Abo
  • Services:
Anzeige
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen.
Mit Ox Guard und Mailvelope lässt sich PGP auch im Browser nutzen. (Bild: Montage Martin Wolf/Golem.de)

PGP per Plugin: Mailvelope

Die bekannteste Alternative für PGP-verschlüsselte Mails im Webmailer ist das Plugin Mailvelope für Google Chrome und Mozilla Firefox. Mit Mailvelope können ebenfalls neue Schlüsselpaare erzeugt oder bereits vorhandene implementiert werden. Im Unterschied zur eben vorgestellten Lösung läuft Mailvelope aber komplett auf dem Rechner der Nutzer - jedenfalls in den meisten Fällen.

Mailvelope ver- und entschlüsselt E-Mails in den Webinterfaces verschiedener Mailprovider. Dabei fügt sich das Programm grundsätzlich in das Design der Anbieter ein, durch verschiedene Hintergründe bei verschlüsselten Mails wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt.

Anzeige

In Zusammenarbeit mit verschiedenen Mailanbietern hat Mailvelope bestimmte Webmaildienste für die Nutzung "vorkonfiguriert", wie es auf der Webseite heißt. Damit das Plugin richtig funktioniert, muss es den Seitenaufbau und andere Elemente eines Anbieters richtig verstehen. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com und Yahoo Mail für Mailvelope fertig konfiguriert.

Mailvelope kann für fast alle Dienste konfiguriert werden

Auch andere Dienste werben mit Mailvelope-Unterstützung, etwa Posteo. In einem kurzen Test funktionierte Mailvelope bei Posteo ohne Probleme. Auch Mailbox.org bietet auf Wunsch und als Alternative die Unterstützung verschlüsselter Mails mit Mailvelope an. Nach einer Auswahl von Mailvelope kann diese aber nicht mehr rückgängig gemacht werden.

Mailvelope speichert den Schlüssel der Nutzer auf der lokalen Festplatte. Dabei liegt eine Kopie des aktiven Schlüssels im "Local Storage" des Webbrowsers. Damit könnte die Information durch XSS-Angriffe kompromittiert werden [Analyse als PDF]. Hier sollten Nutzer, wenn nötig, zusätzliche Vorsichtsmaßnahmen ergreifen.

Schlüssel im Hintergrund synchronisieren

Um die Usability zu steigern, bietet Mailvelope an, den privaten Schlüssel der Nutzer auf mehrere Geräte zu synchronisieren. Dabei kann der Provider ein Backup des private Key durchführen, die Aktion muss jedoch vom Nutzer bestätigt werden. Um den Key abzusichern, wird zunächst ein 26-stelliger Zufallscode erzeugt und mit diesem Code der Key mit AES256 verschlüsselt, wie uns Thomas Oberndörfer, Entwickler von Mailvelope, mitteilt.

In diesem Backup ist nicht nur der Schlüssel selbst, sondern auch das vom Nutzer gewählte Passwort enthalten. Nutzer könnten sich also ein vergessenes Passwort wiederherstellen lassen. Diese Funktion sei jedoch nur über die Mailvelope-Client-API verfügbar, die zurzeit nur von GMX und Web.de genutzt werde, so Oberndörfer.

Im Fall von GMX und Web.de ist das Key-Backup als Opt-out während der Einrichtung geregelt. Nutzer werden also nach der Schlüsselgenerierung aufgefordert, eine Sicherungskopie auf dem Server der Anbieter zu hinterlassen, können sich aber dagegen entscheiden.

Fazit

Wie bereits beschrieben, ist die Guard-Technologie keine allgemein gültige Sicherheitslösung für alle Anwendungsszenarien. Für technisch sehr versierte Nutzer, die in der Lage sind, ihr eigenes System kompetent zu verwalten und abzusichern, dürfte der Einsatz lokal generierter PGP-Schlüssel in aller Regel kein großes Problem darstellen. Auch die Sicherheit der Endpunkte selbst dürfte bei dieser Nutzergruppe besser sein als bei durchschnittlichen Internetnutzern, an die sich Guard eben vor allem richtet.

Denkbar ist auch, eine zweigleisige Strategie zu fahren: Mit der Posteingangsverschlüsselung können alle Mails mit einem in Ox Guard hinterlegten Public-Key verschlüsselt und auch im Webinterface mit einem Online-Key entschlüsselt werden. Für besonders kritische Kommunikation kann mit einigen Kommunikationspartnern nach wie vor auf einen "Offline-PGP-Schlüssel" zurückgegriffen werden, der weiterhin nur auf einem vertrauten Gerät des Benutzers liegt.

Mailvelope hingegen ist vor allem ein Werkzeug für Nutzer, die die Einrichtung und die Schlüsselverwaltung traditioneller Mailclients umgehen wollen oder für die die Weboberfläche des eigenen Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm nicht auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte. Auf Grund der Schlüsselverwaltung im Browserspeicher bietet auch Mailvelope mehr Angriffspunkte als klassisches PGP.

 Ox Guard bietet serverseitiges PGP

eye home zur Startseite
ikhaya 12. Feb 2017

PGP verwendet eine Verschlüsselung mit öffentlichem und privatem Schlüssel. Den...

Moe479 08. Feb 2017

Jede Verschlüsselung die ich knacken kann ist praktisch keine Verschlüsselung für mich...

ralf.wenzel 31. Jan 2017

Ein Passwort für das Passwort für das Passwort.... Ralf



Anzeige

Stellenmarkt
  1. GWS Gesellschaft für Warenwirtschafts-Systeme mbH, Münster, Hamburg, Leonberg
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  3. Schaeffler Technologies AG & Co. KG, Erlangen
  4. Chrono24 GmbH, Karlsruhe


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. mit dem Gutscheincode PSUPERTECH

Folgen Sie uns
       


  1. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  2. PC

    Geld für Intel Inside wird stark gekürzt

  3. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  4. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  5. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  6. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  7. Lohn

    Streik bei Amazon an zwei Standorten

  8. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder

  9. FTTH/B

    EWE und Telekom investieren zwei Milliarden Euro in FTTH/B

  10. Honor 7X, Moto X4 und U11 Life im Test

    Drei gute Alternativen zu teuren Smartphones



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. IT-Sicherheit Neue Onlinehilfe für Anfänger
  2. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

  1. Re: 4K 30fps

    backdoor.trojan | 16:23

  2. Re: Golem Was soll das? Überschrift geht ja garnicht

    Elgareth | 16:22

  3. Re: Dragon Quest Builders

    Dwalinn | 16:21

  4. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    Askaaron | 16:20

  5. Re: In 1000 Jahren...

    Dwalinn | 16:19


  1. 16:00

  2. 15:29

  3. 15:16

  4. 14:50

  5. 14:25

  6. 14:08

  7. 13:33

  8. 12:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel