Abo
  • Services:
Anzeige
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen.
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen. (Bild: Montage Martin Wolf/Golem.de)

PGP per Plugin: Mailvelope

Die bekannteste Alternative für PGP-verschlüsselte Mails im Webmailer ist das Plugin Mailvelope für Google Chrome und Mozilla Firefox. Mit Mailvelope können ebenfalls neue Schlüsselpaare erzeugt oder bereits vorhandene implementiert werden. Im Unterschied zur eben vorgestellten Lösung läuft Mailvelope aber komplett auf dem Rechner der Nutzer - jedenfalls in den meisten Fällen.

Mailvelope ver- und entschlüsselt E-Mails in den Webinterfaces verschiedener Mailprovider. Dabei fügt sich das Programm grundsätzlich in das Design der Anbieter ein, durch verschiedene Hintergründe bei verschlüsselten Mails wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt.

Anzeige

In Zusammenarbeit mit verschiedenen Mailanbietern hat Mailvelope bestimmte Webmaildienste für die Nutzung "vorkonfiguriert", wie es auf der Webseite heißt. Damit das Plugin richtig funktioniert, muss es den Seitenaufbau und andere Elemente eines Anbieters richtig verstehen. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com und Yahoo Mail für Mailvelope fertig konfiguriert.

Mailvelope kann für fast alle Dienste konfiguriert werden

Auch andere Dienste werben mit Mailvelope-Unterstützung, etwa Posteo. In einem kurzen Test funktionierte Mailvelope bei Posteo ohne Probleme. Auch Mailbox.org bietet auf Wunsch und als Alternative die Unterstützung verschlüsselter Mails mit Mailvelope an. Nach einer Auswahl von Mailvelope kann diese aber nicht mehr rückgängig gemacht werden.

Mailvelope speichert den Schlüssel der Nutzer auf der lokalen Festplatte. Dabei liegt eine Kopie des aktiven Schlüssels im "Local Storage" des Webbrowsers. Damit könnte die Information durch XSS-Angriffe kompromittiert werden [Analyse als PDF]. Hier sollten Nutzer, wenn nötig, zusätzliche Vorsichtsmaßnahmen ergreifen.

Schlüssel im Hintergrund synchronisieren

Um die Usability zu steigern, bietet Mailvelope an, den privaten Schlüssel der Nutzer auf mehrere Geräte zu synchronisieren. Dabei kann der Provider ein Backup des private Key durchführen, die Aktion muss jedoch vom Nutzer bestätigt werden. Um den Key abzusichern, wird zunächst ein 26-stelliger Zufallscode erzeugt und mit diesem Code der Key mit AES256 verschlüsselt, wie uns Thomas Oberndörfer, Entwickler von Mailvelope, mitteilt.

In diesem Backup ist nicht nur der Schlüssel selbst, sondern auch das vom Nutzer gewählte Passwort enthalten. Nutzer könnten sich also ein vergessenes Passwort wiederherstellen lassen. Diese Funktion sei jedoch nur über die Mailvelope-Client-API verfügbar, die zurzeit nur von GMX und Web.de genutzt werde, so Oberndörfer.

Im Fall von GMX und Web.de ist das Key-Backup als Opt-out während der Einrichtung geregelt. Nutzer werden also nach der Schlüsselgenerierung aufgefordert, eine Sicherungskopie auf dem Server der Anbieter zu hinterlassen, können sich aber dagegen entscheiden.

Fazit

Wie bereits beschrieben, ist die Guard-Technologie keine allgemein gültige Sicherheitslösung für alle Anwendungsszenarien. Für technisch sehr versierte Nutzer, die in der Lage sind, ihr eigenes System kompetent zu verwalten und abzusichern, dürfte der Einsatz lokal generierter PGP-Schlüssel in aller Regel kein großes Problem darstellen. Auch die Sicherheit der Endpunkte selbst dürfte bei dieser Nutzergruppe besser sein als bei durchschnittlichen Internetnutzern, an die sich Guard eben vor allem richtet.

Denkbar ist auch, eine zweigleisige Strategie zu fahren: Mit der Posteingangsverschlüsselung können alle Mails mit einem in Ox Guard hinterlegten Public-Key verschlüsselt und auch im Webinterface mit einem Online-Key entschlüsselt werden. Für besonders kritische Kommunikation kann mit einigen Kommunikationspartnern nach wie vor auf einen "Offline-PGP-Schlüssel" zurückgegriffen werden, der weiterhin nur auf einem vertrauten Gerät des Benutzers liegt.

Mailvelope hingegen ist vor allem ein Werkzeug für Nutzer, die die Einrichtung und die Schlüsselverwaltung traditioneller Mailclients umgehen wollen oder für die die Weboberfläche des eigenen Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm nicht auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte. Auf Grund der Schlüsselverwaltung im Browserspeicher bietet auch Mailvelope mehr Angriffspunkte als klassisches PGP.

 Ox Guard bietet serverseitiges PGP

eye home zur Startseite
ikhaya 12. Feb 2017

PGP verwendet eine Verschlüsselung mit öffentlichem und privatem Schlüssel. Den...

Moe479 08. Feb 2017

Jede Verschlüsselung die ich knacken kann ist praktisch keine Verschlüsselung für mich...

ralf.wenzel 31. Jan 2017

Ein Passwort für das Passwort für das Passwort.... Ralf



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  2. endica GmbH, Karlsruhe
  3. Zühlke Engineering GmbH, Eschborn bei Frankfurt am Main
  4. Wüstenrot & Württembergische AG, Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 18 EUR, TV-Serien reduziert, Box-Sets reduziert)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  2. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  3. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  4. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  5. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  6. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  7. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  8. SteamVR

    Valve zeigt Knuckles-Controller

  9. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  10. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Re: CCC verwechselt Internet mit Mobilfunknetz?

    DerDy | 12:34

  2. Re: So langsam wird es was werden mit den...

    bombinho | 12:33

  3. Re: Illegale Nachfrage nimmt ab

    Koto | 12:33

  4. Bitkom echt jetzt?

    Koto | 12:31

  5. Evolution schönt die Verkaufszahlen

    elitezocker | 12:30


  1. 12:14

  2. 11:43

  3. 10:51

  4. 09:01

  5. 17:40

  6. 16:22

  7. 15:30

  8. 14:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel