Mailvelope erweitert die Benutzeroberfläche von Webmail-Seiten um Bedienelemente, die für die Ver- und Entschlüsselung von E-Mails verwendet werden können.

Wäre doch schön, man könnte mal eben unterwegs eine PGP-verschlüsselte Mail checken. Das geht meist nur, wenn man sein eigenes Mailprogramm dabei hat oder seinem Smartphone den privaten PGP-Schlüssel anvertrauen möchte. Mailvelope erlaubt die Nutzung komfortabler Webinterfaces wie GMX oder T-Online und trotzdem alle Mails verschlüsselt zu verwalten.

Abhängig vom Webmail-Anbieter ist Mailvelope in zwei Ebenen integriert. Anbieter wie GMX, Posteo oder Web.de bieten eine tiefe Integration mit Mailvelope. Die Komponenten von Mailvelope sind direkt in die Benutzeroberfläche des Webmail Service integriert. Für alle anderen Webmail-Anbieter (z.B. Gmail, Outlook.com, Yahoo etc.) bietet Mailvelope einfache Komponenten an, die direkt in die Webmail Benutzeroberfläche eingebettet werden und den Service um die PGP Funktionalität erweitern.

Schnell installiert als Plug-in in Chrome und Firefox

In Google Chrome kann man einfach Mailvelope im Chrome App Store installieren, wie mit allen anderen Plug-ins auch. In Firefox installiert man das Plug-in Mailvelope ebenfalls als Add-on in.

Nach der Installation wird ein Schloss-Symbol in der Hauptsymbolleiste des Browsers rechts neben der Adressleiste angezeigt. Ein Klick darauf öffnet das Mailvelope-Hauptmenü. Jetzt kommt der Hauptteil der Arbeit.

Öffentliche und private Schlüssel – der feine Unterschied

OpenPGP und damit auch Mailvelope nutzen die asymmetrische Verschlüsselung, bei der ein Schlüssel in zwei Teile unterteilt wird, einen öffentlichen und einen privaten Schlüssel.

Der öffentliche Schlüssel wird zur Verschlüsselung einer Nachricht verwendet. Er sollte für jedermann verfügbar sein. Der private Schlüssel – wird zur Entschlüsselung einer Nachricht verwendet. Er muss sicher gespeichert und der Zugriff durch Passwörter geschützt werden.

Das Schlüsselpaar kann am sichersten mit GnuPG oder bequemer mit gpg4win erstellt werden. Wie das geht, beschreibe ich in dem betreffenden Beitrag.

Schlüssel in Mailvelope erstellen

Wenn Sie Mailvelope nutzen möchten, muss mindestens ein eigenes Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel, vorhanden sein. Sie können entweder ein neues Schlüsselpaar erstellen oder ein bestehendes Schlüsselpaar importieren.

Klicken Sie auf Schlüssel erstellen, um das Eingabefenster für die Schlüsselerstellung zu öffnen. Füllen Sie die Felder aus und vergeben Sie ein Schlüsselkennwort. Beachten Sie dabei, dass dieses Kennwort auf keinen Fall verloren gehen darf. Das Passwort kann im Verlustfall nicht wiederhergestellt werden, der Schlüssel kann dann nicht mehr genutzt werden.

Sie können aber auch einen Schlüssel importieren, den Sie z. B. im gpg4win erstellt haben. Klicken Sie dazu im Optionsmenü auf Schlüsselverwaltung, dann auf Schlüssel importieren. Über diese Funktion können Sie eine Datei mit Schlüsseln auf Ihrer Festplatte auswählen und in Mailvelope importieren.

Durch Eingabe einer e-mail-Adresse oder eines Namens können Sie auch auf öffentlichen Schlüsselservern nach PGP Schlüsseln suchen. Wird Mailvelope fündig, werden die Suchergebnisse in einem neuen Tab auf der Seite des Key Servers angezeigt. Dies gilt natürlich nur für die öffentlichnen Schlüssel der Kommunikationspartner.

Schlüsselaustausch – so wird es sicher

Um verschlüsselte E-Mails versenden zu können, müssen Sie den öffentlichen Schlüssel des Empfängers kennen. Bevor also eine sichere Kommunikation zwischen zwei Parteien aufgebaut werden kann, müssen diese ihre öffentlichen Schlüssel austauschen.

Öffentliche Schlüssel können auf verschiedenen Wegen verbreitet werden. Am Einfachsten ist es, den Schlüssel einfach an jede eigene E-Mail automatisch anhängen zu lassen. Damit sorgt man für die maximale Verbreitung. Man kann aber auch den Schlüssels auf einer Website veröffentlichen, auf die jedermann Zugriff hat oder in einem öffentlichen Verzeichnis, einem sogenannten Schlüsselserver, ablegen.

Mailvelope hat aber auch ein Problem: Es speichert den privaten Schlüssel der Nutzer auf der lokalen Festplatte. Soweit so gut, aber dabei legt das Programm eine Kopie des aktiven Schlüssels im “Local Storage” des Webbrowsers. Damit kann der Schlüssel durch XSS-Angriffe kompromittiert werden.

Eine Funktion, verschiedene Oberflächen

Das Programm basiert auf OpenPGP.js und ist in Javascript entwickelt. Damit läßt es sich an die Weboberflächen der jeweiligen Mailprovider anpaßen. Dabei fügt sich das Programm in die Gestaltung der Anbieter ein.

Durch einen angepaßten Hintergrund wird den Nutzern aber mitgeteilt, dass sie in einem sicheren Kontext arbeiten. Nach Angaben auf der Webseite sind die Dienste GMX, Web.de, DE-Mail, Gmail, Outlook.com, Yahoo Mail, Posteo und Mailbox.org für Mailvelope fertig konfiguriert.

Fazit

Mailvelope ist vor allem ein Werkzeug für Nutzer, die entweder lokale Mailclients meiden oder für die die Weboberfläche des Mailanbieters die komfortabelste Arbeitsumgebung ist. Für einen sicheren Zugriff auf Mails eignet sich Mailvelope hingegen nur begrenzt, da das Programm auf keinen Fall auf unvertrauten Rechnern zum Beispiel in Internetcafés eingesetzt werden sollte.

 

  • Pro: Einfache Benutzung, viele große Mailanbieter
  • Contra: Eine Kopie des aktiven Schlüssels im “Local Storage” des Webbrowsers

 

Link: