Mailvelope
Mailvelope是一款自由软件,用来端到端加密网页浏览器(Firefox、Chromium或Edge)内的电邮流量,并集成到现有的网页邮件应用程式中。此软件可对电邮(包含电邮附件)进行加密与签名,如此即可不必使用采行OpenPGP标准的独立原生电邮客户端。
开发者 | Mailvelope有限责任公司 |
---|---|
首次发布 | 2012年 |
当前版本 |
|
原始码库 | |
编程语言 | JavaScript |
平台 | 网络浏览器 |
类型 | 浏览器扩展 |
许可协议 | GNU Affero通用公共许可证 |
网站 | www |
此软件名称是“mail”与“envelope”的混成词。Mailvelope有限责任公司以GNU Affero通用公共许可证第三版将原始码发布到GitHub上。开放技术基金与Internews等机构赞助Mailvelope有限责任公司开发此软件。[2]
功能
Mailvelope将OpenPGP功能新增至网页电邮应用程式,默认支持Gmail、Yahoo! Mail、网页版Outlook等多个常用网页电邮服务提供商。[5][6]Roundcube网页电邮软件在2016年5月发布1.2版时就支持Mailvelope。[7]Google Chrome等基于Chromium的浏览器用户可以使用内建的扩展管理程序Chrome应用商店从受信任的来源安装,[8]Edge与Firefox也提供为Mailvelope而设的附加组件。[9]
Mailvelope以JavaScript编写,并根据1998年首次标准化的公钥密码学标准OpenPGP运作。在默认或用户许可的网页上,它用其控件覆盖页面,这些控件透过不同的背景设计在视觉上与电邮网络应用程式分开。可以自定义此背景以侦测假冒行为。[4]它使用OpenPGP.js函数库加密电邮,OpenPGP.js是OpenPGP标准的自由JavaScript实现。Mailvelope的代码在单独的框架中执行,与网页应用程式分开,如此Mailvelope就无法存取明文的邮件内容。[3]
Mailvelope透过与联合互联网合作开发的API集成到网页电邮服务中,因此可以直接在网页电邮程序中透过附加组件提供的向导产生与设置密钥对。Mailvelope在浏览器中管理所有OpenPGP密钥。[10]从3.0版开始,Mailvelop也会侦测用户电脑中的GnuPG,让用户可以视需要使用原生应用程式管理密钥。[11]
历史与用途
Thomas Oberndörfer于2012年春季开始开发Mailvelope,并于8月24日发布了第一个公开版本。全球监控的曝光引发了人们对私人与商业电邮通讯安全的质疑。当时使用OpenPGP加密电邮较为困难。此外,主流的网页电邮服务并不提供任何端到端加密功能。这让媒体多次提到Mailvelope作为前述问题的可能解决方案。[12][13][14]
Cure53的Mario Heiderich与Krzysztof Kotowicz对Mailvelope于2012到2013年间的Alpha版本进行了资讯安全审计。[8]Mailvelope据此改进了与网页应用程式及其数据结构的分离方式。2014年2月,同一个小组分析了Mailvelope所使用的OpenPGP.js函数库。[15]隔年4月发布的0.8.0修复了前述安全审计发现的问题,并新增电子签署邮件的功能。[16]
2015年4月,De-Mail提供了基于Mailvelope的端到端加密选项(但默认停用),但只能与行动TAN或德国身份证结合使用。[17]2015年8月,Web.de与GMX的电邮服务引入了对OpenPGP加密的支持,并将Mailvelope集成到它们的网页电邮应用程式中。根据该公司提供的资讯,大约有三千万位用户可以选择以这种方式加密电邮。[18]
2015年的一项研究查看了Mailvelope作为现代OpenPGP客户端的可用性,并认为它不适合大众。[19]2016年的可用性分析认为它仍“值得改进”(“verbesserungswürdig”),并提到“用语混乱”(“irritierende Formulierungen”)、沟通不良、没有良好的密码建议、不够突显发送加密电邮的按钮,以及对密钥真实性检查(用来阻止中间人攻击)的支持不足。[4]
作为BSI倡议的一部分,Mailvelope在2018至2019年间进行了许多强化。[20]整体而言,“简化了密钥管理,并改善软件安全性。”并已修复SEC Consult安全审核时发现的所有Mailvelope与OpenPGP.js安全性漏洞。[21][22]BSI表示,该项目的其中一个目标是让网站营运商将来可以提供联络窗体,让用户可以安全地加密从用户的浏览器寄送给收件者的邮件。新密钥的导入将使用网络密钥目录(Web Key Directory)协议进行HTTPS加密。[21]
参考资料
- ^ Release 6.0.0. 2024年11月8日 [2024年11月25日].
- ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24].
- ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu), [2024-07-24], (原始内容存档 (PDF)于2024-08-19) (德语)
- ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299 [2024-07-24], S2CID 12246719, doi:10.1007/s11623-016-0599-5, (原始内容存档于2024-04-20) (德语)
- ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始内容存档于2016-09-26) (德语).
- ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02]. (原始内容存档于2024-10-09).
- ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德语).
- ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de), [2024-07-24], (原始内容存档 (PDF)于2024-01-11) (德语)
- ^ Olivia Martin. Encrypting email with Mailvelope. Freedom of the Press Foundation. 2023-10-10 [2024-10-01].
- ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24]. (原始内容存档于2022-04-22) (德语).
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24]. (原始内容存档于2022-03-02) (德语).
- ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028. (原始内容存档于2021-12-22) (美国英语).
- ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英语).
- ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24]. (原始内容存档于2024-08-24).
- ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de), [2024-07-24], (原始内容存档 (PDF)于2020-11-30) (德语)
- ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英语).
- ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德语).
- ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德语).
- ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555 (德语)
- ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24]. (原始内容存档于2024-07-24) (德语).
- ^ 21.0 21.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24]. (原始内容存档于2022-12-23) (德语).
- ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019.