跳至內容

Mailvelope

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書
Mailvelope
正在撰寫加密郵件
Mailvelope編輯器
開發者Mailvelope有限責任公司
首次釋出2012年,​12年前​(2012
目前版本
  • 5.2.0 (2024年7月4日;穩定版本)[1]
編輯維基數據連結
原始碼庫
編輯維基數據連結
程式語言JavaScript
平台網絡瀏覽器
類型瀏覽器擴充功能
特許條款GNU Affero通用公眾特許條款
網站www.mailvelope.com/ 編輯維基數據

Mailvelope是一款自由軟件,用來將網頁瀏覽器FirefoxChromiumEdge)內的電子郵件流量進行端到端加密,並整合到現有的網頁郵件應用程式中。該軟件可對電子郵件(包含電子郵件附件英語Email attachment)進行加密簽署,如此即可不必使用採行OpenPGP標準的獨立原生電子郵件用戶端

軟件名稱是「mail」與「envelope」的混成詞。該軟件根據GNU Affero通用公眾特許條款第三版發佈原始碼。Mailvelope有限責任公司在位於GitHub上的公開原始碼倉庫開發。開放技術基金會Internews贊助該軟件開發。[2]

類似的替代方案包含了Mymail-Crypt[3]與WebPG[4]

功能

Mailvelope為網頁電子郵件應用程式提供了OpenPGP的功能。預先設置好包含對GmailYahoo! Mail、網頁版Outlook等多個流行的網頁電子郵件服務提供商的支援。[5][6] Roundcube網頁電子郵件軟件在2016年5月釋出1.2版時就支援Mailvelope。[7]對Chromium/Google Chrome的用戶來說,可以使用內建的擴充功能管理程式從Chrome應用商店等受信任的來源安裝。[8]另外也以附加元件的形式提供Firefox使用。

Mailvelope是以JavaScript編寫,並以OpenPGP標準執行,該標準是一種公開金鑰加密系統,於1998年首次標準化。在預設或用戶特許的網頁上,它用其控制元素覆蓋頁面,這些控制元素透過周圍的安全背景在視覺上與網絡應用程式分開。可以自訂此背景以偵測假冒行為。[4]它使用OpenPGP.js函式庫進行加密,OpenPGP.js是OpenPGP標準的自由JavaScript實作。透過在單獨的內嵌框架中執行,其程式碼與網頁應用程式分開執行,並防止其存取明文的郵件內容。[3]

Mailvelope透過與聯合互聯網合作開發的API進行整合,讓網頁電子郵件服務與Mailvelope元件間進行更深入的整合。因此,金鑰對的設置與產生可以使用精靈直接在網頁電子郵件程式中完成。Mailvelope在瀏覽器中管理所有OpenPGP金鑰。[9]從3.0版開始,Mailvelop也會偵測用戶電腦中的GnuPG,讓用戶可以視需要使用原生應用程式管理金鑰。[10]

歷史與用途

Thomas Oberndörfer於2012年春季開始開發Mailvelope,並於8月24日釋出了第一個公開版本。全球監控的曝光引發了人們對私人與商業電子郵件通訊安全的質疑。當時使用OpenPGP加密電子郵件較為困難。此外,主流的網頁電子郵件服務並不提供任何端到端加密功能。這讓媒體多次提到Mailvelope作為前述問題的可能解決方案。[11][12][13]

Cure53的Mario Heiderich與Krzysztof Kotowicz對Mailvelope於2012到2013年間的Alpha版本進行了資訊保安審計[8]Mailvelope據此改進了與網頁應用程式及其資料結構的分離。2014年2月,同一個小組分析了Mailvelope所使用的OpenPGP.js函式庫。[14]隔年4月釋出的0.8.0採用了據此進行的修復,並新增電子簽署郵件的功能。[15]

2015年4月,De-Mail英語De-Mail為其服務提供了基於Mailvelope的端到端加密選項(預設停用),但只能與行動TAN英語Transaction authentication number德國身份證結合使用。[16]2015年8月,Web.deGMX的電子郵件服務引入了對OpenPGP加密的支援,並將Mailvelope整合到其網頁電子郵件應用程式中。根據該公司提供的資訊,大約有三千萬位用戶可以選擇以這種方式加密電子郵件。[17]

2015年的一項研究檢視了Mailvelope作為現代OpenPGP客戶端的可用性,並認為它不適合大眾。[18]2016年的可用性分析認為它仍「值得改進」(「verbesserungswürdig」),並提到「令人困惑的措辭」(「irritierende Formulierungen」),以及對金鑰真實性檢查(用來阻止中間人攻擊)的支援不足。[4]

作為BSI倡議的一部份,Mailvelope在2018至2019年間進行了許多強化。[19]整體而言,「簡化了金鑰管理,並改善軟件安全性。」SEC Consult進行的安全稽核發現的Mailvelope原始碼以及所使用的OpenPGP.js函式庫中的所有安全性漏洞均已修復。[20][21]BSI表示,該專案的其中一個目標是讓網站營運商將來可以提供聯絡表單,讓用戶可以安全地加密從用戶的瀏覽器寄送給收件者的郵件。新金鑰的匯入將使用網絡金鑰目錄(Web Key Directory)協定進行HTTPS加密。[20]

參考資料

  1. ^ Release 5.2.0. 2024年7月4日 [2024年7月23日]. 
  2. ^ Mailvelope: PGP for Gmail & Webmail. mailvelope.com. [2024-07-24]. 
  3. ^ 3.0 3.1 Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (德語) 
  4. ^ 4.0 4.1 4.2 Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer, Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung, Datenschutz und Datensicherheit 40 (5) (Wiesbaden: Springer Fachmedien), 2016, 40 (5): 295–299, S2CID 12246719, doi:10.1007/s11623-016-0599-5 (德語) 
  5. ^ Mailvelope. Right to Hide. Hungarian Civil Liberties Union (HCLU). [2024-07-24]. (原始內容存檔於2016-09-26) (德語). 
  6. ^ FAQ | Mailvelope. mailvelope.com. [2022-03-02]. 
  7. ^ PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht. Golem.de. [2024-07-24] (德語). 
  8. ^ 8.0 8.1 Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (德語) 
  9. ^ Bleich, Axel Kossel. GMX und Web.de integrieren PGP in ihre Mail-Dienste. C't. Vol. 2015 no. 19. 21 August 2015: 40 [2024-07-24] (德語). 
  10. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德語). 
  11. ^ Finley, Klint. Google's Revamped Gmail Could Take Encryption Mainstream. Wired. [2024-07-24]. ISSN 1059-1028 (美國英語). 
  12. ^ Tufnell, Nicholas. 21 tips, tricks and shortcuts to help you stay anonymous online. the Guardian. 2015-03-06 [2024-07-24] (英語). 
  13. ^ Russon, Mary-Ann. How to encrypt your emails using PGP to keep your secrets safe.. 2015-03-06 [2024-07-24]. 
  14. ^ Mario Heiderich; Krzysztof Kotowicz; Jonas Magazinius; Franz Antesberger, Pentest-Report OpenPGP.js 02.2014 (cure53.de) (德語) 
  15. ^ Oberndörfer, Thomas. Release v0.8.0: Code-base refined. 2014-04-09 [2024-07-24] (英語). 
  16. ^ De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP. Heise Online. 9 March 2015 [2024-07-24] (德語). 
  17. ^ Web.de und GMX führen PGP-Verschlüsselung für Mail ein. Heise Online. 20 August 2015 [2024-07-24] (德語). 
  18. ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons, Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, 2015, arXiv:1510.08555可免費查閱 (德語) 
  19. ^ BSI-Projekt 'Weiterentwicklung von Mailvelope'. Bundesamt für Sicherheit in der Informationstechnik. [2024-07-24] (德語). 
  20. ^ 20.0 20.1 Scherschel, Fabian. PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope. deise.de. 2019-08-23 [2024-07-24] (德語). 
  21. ^ Ettlinger, W. Mailvelope Extensions - Security Audit (PDF). 2019. 

外部連結

維基共享資源上的相關多媒體資源:Mailvelope
取自 "https://zh.wikipedia.org/w/index.php?title=Mailvelope&oldid=83535526"