Mailvelope
Mailvelope是一款自由软件,用来端到端加密网页浏览器(Firefox、Chromium或Edge)内的电子邮件流量,并整合到现有的网页邮件应用程式中。此软体可对电子邮件(包含电子邮件附件)进行加密与签名,如此即可不必使用采行OpenPGP标准的独立原生电子邮件用户端。
开发者 | Mailvelope有限责任公司 |
---|---|
首次发布 | 2012年 |
当前版本 |
|
源代码库 | |
编程语言 | JavaScript |
平台 | 网路浏览器 |
类型 | 浏览器扩充功能 |
许可协议 | GNU Affero通用公共许可证 |
网站 | www |
此软体名称是“mail”与“envelope”的混成词。Mailvelope有限责任公司以GNU Affero通用公共许可证第三版将原始码释出到GitHub上。开放技术基金与Internews等机构赞助Mailvelope有限责任公司开发此软体。[2]
功能
Mailvelope将OpenPGP功能新增至网页电子邮件应用程式,默认支持Gmail、Yahoo! Mail、网页版Outlook等多个常用网页电子邮件服务提供商。[5][6]Roundcube网页电子邮件软体在2016年5月释出1.2版时就支援Mailvelope。[7]Google Chrome等基于Chromium的浏览器使用者可以使用内建的扩充功能管理程式Chrome应用商店从受信任的来源安装,[8]Edge与Firefox也提供为Mailvelope而设的附加元件。[9]
Mailvelope以JavaScript编写,并根据1998年首次标准化的公钥密码学标准OpenPGP运作。在预设或使用者授权的网页上,它用其控制项覆盖页面,这些控制项透过不同的背景设计在视觉上与电子邮件网路应用程式分开。可以自订此背景以侦测假冒行为。[4]它使用OpenPGP.js函式库加密电子邮件,OpenPGP.js是OpenPGP标准的自由JavaScript实作。Mailvelope的程式码在单独的框架中执行,与网页应用程式分开,如此Mailvelope就无法存取明文的邮件内容。[3]
Mailvelope透过与联合互联网合作开发的API整合到网页电子邮件服务中,因此可以直接在网页电子邮件程式中透过附加元件提供的精灵产生与设定金钥对。Mailvelope在浏览器中管理所有OpenPGP金钥。[10]从3.0版开始,Mailvelop也会侦测使用者电脑中的GnuPG,让使用者可以视需要使用原生应用程式管理金钥。[11]
历史与用途
Thomas Oberndörfer于2012年春季开始开发Mailvelope,并于8月24日释出了第一个公开版本。全球监控的曝光引发了人们对私人与商业电子邮件通讯安全的质疑。当时使用OpenPGP加密电子邮件较为困难。此外,主流的网页电子邮件服务并不提供任何端到端加密功能。这让媒体多次提到Mailvelope作为前述问题的可能解决方案。[12][13][14]
Cure53的Mario Heiderich与Krzysztof Kotowicz对Mailvelope于2012到2013年间的Alpha版本进行了信息安全审计。[8]Mailvelope据此改进了与网页应用程式及其资料结构的分离方式。2014年2月,同一个小组分析了Mailvelope所使用的OpenPGP.js函式库。[15]隔年4月释出的0.8.0修复了前述安全审计发现的问题,并新增电子签署邮件的功能。[16]
2015年4月,De-Mail提供了基于Mailvelope的端到端加密选项(但预设停用),但只能与行动TAN或德国身分证结合使用。[17]2015年8月,Web.de与GMX的电子邮件服务引入了对OpenPGP加密的支援,并将Mailvelope整合到它们的网页电子邮件应用程式中。根据该公司提供的资讯,大约有三千万位使用者可以选择以这种方式加密电子邮件。[18]
2015年的一项研究检视了Mailvelope作为现代OpenPGP客户端的可用性,并认为它不适合大众。[19]2016年的可用性分析认为它仍“值得改进”(“verbesserungswürdig”),并提到“用语混乱”(“irritierende Formulierungen”)、沟通不良、没有良好的密码建议、不够突显传送加密电子邮件的按钮,以及对金钥真实性检查(用来阻止中间人攻击)的支援不足。[4]
作为BSI倡议的一部份,Mailvelope在2018至2019年间进行了许多强化。[20]整体而言,“简化了金钥管理,并改善软体安全性。”并已修复SEC Consult安全稽核时发现的所有Mailvelope与OpenPGP.js安全性漏洞。[21][22]BSI表示,该专案的其中一个目标是让网站营运商将来可以提供联络表单,让使用者可以安全地加密从使用者的浏览器寄送给收件者的邮件。新金钥的汇入将使用网路金钥目录(Web Key Directory)协定进行HTTPS加密。[21]
参考资料
- ^ Release 5.2.0. 2024年7月4日 [2024年7月23日].
- ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24].
- ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (德语)
- ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299, S2CID 12246719, doi:10.1007/s11623-016-0599-5 (德语)
- ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始内容存档于2016-09-26) (德语).
- ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02].
- ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德语).
- ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (德语)
- ^ Olivia Martin. Encrypting email with Mailvelope. Freedom of the Press Foundation. 2023-10-10 [2024-10-01].
- ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24] (德语).
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语).
- ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028 (美国英语).
- ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英语).
- ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24].
- ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de) (德语)
- ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英语).
- ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德语).
- ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德语).
- ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555 (德语)
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语).
- ^ 21.0 21.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24] (德语).
- ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019.