing Millions in Internet Freedom Technologies. In: Motherboard. Vice Media LLC, 29. September 2015, abgerufen am 26. September 2016 (amerikanisches Englisch).
- Hauke Gierow: PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. In: Golem.de. 23. Mai 2016, abgerufen am 25. September 2016.
- Mario Heiderich, Krzysztof Kotowicz: Pentest-Report Mailvelope 12.2012–02.2013. Hrsg.: Cure53. Februar 2013 (englisch, cure53.de [PDF]).
- Verena Schochlow, Stephan Neumann, Kristoffer Braun, Melanie Volkamer: Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung. In: Datenschutz und Datensicherheit. Band 40, Nr. 5. Springer Fachmedien, Wiesbaden 21. Mai 2016, S. 295–299, doi:10.1007/s11623-016-0599-5.
- Akash Badshah, Anurag Kashyap, Kenny Lam, Vikas Velagapudi: SendSecure. Hrsg.: MIT Computer Science and Artificial Intelligence Laboratory [CSAIL]. 2014 (englisch, courses.csail.mit.edu [PDF]).
- GMX und Web.de integrieren PGP in ihre Mail-Dienste. In: c’t. Abgerufen am 28. Dezember 2015.
- BSI-Projekt 'Weiterentwicklung von Mailvelope'. In: bsi.bund.de. BSI, abgerufen am 10. Februar 2022.
- Klint Finley: Google's Revamped Gmail Could Take Encryption Mainstream. In: wired.com. 23. April 2014, abgerufen am 9. Februar 2022 (englisch).
- Nicholas Tufnell: 21 tips, tricks and shortcuts to help you stay anonymous online. In: theguardian.com. Guardian, 6. März 2015, abgerufen am 10. Februar 2022 (englisch).
- Mary-Ann Russon: How to encrypt your emails using PGP to keep your secrets safe. In: ibitimes.co.uk. International Business Times, 4. Juni 2015, abgerufen am 10. Februar 2022 (englisch).
- De-Mail. Ende-zu-Ende-Verschlüsselung mit PGP gestartet. In: heise Security. Abgerufen am 25. September 2016.
- De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. In: heise online. Abgerufen am 25. September 2016.
- Web.de und GMX führen PGP-Verschlüsselung für Mail ein. In: heise online. Abgerufen am 25. September 2016.
- Scott Ruoti, Jeff Andersen, Daniel Zappala, Kent Seamons: Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client. 28. Oktober 2015, arxiv:1510.08555 (englisch).
- Fabian A. Scherschel: PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. In: Heise.de. 23. August 2019, abgerufen am 9. Februar 2022.