Mailvelope
Mailvelope是一款自由軟件,用來端到端加密網頁瀏覽器(Firefox、Chromium或Edge)內的電子郵件流量,並整合到現有的網頁郵件應用程式中。此軟件可對電子郵件(包含電子郵件附件)進行加密與簽名,如此即可不必使用採行OpenPGP標準的獨立原生電子郵件用戶端。
開發者 | Mailvelope有限責任公司 |
---|---|
首次釋出 | 2012年 |
目前版本 |
|
原始碼庫 | |
程式語言 | JavaScript |
平台 | 網絡瀏覽器 |
類型 | 瀏覽器擴充功能 |
特許條款 | GNU Affero通用公眾特許條款 |
網站 | www |
此軟件名稱是「mail」與「envelope」的混成詞。Mailvelope有限責任公司以GNU Affero通用公眾特許條款第三版將原始碼釋出到GitHub上。開放技術基金與Internews等機構贊助Mailvelope有限責任公司開發此軟件。[2]
功能
Mailvelope將OpenPGP功能新增至網頁電子郵件應用程式,預設支援Gmail、Yahoo! Mail、網頁版Outlook等多個常用網頁電子郵件服務提供商。[5][6]Roundcube網頁電子郵件軟件在2016年5月釋出1.2版時就支援Mailvelope。[7]Google Chrome等基於Chromium的瀏覽器用戶可以使用內建的擴充功能管理程式Chrome應用商店從受信任的來源安裝,[8]Edge與Firefox也提供為Mailvelope而設的附加元件。[9]
Mailvelope以JavaScript編寫,並根據1998年首次標準化的公鑰密碼學標準OpenPGP運作。在預設或用戶特許的網頁上,它用其控制項覆蓋頁面,這些控制項透過不同的背景設計在視覺上與電子郵件網絡應用程式分開。可以自訂此背景以偵測假冒行為。[4]它使用OpenPGP.js函式庫加密電子郵件,OpenPGP.js是OpenPGP標準的自由JavaScript實作。Mailvelope的程式碼在單獨的框架中執行,與網頁應用程式分開,如此Mailvelope就無法存取明文的郵件內容。[3]
Mailvelope透過與聯合互聯網合作開發的API整合到網頁電子郵件服務中,因此可以直接在網頁電子郵件程式中透過附加元件提供的精靈產生與設置金鑰對。Mailvelope在瀏覽器中管理所有OpenPGP金鑰。[10]從3.0版開始,Mailvelop也會偵測用戶電腦中的GnuPG,讓用戶可以視需要使用原生應用程式管理金鑰。[11]
歷史與用途
Thomas Oberndörfer於2012年春季開始開發Mailvelope,並於8月24日釋出了第一個公開版本。全球監控的曝光引發了人們對私人與商業電子郵件通訊安全的質疑。當時使用OpenPGP加密電子郵件較為困難。此外,主流的網頁電子郵件服務並不提供任何端到端加密功能。這讓媒體多次提到Mailvelope作為前述問題的可能解決方案。[12][13][14]
Cure53的Mario Heiderich與Krzysztof Kotowicz對Mailvelope於2012到2013年間的Alpha版本進行了資訊保安審計。[8]Mailvelope據此改進了與網頁應用程式及其資料結構的分離方式。2014年2月,同一個小組分析了Mailvelope所使用的OpenPGP.js函式庫。[15]隔年4月釋出的0.8.0修復了前述安全審計發現的問題,並新增電子簽署郵件的功能。[16]
2015年4月,De-Mail提供了基於Mailvelope的端到端加密選項(但預設停用),但只能與行動TAN或德國身份證結合使用。[17]2015年8月,Web.de與GMX的電子郵件服務引入了對OpenPGP加密的支援,並將Mailvelope整合到它們的網頁電子郵件應用程式中。根據該公司提供的資訊,大約有三千萬位用戶可以選擇以這種方式加密電子郵件。[18]
2015年的一項研究檢視了Mailvelope作為現代OpenPGP客戶端的可用性,並認為它不適合大眾。[19]2016年的可用性分析認為它仍「值得改進」(「verbesserungswürdig」),並提到「用語混亂」(「irritierende Formulierungen」)、溝通不良、沒有良好的密碼建議、不夠突顯傳送加密電子郵件的按鈕,以及對金鑰真實性檢查(用來阻止中間人攻擊)的支援不足。[4]
作為BSI倡議的一部份,Mailvelope在2018至2019年間進行了許多強化。[20]整體而言,「簡化了金鑰管理,並改善軟件安全性。」並已修復SEC Consult安全稽核時發現的所有Mailvelope與OpenPGP.js安全性漏洞。[21][22]BSI表示,該專案的其中一個目標是讓網站營運商將來可以提供聯絡表單,讓用戶可以安全地加密從用戶的瀏覽器寄送給收件者的郵件。新金鑰的匯入將使用網絡金鑰目錄(Web Key Directory)協定進行HTTPS加密。[21]
參考資料
- ^ Release 5.2.0. 2024年7月4日 [2024年7月23日].
- ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24].
- ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (德語)
- ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299, S2CID 12246719, doi:10.1007/s11623-016-0599-5 (德語)
- ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始內容存檔於2016-09-26) (德語).
- ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02].
- ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德語).
- ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (德語)
- ^ Olivia Martin. Encrypting email with Mailvelope. Freedom of the Press Foundation. 2023-10-10 [2024-10-01].
- ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24] (德語).
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德語).
- ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028 (美國英語).
- ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英語).
- ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24].
- ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de) (德語)
- ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英語).
- ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德語).
- ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德語).
- ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555 (德語)
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德語).
- ^ 21.0 21.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24] (德語).
- ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019.