Abo
  • Services:
Anzeige
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen.
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen. (Bild: Montage Martin Wolf/Golem.de)

PGP per Plugin: Mailvelope

Die bekannteste Alternative für PGP-verschlüsselte Mails im Webmailer ist das Plugin Mailvelope für Google Chrome und Mozilla Firefox. Mit Mailvelope können ebenfalls neue Schlüsselpaare erzeugt oder bereits vorhandene implementiert werden. Im Unterschied zur eben vorgestellten Lösung läuft Mailvelope aber komplett auf dem Rechner der Nutzer - jedenfalls in den meisten Fällen.

Mailvelope ver- und entschlüsselt E-Mails in den Webinterfaces verschiedener Mailprovider. Dabei fügt sich das Programm grundsätzlich in das Design der Anbieter ein, durch verschiedene Hintergründe bei verschlüsselten Mails wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt.

Anzeige

In Zusammenarbeit mit verschiedenen Mailanbietern hat Mailvelope bestimmte Webmaildienste für die Nutzung "vorkonfiguriert", wie es auf der Webseite heißt. Damit das Plugin richtig funktioniert, muss es den Seitenaufbau und andere Elemente eines Anbieters richtig verstehen. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com und Yahoo Mail für Mailvelope fertig konfiguriert.

Mailvelope kann für fast alle Dienste konfiguriert werden

Auch andere Dienste werben mit Mailvelope-Unterstützung, etwa Posteo. In einem kurzen Test funktionierte Mailvelope bei Posteo ohne Probleme. Auch Mailbox.org bietet auf Wunsch und als Alternative die Unterstützung verschlüsselter Mails mit Mailvelope an. Nach einer Auswahl von Mailvelope kann diese aber nicht mehr rückgängig gemacht werden.

Mailvelope speichert den Schlüssel der Nutzer auf der lokalen Festplatte. Dabei liegt eine Kopie des aktiven Schlüssels im "Local Storage" des Webbrowsers. Damit könnte die Information durch XSS-Angriffe kompromittiert werden [Analyse als PDF]. Hier sollten Nutzer, wenn nötig, zusätzliche Vorsichtsmaßnahmen ergreifen.

Schlüssel im Hintergrund synchronisieren

Um die Usability zu steigern, bietet Mailvelope an, den privaten Schlüssel der Nutzer auf mehrere Geräte zu synchronisieren. Dabei kann der Provider ein Backup des private Key durchführen, die Aktion muss jedoch vom Nutzer bestätigt werden. Um den Key abzusichern, wird zunächst ein 26-stelliger Zufallscode erzeugt und mit diesem Code der Key mit AES256 verschlüsselt, wie uns Thomas Oberndörfer, Entwickler von Mailvelope, mitteilt.

In diesem Backup ist nicht nur der Schlüssel selbst, sondern auch das vom Nutzer gewählte Passwort enthalten. Nutzer könnten sich also ein vergessenes Passwort wiederherstellen lassen. Diese Funktion sei jedoch nur über die Mailvelope-Client-API verfügbar, die zurzeit nur von GMX und Web.de genutzt werde, so Oberndörfer.

Im Fall von GMX und Web.de ist das Key-Backup als Opt-out während der Einrichtung geregelt. Nutzer werden also nach der Schlüsselgenerierung aufgefordert, eine Sicherungskopie auf dem Server der Anbieter zu hinterlassen, können sich aber dagegen entscheiden.

Fazit

Wie bereits beschrieben, ist die Guard-Technologie keine allgemein gültige Sicherheitslösung für alle Anwendungsszenarien. Für technisch sehr versierte Nutzer, die in der Lage sind, ihr eigenes System kompetent zu verwalten und abzusichern, dürfte der Einsatz lokal generierter PGP-Schlüssel in aller Regel kein großes Problem darstellen. Auch die Sicherheit der Endpunkte selbst dürfte bei dieser Nutzergruppe besser sein als bei durchschnittlichen Internetnutzern, an die sich Guard eben vor allem richtet.

Denkbar ist auch, eine zweigleisige Strategie zu fahren: Mit der Posteingangsverschlüsselung können alle Mails mit einem in Ox Guard hinterlegten Public-Key verschlüsselt und auch im Webinterface mit einem Online-Key entschlüsselt werden. Für besonders kritische Kommunikation kann mit einigen Kommunikationspartnern nach wie vor auf einen "Offline-PGP-Schlüssel" zurückgegriffen werden, der weiterhin nur auf einem vertrauten Gerät des Benutzers liegt.

Mailvelope hingegen ist vor allem ein Werkzeug für Nutzer, die die Einrichtung und die Schlüsselverwaltung traditioneller Mailclients umgehen wollen oder für die die Weboberfläche des eigenen Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm nicht auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte. Auf Grund der Schlüsselverwaltung im Browserspeicher bietet auch Mailvelope mehr Angriffspunkte als klassisches PGP.

 Ox Guard bietet serverseitiges PGP

eye home zur Startseite
ikhaya 12. Feb 2017

PGP verwendet eine Verschlüsselung mit öffentlichem und privatem Schlüssel. Den...

Moe479 08. Feb 2017

Jede Verschlüsselung die ich knacken kann ist praktisch keine Verschlüsselung für mich...

ralf.wenzel 31. Jan 2017

Ein Passwort für das Passwort für das Passwort.... Ralf



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Die Deutsche Immobilien Gruppe, Düren
  3. Stadtwerke München GmbH, München
  4. Daimler AG, Sindelfingen


Anzeige
Hardware-Angebote
  1. ab 439,85€
  2. ab 1.079,79€ im PCGH-Preisvergleich

Folgen Sie uns
       


  1. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  2. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  3. id Software

    Quake Champions startet in den Early Access

  4. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  5. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  6. Open Source Projekt

    Oracle will Java EE abgeben

  7. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  8. Forum

    Reddit bietet native Unterstützung von Videos

  9. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand

  10. Schifffahrt

    Yara Birkeland wird der erste autonome E-Frachter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mercedes S-Klasse im Test: Das selbstfahrende Auto ist schon sehr nahe
Mercedes S-Klasse im Test
Das selbstfahrende Auto ist schon sehr nahe
  1. Autonomes Fahren Fiat Chrysler kooperiert mit BMW und Intel
  2. 3M Verkehrsschilder informieren autonom fahrende Autos
  3. Waymo Autonomes Auto zerstört sich beim Unfall mit Fußgängern

LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

Windows 10 S im Test: Das S steht für schlechtes Marketing
Windows 10 S im Test
Das S steht für schlechtes Marketing
  1. Microsoft Neugierige Nutzer können Windows 10 S ausprobieren
  2. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  3. Malware Der unvollständige Ransomware-Schutz von Windows 10 S

  1. Re: Aller Anfang ist schwer

    GangnamStyle | 16:32

  2. Sinn

    Quantium40 | 16:32

  3. Re: so ein akku auto ist auch nicht gerade co2 frei

    thinksimple | 16:31

  4. Re: Das Spiel ist auf dem richtigen Weg!

    nachgefragt | 16:28

  5. Re: Umsatzsteuer

    Geistesgegenwart | 16:28


  1. 16:20

  2. 15:30

  3. 15:07

  4. 14:54

  5. 13:48

  6. 13:15

  7. 12:55

  8. 12:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel