跳转到内容

Mailvelope

本页使用了标题或全文手工转换
维基百科,自由的百科全书
Mailvelope
正在撰写加密邮件
Mailvelope编辑器
开发者Mailvelope有限责任公司
首次发布2012年,​12年前​(2012
当前版本
  • 5.2.0 (2024年7月4日;稳定版本)[1]
编辑维基数据链接
源代码库
编辑维基数据链接
编程语言JavaScript
平台网络浏览器
类型浏览器扩展
许可协议GNU Affero通用公共许可证
网站www.mailvelope.com/ 编辑维基数据

Mailvelope是一款自由软件,用来将网页浏览器FirefoxChromiumEdge)内的电子邮件流量进行端到端加密,并集成到现有的网页邮件应用程序中。该软件可对电子邮件(包含电子邮件附件英语Email attachment)进行加密签署,如此即可不必使用采行OpenPGP标准的独立原生电子邮件客户端

软件名称是“mail”与“envelope”的混成词。该软件根据GNU Affero通用公共许可证第三版发布源代码。Mailvelope有限责任公司在位于GitHub上的公开源代码仓库开发。开放技术基金会Internews赞助该软件开发。[2]

类似的替代方案包含了Mymail-Crypt[3]与WebPG[4]

功能

Mailvelope为网页电子邮件应用程序提供了OpenPGP的功能。预先设置好包含对GmailYahoo! Mail、网页版Outlook等多个流行的网页电子邮件服务提供商的支持。[5][6] Roundcube网页电子邮件软件在2016年5月发布1.2版时就支持Mailvelope。[7]对Chromium/Google Chrome的用户来说,可以使用内置的扩展管理程序从Chrome应用商店等受信任的来源安装。[8]另外也以附加组件的形式提供Firefox使用。

Mailvelope是以JavaScript编写,并以OpenPGP标准执行,该标准是一种公开密钥加密系统,于1998年首次标准化。在默认或用户许可的网页上,它用其控制元素覆盖页面,这些控制元素透过周围的安全背景在视觉上与网络应用程序分开。可以自定义此背景以侦测假冒行为。[4]它使用OpenPGP.js函数库进行加密,OpenPGP.js是OpenPGP标准的自由JavaScript实现。透过在单独的内嵌框架中执行,其代码与网页应用程序分开执行,并防止其访问明文的邮件内容。[3]

Mailvelope透过与联合互联网合作开发的API进行集成,让网页电子邮件服务与Mailvelope组件间进行更深入的集成。因此,密钥对的设置与产生可以使用向导直接在网页电子邮件程序中完成。Mailvelope在浏览器中管理所有OpenPGP密钥。[9]从3.0版开始,Mailvelop也会侦测用户电脑中的GnuPG,让用户可以视需要使用原生应用程序管理密钥。[10]

历史与用途

Thomas Oberndörfer于2012年春季开始开发Mailvelope,并于8月24日发布了第一个公开版本。全球监控的曝光引发了人们对私人与商业电子邮件通信安全的质疑。当时使用OpenPGP加密电子邮件较为困难。此外,主流的网页电子邮件服务并不提供任何端到端加密功能。这让媒体多次提到Mailvelope作为前述问题的可能解决方案。[11][12][13]

Cure53的Mario Heiderich与Krzysztof Kotowicz对Mailvelope于2012到2013年间的Alpha版本进行了信息安全审计[8]Mailvelope据此改进了与网页应用程序及其数据结构的分离。2014年2月,同一个小组分析了Mailvelope所使用的OpenPGP.js函数库。[14]隔年4月发布的0.8.0采用了据此进行的修复,并新增电子签署邮件的功能。[15]

2015年4月,De-Mail英语De-Mail为其服务提供了基于Mailvelope的端到端加密选项(默认停用),但只能与行动TAN英语Transaction authentication number德国身份证结合使用。[16]2015年8月,Web.deGMX的电子邮件服务引入了对OpenPGP加密的支持,并将Mailvelope集成到其网页电子邮件应用程序中。根据该公司提供的信息,大约有三千万位用户可以选择以这种方式加密电子邮件。[17]

2015年的一项研究查看了Mailvelope作为现代OpenPGP客户端的可用性,并认为它不适合大众。[18]2016年的可用性分析认为它仍“值得改进”(“verbesserungswürdig”),并提到“令人困惑的措辞”(“irritierende Formulierungen”),以及对密钥真实性检查(用来阻止中间人攻击)的支持不足。[4]

作为BSI倡议的一部分,Mailvelope在2018至2019年间进行了许多强化。[19]整体而言,“简化了密钥管理,并改善软件安全性。”SEC Consult进行的安全审核发现的Mailvelope源代码以及所使用的OpenPGP.js函数库中的所有安全性漏洞均已修复。[20][21]BSI表示,该项目的其中一个目标是让网站营运商将来可以提供联系窗体,让用户可以安全地加密从用户的浏览器寄送给收件者的邮件。新密钥的导入将使用网络密钥目录(Web Key Directory)协议进行HTTPS加密。[20]

参考资料

  1. ^ Release 5.2.0. 2024年7月4日 [2024年7月23日]. 
  2. ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24]. 
  3. ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (德语) 
  4. ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299, S2CID 12246719, doi:10.1007/s11623-016-0599-5 (德语) 
  5. ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始内容存档于2016-09-26) (德语). 
  6. ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02]. 
  7. ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德语). 
  8. ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (德语) 
  9. ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24] (德语). 
  10. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语). 
  11. ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028 (美国英语). 
  12. ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英语). 
  13. ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24]. 
  14. ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de) (德语) 
  15. ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英语). 
  16. ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德语). 
  17. ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德语). 
  18. ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555可免费查阅 (德语) 
  19. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德语). 
  20. ^ 20.0 20.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24] (德语). 
  21. ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019. 

外部链接

维基共享资源上的相关多媒体资源:Mailvelope
检索自“https://zh.wikipedia.org/w/index.php?title=Mailvelope&oldid=83535526