Abo
  • IT-Karriere:

PGP per Plugin: Mailvelope

Die bekannteste Alternative für PGP-verschlüsselte Mails im Webmailer ist das Plugin Mailvelope für Google Chrome und Mozilla Firefox. Mit Mailvelope können ebenfalls neue Schlüsselpaare erzeugt oder bereits vorhandene implementiert werden. Im Unterschied zur eben vorgestellten Lösung läuft Mailvelope aber komplett auf dem Rechner der Nutzer - jedenfalls in den meisten Fällen.

Stellenmarkt
  1. Auswärtiges Amt, Bonn, Berlin
  2. Württembergische Gemeinde-Versicherung a.G., Stuttgart

Mailvelope ver- und entschlüsselt E-Mails in den Webinterfaces verschiedener Mailprovider. Dabei fügt sich das Programm grundsätzlich in das Design der Anbieter ein, durch verschiedene Hintergründe bei verschlüsselten Mails wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt.

In Zusammenarbeit mit verschiedenen Mailanbietern hat Mailvelope bestimmte Webmaildienste für die Nutzung "vorkonfiguriert", wie es auf der Webseite heißt. Damit das Plugin richtig funktioniert, muss es den Seitenaufbau und andere Elemente eines Anbieters richtig verstehen. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com und Yahoo Mail für Mailvelope fertig konfiguriert.

Mailvelope kann für fast alle Dienste konfiguriert werden

Auch andere Dienste werben mit Mailvelope-Unterstützung, etwa Posteo. In einem kurzen Test funktionierte Mailvelope bei Posteo ohne Probleme. Auch Mailbox.org bietet auf Wunsch und als Alternative die Unterstützung verschlüsselter Mails mit Mailvelope an. Nach einer Auswahl von Mailvelope kann diese aber nicht mehr rückgängig gemacht werden.

Mailvelope speichert den Schlüssel der Nutzer auf der lokalen Festplatte. Dabei liegt eine Kopie des aktiven Schlüssels im "Local Storage" des Webbrowsers. Damit könnte die Information durch XSS-Angriffe kompromittiert werden [Analyse als PDF]. Hier sollten Nutzer, wenn nötig, zusätzliche Vorsichtsmaßnahmen ergreifen.

Schlüssel im Hintergrund synchronisieren

Um die Usability zu steigern, bietet Mailvelope an, den privaten Schlüssel der Nutzer auf mehrere Geräte zu synchronisieren. Dabei kann der Provider ein Backup des private Key durchführen, die Aktion muss jedoch vom Nutzer bestätigt werden. Um den Key abzusichern, wird zunächst ein 26-stelliger Zufallscode erzeugt und mit diesem Code der Key mit AES256 verschlüsselt, wie uns Thomas Oberndörfer, Entwickler von Mailvelope, mitteilt.

In diesem Backup ist nicht nur der Schlüssel selbst, sondern auch das vom Nutzer gewählte Passwort enthalten. Nutzer könnten sich also ein vergessenes Passwort wiederherstellen lassen. Diese Funktion sei jedoch nur über die Mailvelope-Client-API verfügbar, die zurzeit nur von GMX und Web.de genutzt werde, so Oberndörfer.

Im Fall von GMX und Web.de ist das Key-Backup als Opt-out während der Einrichtung geregelt. Nutzer werden also nach der Schlüsselgenerierung aufgefordert, eine Sicherungskopie auf dem Server der Anbieter zu hinterlassen, können sich aber dagegen entscheiden.

Fazit

Wie bereits beschrieben, ist die Guard-Technologie keine allgemein gültige Sicherheitslösung für alle Anwendungsszenarien. Für technisch sehr versierte Nutzer, die in der Lage sind, ihr eigenes System kompetent zu verwalten und abzusichern, dürfte der Einsatz lokal generierter PGP-Schlüssel in aller Regel kein großes Problem darstellen. Auch die Sicherheit der Endpunkte selbst dürfte bei dieser Nutzergruppe besser sein als bei durchschnittlichen Internetnutzern, an die sich Guard eben vor allem richtet.

Denkbar ist auch, eine zweigleisige Strategie zu fahren: Mit der Posteingangsverschlüsselung können alle Mails mit einem in Ox Guard hinterlegten Public-Key verschlüsselt und auch im Webinterface mit einem Online-Key entschlüsselt werden. Für besonders kritische Kommunikation kann mit einigen Kommunikationspartnern nach wie vor auf einen "Offline-PGP-Schlüssel" zurückgegriffen werden, der weiterhin nur auf einem vertrauten Gerät des Benutzers liegt.

Mailvelope hingegen ist vor allem ein Werkzeug für Nutzer, die die Einrichtung und die Schlüsselverwaltung traditioneller Mailclients umgehen wollen oder für die die Weboberfläche des eigenen Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm nicht auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte. Auf Grund der Schlüsselverwaltung im Browserspeicher bietet auch Mailvelope mehr Angriffspunkte als klassisches PGP.

 Ox Guard bietet serverseitiges PGP
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. 49-Zoll-TV für 399,99€, High-Resolution-Kopfhörer für 159,99€, Alpha 5100...
  3. (u. a. Bluetooth-Lautsprecher für 29,99€, Over Ear Kopfhörer für 37,99€, Wireless Earbuds...
  4. (u. a. D24f FHD/144 Hz für 149€ + Versand statt 193,94€ im Vergleich)

ikhaya 12. Feb 2017

PGP verwendet eine Verschlüsselung mit öffentlichem und privatem Schlüssel. Den...

Moe479 08. Feb 2017

Jede Verschlüsselung die ich knacken kann ist praktisch keine Verschlüsselung für mich...

ralf.wenzel 31. Jan 2017

Ein Passwort für das Passwort für das Passwort.... Ralf


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  2. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid
  3. Elektroauto BMW meldet Zehntausende E-Mini-Interessenten

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

    •  /