Koperta pocztowa
 Edytor poczty
| |
| Deweloperzy | Mailvelope GmbH |
|---|---|
| Pierwsze wydanie | 2012 |
| Wersja stabilna | 4.4.1 / 12 maja 2021
|
| Magazyn | mailvelope na GitHubie |
| Napisane w | JavaScript |
| Platforma | przeglądarka internetowa |
| Typ | rozszerzenie przeglądarki |
| Licencja | AGPL ( wolne oprogramowanie ) |
| Strona internetowa | |
Mailvelope to darmowe oprogramowanie do kompleksowego szyfrowania ruchu e-mail w przeglądarce internetowej ( Firefox , Chromium lub Edge ), które integruje się z istniejącymi aplikacjami poczty internetowej („stronami e-mailowymi”). Może być używany do szyfrowania i podpisywania wiadomości elektronicznych, w tym załączonych plików , bez użycia oddzielnego, natywnego klienta poczty e-mail (takiego jak Thunderbird) korzystającego z Standard OpenPGP .
Nazwa jest połączeniem słów „poczta” i „koperta”. Jest publikowany wraz z kodem źródłowym na warunkach wersji 3 GNU Affero General Public License (AGPL). Firma Mailvelope GmbH prowadzi rozwój, korzystając z publicznego repozytorium kodu na GitHub . Rozwój jest sponsorowany przez Fundusz Otwartych Technologii i Internews .
Podobnymi alternatywami były Mymail-Crypt i WebPG.
Cechy
Mailvelope wyposaża aplikacje poczty internetowej w funkcjonalność OpenPGP. Obsługa kilku popularnych dostawców, takich jak Gmail , Yahoo , Outlook w sieci i innych, jest wstępnie skonfigurowana. Oprogramowanie poczty internetowej Roundcube wykrywa i obsługuje Mailvelope od wersji 1.2 z maja 2016 r., A także większość (samodzielnych) klientów poczty internetowej. W przypadku Chromium/Chrome istnieje możliwość instalacji z uwierzytelnionego źródła za pomocą zintegrowanego menedżera rozszerzeń oprogramowania „ Chrome Web Store ”. Ponadto Mailvelope jest również dostępny dla przeglądarek Firefox i Microsoft Edge jako dodatek .
Mailvelope działa zgodnie ze standardem OpenPGP , kryptosystemem klucza publicznego, który został po raz pierwszy znormalizowany w 1998 roku i jest napisany w JavaScript . Na wstępnie ustawionych lub autoryzowanych przez użytkownika stronach internetowych nakłada na stronę elementy kontrolne, które są optycznie oddzielone od aplikacji internetowej otaczającym ją tłem bezpieczeństwa. To tło można dostosować, aby wykryć podszywanie się. Do szyfrowania opiera się na funkcjonalności biblioteki programu OpenPGP.js, darmowej implementacji JavaScript standardu OpenPGP. Uruchamiając wewnątrz oddzielnej ramki wbudowanej , jego kod jest wykonywany niezależnie od aplikacji internetowej i powinien uniemożliwić jej dostęp do zawartości wiadomości w postaci zwykłego tekstu.
Integracja Mailvelope za pośrednictwem interfejsu API opracowanego we współpracy z United Internet umożliwia głębszą integrację między usługą poczty internetowej a komponentami Mailvelope. W ten sposób konfigurację i generowanie pary kluczy można wykonać bezpośrednio w webmailerze za pomocą kreatora. Mailvelope zarządza wszystkimi kluczami OpenPGP lokalnie w przeglądarce. Od wersji 3.0 lokalna instalacja GnuPG może być uwzględniona w zarządzaniu kluczami Mailvelope, umożliwiając użytkownikom korzystanie z aplikacji natywnych w razie potrzeby.
Historia i użycie
Thomas Oberndörfer zaczął rozwijać Mailvelope wiosną 2012 r., a pierwsza publiczna wersja 0.4.0.1 została wydana 24 sierpnia. Ujawnienie globalnego nadzoru wywołało pytania dotyczące bezpieczeństwa prywatnej i biznesowej komunikacji e-mail. W tamtym czasie szyfrowanie wiadomości e-mail za pomocą OpenPGP było uważane za zbyt skomplikowane w użyciu. Ponadto usługi webmail, które były szczególnie popularne wśród osób prywatnych, nie oferowały żadnych funkcji szyfrowania typu end-to-end. Doprowadziło to do różnych wzmianek w prasie o Mailvelope jako możliwym rozwiązaniu tego problemu.
Mario Heiderich i Krzysztof Kotowicz z Cure53 przeprowadzili audyt bezpieczeństwa wersji alfa z 2012/2013. Między innymi, w oparciu o jej ustalenia, udoskonalono separację od aplikacji internetowej i jej struktur danych. W lutym 2014 roku ta sama grupa przeanalizowała bibliotekę OpenPGP.js, na której opiera się Mailvelope. Wersja 0.8.0, wydana w kwietniu następnego roku, przyjęła wynikające z tego poprawki i dodała obsługę podpisywania wiadomości. W maju 2014 iSEC Partners opublikował analizę rozszerzenia Firefox. Wersja 1.0.0 została opublikowana 18 sierpnia 2015 roku.
W kwietniu 2015 r. dostawcy De-Mail wyposażyli swoje usługi w domyślnie wyłączoną opcję szyfrowania typu end-to-end w oparciu o Mailvelope, ale można było z niej korzystać tylko w połączeniu z Mobile TAN lub niemieckim elektronicznym dowodem tożsamości . Nowa wersja rozszerzenia została wydana w maju 2015 r. W sierpniu 2015 r. usługi pocztowe Web.de i GMX w tym celu wprowadzili obsługę szyfrowania OpenPGP i zintegrowali Mailvelope ze swoimi aplikacjami poczty internetowej. Według własnych informacji firmy, ta opcja szyfrowania wiadomości e-mail w ten sposób była dostępna dla około 30 milionów użytkowników.
Badanie z 2015 roku zbadało użyteczność Mailvelope jako przykładu nowoczesnego klienta OpenPGP i uznało, że jest nieodpowiedni dla mas. Zalecili zintegrowanie funkcji asystenta, wysyłanie pouczających zaproszeń do nowych partnerów komunikacyjnych oraz publikowanie podstawowych tekstów wyjaśniających. Oparty na Mailvelope system OpenPGP firmy United Internet integruje taką funkcjonalność, a jego użyteczność zyskała kilka pozytywnych wzmianek w prasie, w szczególności oferowana funkcja synchronizacji kluczy. Analiza użyteczności z 2016 roku wykazała jednak, że nadal „warta jest ulepszenia” („verbesserungswürdig”) i wspomniała o „mylących sformułowaniach” („irritierende Formulierungen”), braku komunikacji koncepcji, zaleceniach dotyczących złego hasła, braku negatywnej dysocjacji bardziej widoczny modus, który obejmuje tylko szyfrowanie transportu, a także niewystarczającą obsługę sprawdzania autentyczności klucza (aby udaremnić ataki typu man-in-the-middle ).
Mailvelope został udoskonalony w sezonie 2018/19 w ramach inicjatywy BSI. Ogólnie rzecz biorąc, „uproszczono zarządzanie kluczami i poprawiono bezpieczeństwo oprogramowania”. Wszystkie luki bezpieczeństwa w kodzie źródłowym Mailvelope, jak również w używanej bibliotece programu OpenPGP.js, ujawnione w audycie bezpieczeństwa przeprowadzonym przez SEC Consult, zostały usunięte. Według BSI jednym z celów projektu było również umożliwienie operatorom witryn oferowania w przyszłości formularzy kontaktowych w celu bezpiecznego szyfrowania wiadomości przesyłanych z przeglądarki użytkownika do odbiorcy. Import nowych kluczy byłby szyfrowany HTTPS przy użyciu protokołu WKD (Web Key Directory).