Mailvelope
Mailvelope是一款自由软件,用來端到端加密网页浏览器(Firefox、Chromium或Edge)內的电子邮件流量,並整合到現有的網頁郵件應用程式中。此軟體可對電子郵件(包含電子郵件附件)進行加密與簽名,如此即可不必使用採行OpenPGP標準的獨立原生電子郵件用戶端。
開發者 | Mailvelope有限責任公司 |
---|---|
首次发布 | 2012年 |
当前版本 |
|
源代码库 | |
编程语言 | JavaScript |
平台 | 網路瀏覽器 |
类型 | 瀏覽器擴充功能 |
许可协议 | GNU Affero通用公共许可证 |
网站 | www |
此軟體名稱是「mail」與「envelope」的混成詞。Mailvelope有限責任公司以GNU Affero通用公共许可证第三版將原始碼釋出到GitHub上。開放技術基金與Internews等機構贊助Mailvelope有限責任公司開發此軟體。[2]
功能
Mailvelope將OpenPGP功能新增至網頁電子郵件應用程式,默认支持Gmail、Yahoo! Mail、網頁版Outlook等多個常用網頁電子郵件服務提供商。[5][6]Roundcube網頁電子郵件軟體在2016年5月釋出1.2版時就支援Mailvelope。[7]Google Chrome等基于Chromium的浏览器使用者可以使用內建的擴充功能管理程式Chrome应用商店從受信任的來源安裝,[8]Edge與Firefox也提供為Mailvelope而設的附加元件。[9]
Mailvelope以JavaScript編寫,並根據1998年首次標準化的公钥密码学标准OpenPGP運作。在預設或使用者授權的網頁上,它用其控制項覆蓋頁面,這些控制項透過不同的背景設計在視覺上與電子郵件網路應用程式分開。可以自訂此背景以偵測假冒行為。[4]它使用OpenPGP.js函式庫加密電子郵件,OpenPGP.js是OpenPGP標準的自由JavaScript實作。Mailvelope的程式碼在單獨的框架中執行,與網頁應用程式分開,如此Mailvelope就無法存取明文的郵件內容。[3]
Mailvelope透過與联合互联网合作開發的API整合到網頁電子郵件服務中,因此可以直接在網頁電子郵件程式中透過附加元件提供的精靈產生與設定金鑰對。Mailvelope在瀏覽器中管理所有OpenPGP金鑰。[10]從3.0版開始,Mailvelop也會偵測使用者電腦中的GnuPG,讓使用者可以視需要使用原生應用程式管理金鑰。[11]
歷史與用途
Thomas Oberndörfer於2012年春季開始開發Mailvelope,並於8月24日釋出了第一個公開版本。全球監控的曝光引發了人們對私人與商業電子郵件通訊安全的質疑。當時使用OpenPGP加密電子郵件較為困難。此外,主流的網頁電子郵件服務並不提供任何端到端加密功能。這讓媒體多次提到Mailvelope作為前述問題的可能解決方案。[12][13][14]
Cure53的Mario Heiderich與Krzysztof Kotowicz對Mailvelope於2012到2013年間的Alpha版本進行了信息安全审计。[8]Mailvelope據此改進了與網頁應用程式及其資料結構的分離方式。2014年2月,同一個小組分析了Mailvelope所使用的OpenPGP.js函式庫。[15]隔年4月釋出的0.8.0修復了前述安全审计發現的問題,並新增電子簽署郵件的功能。[16]
2015年4月,De-Mail提供了基於Mailvelope的端到端加密選項(但預設停用),但只能與行動TAN或德國身分證結合使用。[17]2015年8月,Web.de與GMX的電子郵件服務引入了對OpenPGP加密的支援,並將Mailvelope整合到它們的網頁電子郵件應用程式中。根據該公司提供的資訊,大約有三千萬位使用者可以選擇以這種方式加密電子郵件。[18]
2015年的一項研究檢視了Mailvelope作為現代OpenPGP客戶端的可用性,並認為它不適合大眾。[19]2016年的可用性分析認為它仍「值得改進」(「verbesserungswürdig」),並提到「用語混亂」(「irritierende Formulierungen」)、溝通不良、沒有良好的密碼建議、不夠突顯傳送加密電子郵件的按鈕,以及對金鑰真實性檢查(用來阻止中间人攻击)的支援不足。[4]
作為BSI倡議的一部份,Mailvelope在2018至2019年間進行了許多強化。[20]整體而言,「簡化了金鑰管理,並改善軟體安全性。」並已修復SEC Consult安全稽核時發現的所有Mailvelope與OpenPGP.js安全性漏洞。[21][22]BSI表示,該專案的其中一個目標是讓網站營運商將來可以提供聯絡表單,讓使用者可以安全地加密從使用者的瀏覽器寄送給收件者的郵件。新金鑰的匯入將使用網路金鑰目錄(Web Key Directory)協定進行HTTPS加密。[21]
參考資料
- ^ Release 6.0.0. 2024年11月8日 [2024年11月25日].
- ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24].
- ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu), [2024-07-24], (原始内容存档 (PDF)于2024-08-19) (德语)
- ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299 [2024-07-24], S2CID 12246719, doi:10.1007/s11623-016-0599-5, (原始内容存档于2024-04-20) (德语)
- ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始内容存档于2016-09-26) (德语).
- ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02]. (原始内容存档于2024-10-09).
- ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德语).
- ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de), [2024-07-24], (原始内容存档 (PDF)于2024-01-11) (德语)
- ^ Olivia Martin. Encrypting email with Mailvelope. Freedom of the Press Foundation. 2023-10-10 [2024-10-01].
- ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24]. (原始内容存档于2022-04-22) (德语).
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24]. (原始内容存档于2022-03-02) (德语).
- ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028. (原始内容存档于2021-12-22) (美国英语).
- ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英语).
- ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24]. (原始内容存档于2024-08-24).
- ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de), [2024-07-24], (原始内容存档 (PDF)于2020-11-30) (德语)
- ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英语).
- ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德语).
- ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德语).
- ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555 (德语)
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24]. (原始内容存档于2024-07-24) (德语).
- ^ 21.0 21.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24]. (原始内容存档于2022-12-23) (德语).
- ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019.