• IT-Karriere:
  • Services:

PGP per Plugin: Mailvelope

Die bekannteste Alternative für PGP-verschlüsselte Mails im Webmailer ist das Plugin Mailvelope für Google Chrome und Mozilla Firefox. Mit Mailvelope können ebenfalls neue Schlüsselpaare erzeugt oder bereits vorhandene implementiert werden. Im Unterschied zur eben vorgestellten Lösung läuft Mailvelope aber komplett auf dem Rechner der Nutzer - jedenfalls in den meisten Fällen.

Stellenmarkt
  1. über experteer GmbH, Nürnberg
  2. über experteer GmbH, Düsseldorf

Mailvelope ver- und entschlüsselt E-Mails in den Webinterfaces verschiedener Mailprovider. Dabei fügt sich das Programm grundsätzlich in das Design der Anbieter ein, durch verschiedene Hintergründe bei verschlüsselten Mails wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt.

In Zusammenarbeit mit verschiedenen Mailanbietern hat Mailvelope bestimmte Webmaildienste für die Nutzung "vorkonfiguriert", wie es auf der Webseite heißt. Damit das Plugin richtig funktioniert, muss es den Seitenaufbau und andere Elemente eines Anbieters richtig verstehen. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com und Yahoo Mail für Mailvelope fertig konfiguriert.

Mailvelope kann für fast alle Dienste konfiguriert werden

Auch andere Dienste werben mit Mailvelope-Unterstützung, etwa Posteo. In einem kurzen Test funktionierte Mailvelope bei Posteo ohne Probleme. Auch Mailbox.org bietet auf Wunsch und als Alternative die Unterstützung verschlüsselter Mails mit Mailvelope an. Nach einer Auswahl von Mailvelope kann diese aber nicht mehr rückgängig gemacht werden.

Mailvelope speichert den Schlüssel der Nutzer auf der lokalen Festplatte. Dabei liegt eine Kopie des aktiven Schlüssels im "Local Storage" des Webbrowsers. Damit könnte die Information durch XSS-Angriffe kompromittiert werden [Analyse als PDF]. Hier sollten Nutzer, wenn nötig, zusätzliche Vorsichtsmaßnahmen ergreifen.

Schlüssel im Hintergrund synchronisieren

Um die Usability zu steigern, bietet Mailvelope an, den privaten Schlüssel der Nutzer auf mehrere Geräte zu synchronisieren. Dabei kann der Provider ein Backup des private Key durchführen, die Aktion muss jedoch vom Nutzer bestätigt werden. Um den Key abzusichern, wird zunächst ein 26-stelliger Zufallscode erzeugt und mit diesem Code der Key mit AES256 verschlüsselt, wie uns Thomas Oberndörfer, Entwickler von Mailvelope, mitteilt.

In diesem Backup ist nicht nur der Schlüssel selbst, sondern auch das vom Nutzer gewählte Passwort enthalten. Nutzer könnten sich also ein vergessenes Passwort wiederherstellen lassen. Diese Funktion sei jedoch nur über die Mailvelope-Client-API verfügbar, die zurzeit nur von GMX und Web.de genutzt werde, so Oberndörfer.

Im Fall von GMX und Web.de ist das Key-Backup als Opt-out während der Einrichtung geregelt. Nutzer werden also nach der Schlüsselgenerierung aufgefordert, eine Sicherungskopie auf dem Server der Anbieter zu hinterlassen, können sich aber dagegen entscheiden.

Fazit

Wie bereits beschrieben, ist die Guard-Technologie keine allgemein gültige Sicherheitslösung für alle Anwendungsszenarien. Für technisch sehr versierte Nutzer, die in der Lage sind, ihr eigenes System kompetent zu verwalten und abzusichern, dürfte der Einsatz lokal generierter PGP-Schlüssel in aller Regel kein großes Problem darstellen. Auch die Sicherheit der Endpunkte selbst dürfte bei dieser Nutzergruppe besser sein als bei durchschnittlichen Internetnutzern, an die sich Guard eben vor allem richtet.

Denkbar ist auch, eine zweigleisige Strategie zu fahren: Mit der Posteingangsverschlüsselung können alle Mails mit einem in Ox Guard hinterlegten Public-Key verschlüsselt und auch im Webinterface mit einem Online-Key entschlüsselt werden. Für besonders kritische Kommunikation kann mit einigen Kommunikationspartnern nach wie vor auf einen "Offline-PGP-Schlüssel" zurückgegriffen werden, der weiterhin nur auf einem vertrauten Gerät des Benutzers liegt.

Mailvelope hingegen ist vor allem ein Werkzeug für Nutzer, die die Einrichtung und die Schlüsselverwaltung traditioneller Mailclients umgehen wollen oder für die die Weboberfläche des eigenen Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm nicht auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte. Auf Grund der Schlüsselverwaltung im Browserspeicher bietet auch Mailvelope mehr Angriffspunkte als klassisches PGP.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ox Guard bietet serverseitiges PGP
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. (u. a. Code Vein für 21,99€, Dark Souls 3 - Deluxe Edition für 18,99€, Ni no Kuni 2: Revenant...
  2. 15,49€

ikhaya 12. Feb 2017

PGP verwendet eine Verschlüsselung mit öffentlichem und privatem Schlüssel. Den...

Moe479 08. Feb 2017

Jede Verschlüsselung die ich knacken kann ist praktisch keine Verschlüsselung für mich...

ralf.wenzel 31. Jan 2017

Ein Passwort für das Passwort für das Passwort.... Ralf


Folgen Sie uns
       


Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /