Mailvelope

Browsererweiterung für OpenPGP-Verschlüsselung mit Webmail-Diensten

Mailvelope ist eine freie Software zur Ende-zu-Ende-Verschlüsselung von E-Mail-Verkehr innerhalb eines Webbrowsers (Firefox, Chromium oder Edge), die sich in bestehende Webmail-Anwendungen („E-Mail-Webseiten“) integriert. Damit können elektronische Nachrichten samt angehängten Dateien auch ohne ein separates, natives E-Mail-Programm (wie Thunderbird) unter Benutzung des OpenPGP-Standards signiert und verschlüsselt werden.

Mailvelope

Mailvelope Editor zum Schreiben sicherer E-Mails
Verfassen einer verschlüsselten Nachricht
Basisdaten

Entwickler Mailvelope GmbH
Erscheinungsjahr 2012
Aktuelle Version 6.0.0[1]
(8. November 2024)
Betriebssystem Webbrowser
Programmier­sprache JavaScript
Kategorie Browsererweiterung
Lizenz AGPL (freie Software)
mailvelope.com

Der Name ist ein Kofferwort aus den Wörtern „Mail“ (englisch für „Post“) und „Envelope“ (englisch für „Umschlag“).[2] Es steht mitsamt Quellcode unter den Bedingungen von Version 3 der GNU Affero General Public License (AGPL) zur Verfügung. Das Herstellerunternehmen Mailvelope GmbH betreibt die Entwicklung mit einem öffentlichen Code-Repository auf GitHub. Die Entwicklung wird vom Open Technology Fund und Internews gefördert.[3]

Funktionsweise

Bearbeiten

Mailvelope rüstet Webmail-Anwendungen mit OpenPGP-Funktionalität aus. Die Unterstützung mehrerer populärer Anbieter wie Gmail, Outlook.com, Yahoo, Web.de, GMX, Posteo und anderer sind in Mailvelope bereits vorkonfiguriert und Mailvelope erkennt diese als Webmail-Provider. Die Webmail-Software Roundcube erkennt und unterstützt Mailvelope ab Version 1.2 vom Mai 2016.[4] Weitere Anbieter können optional hinzugefügt (autorisiert) werden. Für Chromium/Chrome besteht über die integrierte Software-Verwaltung „Chrome Web Store“ eine authentifizierte Installationsmöglichkeit.[5] Daneben ist Mailvelope auch für Firefox und Microsoft-Edge als Add-On verfügbar.

Mailvelope arbeitet nach dem 1998 erstmals standardisierten asymmetrischen Verschlüsselungsverfahren OpenPGP. Es ist eine in JavaScript geschriebene Webbrowser-Erweiterung für Firefox oder Chromium (beziehungsweise Chrome). Auf voreingestellten, bzw. vom Benutzer autorisierten Webseiten überlagert es die Seite durch seine Bedienelemente, welche optisch durch eine umgebende Hintergrundgrafik als getrennt von der Webanwendung gekennzeichnet werden. Diese kann zur Erkennung von Imitationen in den Einstellungen individualisiert werden.[6] Für die Verschlüsselung baut es auf die Funktionalität der Programmbibliothek OpenPGP.js, einer freien JavaScript-Implementierung des OpenPGP-Standards. Indem es in einem eigenen Inlineframe läuft, wird sein Code separat von der Webanwendung ausgeführt und diese sollte somit keinen Zugriff auf Klartext haben.[7]

Die in Zusammenarbeit mit United Internet entwickelte Einbindung von Mailvelope über eine API, erlaubt eine tiefergehende Integration zwischen dem Webmail-Dienst und den Mailvelope-Komponenten. Somit kann die Einrichtung und Erzeugung eines Schlüsselpaares mit Hilfe eines Assistenten direkt im Webmailer erfolgen. Mailvelope verwaltet alle OpenPGP-Schlüssel lokal im Browser.[8] Seit Version 3.0 kann eine lokale GnuPG-Installation in die Schlüsselverwaltung von Mailvelope eingebunden werden, sodass Nutzer auf Wunsch native Anwendungen verwenden können.[9]

