Mailvelope

在網頁電子郵件服務中進行OpenPGP加密的瀏覽器附加元件

Mailvelope是一款自由软件,用来端到端加密网页浏览器FirefoxChromiumEdge)内的电子邮件流量,并集成到现有的网页邮件应用程序中。此软件可对电子邮件(包含电子邮件附件英语Email attachment)进行加密签名,如此即可不必使用采行OpenPGP标准的独立原生电子邮件客户端

Mailvelope
使用Mailvelope编辑器撰写加密邮件
Mailvelope编辑器
开发者Mailvelope有限责任公司
首次发布2012年,​12年前​(2012
当前版本
  • 5.2.0(2024年7月4日;稳定版本)[1]
编辑维基数据链接
源代码库 编辑维基数据链接
编程语言JavaScript
平台网络浏览器
类型浏览器扩展
许可协议GNU Affero通用公共许可证
网站www.mailvelope.com/ 编辑维基数据

此软件名称是“mail”与“envelope”的混成词。Mailvelope有限责任公司以GNU Affero通用公共许可证第三版将源代码发布到GitHub上。开放技术基金与Internews等机构赞助Mailvelope有限责任公司开发此软件。[2]

类似的替代方案有Mymail-Crypt[3]与WebPG[4]

功能

Mailvelope将OpenPGP功能新增至网页电子邮件应用程序,默认支持GmailYahoo! Mail网页版Outlook等多个常用网页电子邮件服务提供商。[5][6]Roundcube网页电子邮件软件在2016年5月发布1.2版时就支持Mailvelope。[7]Google Chrome等基于Chromium的浏览器用户可以使用内置的扩展管理程序Chrome应用商店从受信任的来源安装,[8]Edge与Firefox也提供为Mailvelope而设的附加组件。[9]

Mailvelope以JavaScript编写,并根据1998年首次标准化的公钥密码学标准OpenPGP运作。在默认或用户许可的网页上,它用其控件覆盖页面,这些控件透过不同的背景设计在视觉上与电子邮件网络应用程序分开。可以自定义此背景以侦测假冒行为。[4]它使用OpenPGP.js函数库加密电子邮件,OpenPGP.js是OpenPGP标准的自由JavaScript实现。Mailvelope的代码在单独的框架中执行,与网页应用程序分开,如此Mailvelope就无法访问明文的邮件内容。[3]

Mailvelope透过与联合互联网合作开发的API集成到网页电子邮件服务中,因此可以直接在网页电子邮件程序中透过附加组件提供的向导产生与设置密钥对。Mailvelope在浏览器中管理所有OpenPGP密钥。[10]从3.0版开始,Mailvelop也会侦测用户电脑中的GnuPG,让用户可以视需要使用原生应用程序管理密钥。[11]

历史与用途

Thomas Oberndörfer于2012年春季开始开发Mailvelope,并于8月24日发布了第一个公开版本。全球监控的曝光引发了人们对私人与商业电子邮件通信安全的质疑。当时使用OpenPGP加密电子邮件较为困难。此外,主流的网页电子邮件服务并不提供任何端到端加密功能。这让媒体多次提到Mailvelope作为前述问题的可能解决方案。[12][13][14]

Cure53的Mario Heiderich与Krzysztof Kotowicz对Mailvelope于2012到2013年间的Alpha版本进行了信息安全审计[8]Mailvelope据此改进了与网页应用程序及其数据结构的分离方式。2014年2月,同一个小组分析了Mailvelope所使用的OpenPGP.js函数库。[15]隔年4月发布的0.8.0修复了前述安全审计发现的问题,并新增电子签署邮件的功能。[16]

2015年4月,De-Mail英语De-Mail提供了基于Mailvelope的端到端加密选项(但默认停用),但只能与行动TAN英语Transaction authentication number德国身份证结合使用。[17]2015年8月,Web.deGMX的电子邮件服务引入了对OpenPGP加密的支持,并将Mailvelope集成到它们的网页电子邮件应用程序中。根据该公司提供的信息,大约有三千万位用户可以选择以这种方式加密电子邮件。[18]

2015年的一项研究查看了Mailvelope作为现代OpenPGP客户端的可用性,并认为它不适合大众。[19]2016年的可用性分析认为它仍“值得改进”(“verbesserungswürdig”),并提到“用语混乱”(“irritierende Formulierungen”)、沟通不良、没有良好的密码建议、不够突显发送加密电子邮件的按钮,以及对密钥真实性检查(用来阻止中间人攻击)的支持不足。[4]

作为BSI倡议的一部分,Mailvelope在2018至2019年间进行了许多强化。[20]整体而言,“简化了密钥管理,并改善软件安全性。”并已修复SEC Consult安全审核时发现的所有Mailvelope与OpenPGP.js安全性漏洞。[21][22]BSI表示,该项目的其中一个目标是让网站营运商将来可以提供联系窗体,让用户可以安全地加密从用户的浏览器寄送给收件者的邮件。新密钥的导入将使用网络密钥目录(Web Key Directory)协议进行HTTPS加密。[21]

参考资料

  1. ^ Release 5.2.0. 2024年7月4日 [2024年7月23日]. 
  2. ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24]. 
  3. ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (德语) 
  4. ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299, S2CID 12246719, doi:10.1007/s11623-016-0599-5 (德语) 
  5. ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始内容存档于2016-09-26) (德语). 
  6. ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02]. 
  7. ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德语). 
  8. ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (德语) 
  9. ^ Olivia Martin. Encrypting email with Mailvelope. Freedom of the Press Foundation. 2023-10-10 [2024-10-01]. 
  10. ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24] (德语). 
  11. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语). 
  12. ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028 (美国英语). 
  13. ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英语). 
  14. ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24]. 
  15. ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de) (德语) 
  16. ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英语). 
  17. ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德语). 
  18. ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德语). 
  19. ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555  (德语) 
  20. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语). 
  21. ^ 21.0 21.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24] (德语). 
  22. ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019. 

外部链接