Geschichte und Verbreitung

Bearbeiten

Thomas Oberndörfer begann die Entwicklung im Frühjahr 2012, und am 24. August erschien die erste öffentliche Version 0.4.0.1. Im Zuge der NSA-Affäre rückte ab 2013 unter anderem auch die Frage nach der Sicherheit privater und geschäftlicher E-Mail-Kommunikation mehr in das öffentliche Interesse. Gleichzeitig galt die E-Mail-Verschlüsselung mit OpenPGP als zu kompliziert in der Handhabung bzw. boten die von Privatpersonen vielfach genutzten Webmail-Dienste keine Verschlüsselungsfunktionen an. Dies führte zu diversen Erwähnungen von Mailvelope in der Presse.[10][11][12]

Mario Heiderich und Krzysztof Kotowicz von Cure53 unterzogen 2012/2013 eine Alpha-Version einem Sicherheitsaudit.[5] Anhand dessen wurde unter anderem die Separation von der Webmail-Anwendung und ihren Datenstrukturen verbessert. Von derselben Gruppe wurde im Februar 2014 auch die zugrundeliegende Bibliothek OpenPGP.js untersucht. Die im folgenden April erschienene Mailvelope-Version 0.8.0 übernahm die daraus hervorgehenden Korrekturen und brachte Unterstützung für die Signierung von Nachrichten. Im Mai 2014 veröffentlichte iSEC Partners eine Untersuchung der Firefox-Erweiterung.[6] Version 1.0.0 wurde am 18. August 2015 veröffentlicht.

Im April 2015 rüsteten De-Mail-Anbieter ihre Dienste mit einer standardmäßig deaktivierten Option für Ende-zu-Ende-Verschlüsselung auf der Basis von Mailvelope aus,[13] die allerdings nur in Kombination mit Mobile TAN oder elektronischem Personalausweis genutzt werden konnte.[14]

Im August 2015 führten die E-Mail-Dienste von GMX und Web.de Unterstützung für OpenPGP-Verschlüsselung ein und integrierten hierfür Mailvelope über eine API in ihre Webmail-Anwendungen. Diese Wahlmöglichkeit, E-Mails künftig zu verschlüsseln, stand nach eigenen Angaben etwa 30 Millionen Nutzern offen.[8]

Eine Studie von 2015 untersuchte die Benutzerfreundlichkeit von Mailvelope, als Beispiel für einen modernen OpenPGP-Client, und bescheinigte ihm fehlende Massentauglichkeit. Sie riet an, Assistenzfunktionen zu integrieren, Einladungsnachrichten mit Anweisungen an neue Gesprächspartner zu versenden und grundlegende Erklärungstexte zu veröffentlichen.[15] Das Mailvelope-basierte OpenPGP-System von United Internet integriert derartige Funktionen. Eine Untersuchung der Benutzerfreundlichkeit von 2016 befand, dass diese „weitestgehend auch für Laien nachvollziehbar“, bewertet sie aber trotzdem als „verbesserungswürdig“ und sprach von „irritierenden Formulierungen“. Weitere Kritikpunkte waren die fehlende Vermittlung des Konzeptes verschlüsselter E-Mails, schlechte Passwortempfehlungen, fehlendernegativer Abgrenzung des aufdringlicheren nur-transportverschlüsselten-Modus sowie unzureichende Unterstützung der Schlüsselauthentizitätsprüfung gegen mögliche Man-in-the-Middle-Angriffe.[6]

Im Mai 2017 wurde bei einem Sicherheitsaudit durch Posteo eine Schwachstelle in der Firefox-Sicherheitsarchitektur gefunden, durch welche auch Mailvelop kompromittiert wurde.[16] Mit Version 2.0 wurde Posteo an die neue WebExtension-Architektur von Firefox umgeschrieben, durch deren Einführung mit Firefox 57 im November 2017 die Sicherheitslücke geschlossen wurde. Außerdem wurde die Umsetzung der UI-Komponenten komplett neu im Framework React reimplementiert.[17]

Mailvelope wurde in den Jahren 2018/19 im Rahmen einer Initiative des BSI erweitert.[9] Dabei wurde die “Schlüsselverwaltung vereinfacht, und Sicherheit der Software verbessert”. Alle durch ein von SEC Consult durchgeführtes Security Audit[18] zutage geförderten Sicherheitslücken im Mailvelope Quellcode, sowie in der genutzten Programmbibliothek OpenPGP.js, wurden geschlossen.[19] Dem BSI zufolge, bestand ein Ziel des Projektes darin, es den Betreibern von Websites künftig zu ermöglichen, Kontaktformulare anzubieten, um die Nachrichten vom Browser des Nutzers zum Empfänger sicher zu verschlüsseln. Der Import neuer Schlüssel werde HTTPS-verschlüsselt über das WKD-Protokoll (Web Key Directory) abgewickelt. Das BSI dachte als Einsatzfeld für diese Technik vor allem an Ärzte oder Banken.[19]

Bearbeiten
Commons: Mailvelope – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

Bearbeiten
  1. Release 6.0.0. 8. November 2024 (abgerufen am 25. November 2024).
  2. Thomas Oberndörfer: Wir über uns | Mailvelope. Mailvelope GmbH, abgerufen am 10. Februar 2022.
  3. Lorenzo Franceschi-Bicchierai: Why the US Government Is Investing Millions in Internet Freedom Technologies. In: Motherboard. Vice Media LLC, 29. September 2015, abgerufen am 26. September 2016 (amerikanisches Englisch).
  4. Hauke Gierow: PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. In: Golem.de. 23. Mai 2016, abgerufen am 25. September 2016.
  5. a b Mario Heiderich, Krzysztof Kotowicz: Pentest-Report Mailvelope 12.2012–02.2013. Cure53, Februar 2013, S. 1 (englisch, cure53.de [PDF]).
  6. a b c Verena Schochlow, Stephan Neumann, Kristoffer Braun, Melanie Volkamer: Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung. In: Datenschutz und Datensicherheit. Band 40, Nr. 5. Springer Fachmedien, Wiesbaden 21. Mai 2016, S. 295–299, doi:10.1007/s11623-016-0599-5 (tu-darmstadt.de [PDF; 225 kB; abgerufen am 4. Januar 2024]).
  7. Akash Badshah, Anurag Kashyap, Kenny Lam, Vikas Velagapudi: SendSecure. Hrsg.: MIT Computer Science and Artificial Intelligence Laboratory [CSAIL]. 2014, S. 3 (englisch, courses.csail.mit.edu [PDF]).
  8. a b Axel Kossel: Web.de und GMX führen PGP-Verschlüsselung für Mail ein. In: heise online. 20. August 2015, abgerufen am 25. September 2016.
  9. a b BSI-Projekt 'Weiterentwicklung von Mailvelope'. In: bsi.bund.de. BSI, abgerufen am 10. Februar 2022.
  10. Klint Finley: Google's Revamped Gmail Could Take Encryption Mainstream. In: wired.com. 23. April 2014, abgerufen am 9. Februar 2022 (englisch).
  11. Nicholas Tufnell: 21 tips, tricks and shortcuts to help you stay anonymous online. In: theguardian.com. Guardian, 6. März 2015, abgerufen am 10. Februar 2022 (englisch).
  12. Mary-Ann Russon: How to encrypt your emails using PGP to keep your secrets safe. In: ibitimes.co.uk. International Business Times, 4. Juni 2015, abgerufen am 10. Februar 2022 (englisch).
  13. Holger Bleich: De-Mail. Ende-zu-Ende-Verschlüsselung mit PGP gestartet. In: heise Security. 22. April 2015, abgerufen am 25. September 2016.
  14. Detlef Borchers: De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. In: heise online. 9. März 2015, abgerufen am 25. September 2016.
  15. Scott Ruoti, Jeff Andersen, Daniel Zappala, Kent Seamons: Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client. 28. Oktober 2015, arxiv:1510.08555 (englisch).
  16. Daniel Berger: Kritische Schwachstelle: Posteo warnt vor Firefox-Add-on Mailvelope. In: heise online. 4. Mai 2017, abgerufen am 4. Januar 2024.
  17. Mailvelope 2.0: Sicherer und schneller. In: Mailvelope Blog. 16. Oktober 2017, abgerufen am 4. Januar 2024.
  18. W. Ettlinger, A. Mynzhasova: Mailvelope Extensions Security Audit. Bundesamt für Informationssicherheit, 2019, abgerufen am 4. Januar 2024 (englisch).
  19. a b Fabian A. Scherschel: PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. In: Heise.de. 23. August 2019, abgerufen am 9. Februar 2022.