Das Add-on Mailvelope verwenden
Abgrenzung Enigmail, Guard und Mailvelope
All diese Optionen können zur Verwaltung von PGP-Schlüsselpaaren verwendet werden. PGP-Schlüssel ermöglichen eine Kommunikation via Ende-zu-Ende-Verschlüsselung. Diese ist von der Transportverschlüsselung abzugrenzen, denn diese verschlüsselt lediglich die Verbindung von einem an der Übertragung der Mail beteiligten Gerät oder Server zum nächsten. Wer also Zugriff auf ein an der Mail-Übertragung beteiligtes Gerät hat, kann bei Transportverschlüsselung die Inhalte einsehen.
Bei PGP-Verschlüsselung ist dies nicht der Fall. Hier kann nur die empfangende Person die Inhalte einsehen. Innerhalb der PGP-Verschlüsselung gibt es verschiedene Anwendungsszenarien, mit unterschiedlicher Sicherheitseinstufung.
Wer über ein sicheres Endgerät (PC oder Laptop) verfügt, wird mit der Kombination lokaler Mail-Client und lokales PGP-Verwaltungsprogramm (etwa Thunderbird und Enigmail) den höchstmöglichen Schutz erreichen können, da er stets die Hoheit speziell über seinen privaten PGP-Schlüssel behält.
Bei Mailvelope wird der private PGP-Schlüssel an den Browser übergeben. Der Browser kann als Mittler zwischen dem Endgerät und dem Internet gesehen werden. Die damit einhergehenden Nachteile werden am Ende des Artikels erörtert und abgewogen.
Der Guard integriert die Möglichkeit zur Verwaltung von PGP-Schlüsseln in das mailbox Office. Dabei liegt auch der private Schlüssel auf unseren Servern. Natürlich ist er dort sicher und wird zudem noch per Passwort geschützt, allerdings genügt dies nicht allen Schutzanforderungen.
Diese Anleitung wird sich auf die Nutzung und Einrichtung von Mailvelope beschränken. In unserer Knowledge-Base finden Sie aber weitere viele nutzvolle Artikel zum Thema PGP-Verschlüsselung und den mailbox Guard.
Mailvelope – eine Übersicht
Mailvelope ist ein Browser-Add-on, das Sie in Firefox, Chrome und Edge verwenden können, um Ihre Mails bei Webmail-Anbietern mit PGP sicher zu verschlüsseln. Wenn Sie mailbox Office mit Mailvelope verwenden, ergeben sich folgende Vorteile:
- Die PGP-Verschlüsselung wird in den Browser integriert, wobei Ihr privater PGP-Schlüssel nie auf unseren Servern liegt. Sie können Mails einfach verschlüsseln, entschlüsseln und digital mit PGP signieren.
- Sie können PGP-Schlüssel auf Ihrem Rechner verwalten.
- Eine Nutzung der lokalen GnuPG-Installation ist in Kombination mit Mailvelope möglich und erhöht die Sicherheit.
Info: Bitte beachten Sie: Add-on-Lösungen im Browser – und damit auch Tools wie Mailvelope – können bei der Verwendung von Drive oder Mail-Anhängen unerwünschte Effekte verursachen.
Sie finden sie im jeweiligen Webstore Ihres Standardbrowsers – Google Chrome, Mozilla Firefox oder Microsoft Edge – Sie müssen dort die erforderlichen Zugriffsberechtigungen bestätigen, damit Mailvelope korrekt funktioniert. Im nächsten Absatz haben wir Ihnen die Links von Google Chrome oder Mozilla Firefox zur Verfügung gestellt
Mailvelope herunterladen
Um Mailvelope nutzen zu können, müssen Sie die passende Browser-Erweiterung installieren. Wählen Sie den Link für Ihren Browser:
Weitere Informationen und die aktuelle Übersicht finden Sie auch auf der offiziellen Projektseite: mailvelope.com.
Vorbereitung und Aktivierung von Mailvelope
Der Guard und Mailvelope
Wie oben erläutert, ist Mailvelope das Pendant zum Guard. Sollten Sie aktuell den Guard in Benutzung haben, sind zusätzliche Schritte zur Migration nötig.
Fahren Sie in diesem Fall zunächst weiter unten mit dem Abschnitt Einrichtung von Mailvelope bei bisheriger Nutzung des Guards fort und kehren Sie danach an diese Stelle zurück. Sie können nur eines der beiden Systeme gleichzeitig nutzen. Demnach müssen Sie sich für Mailvelope oder den mailbox Guard entscheiden.
Unter folgendem Pfad finden Sie den Menüpunkt zur Aktivierung von Mailvelope:
Pfad: Alle Einstellungen | E-Mail Verschlüsselung | PGP im Webmailer
Um Mailvelope mit mailbox Office zu nutzen, gehen Sie wie folgt vor:
Abbildung 1: Richten Sie Mailvelope einfach und bequem ein.
Wählen Sie hier – wie im Bildschirmabzug dargestellt – unter Verschlüsselung mit Experten mit Mailvelope klicken Sie jetzt aktivieren. Bitte beachten Sie die weiteren Schritte zur Einrichtung mit Mailvelope.
Abbildung 2: Screenshot folgt in Kürze..
Abbildung 3: Sie erhalten dann je nach Browser zwei Sicherheitsabfragen zur Installation des Add-ons
Abbildung 4: Sie erhalten dann je nach Browser zwei Sicherheitsabfragen zur Installation des Add-ons.
Gehen Sie nach Installation des Add-ons auf Alle Einstellungen | Mailvelope.
Abbildung 5: Hier brauchen Sie erstmal nichts weiter zun tun. Fahren Sie nun beim nächsten Punkt fort, wenn Sie Ihr Postfach noch nicht verwendet haben
Sie sollten nun die Mailvelop Oberfläche in Ihrem Online-Office sehen. Sie werden aufgefordert, das Kennwort für Ihr PGP Schlüsselpaar zu erstellen. Geben Sie hier ein komplexes Kennwort ein und speichern Sie dieses an einem sicheren Ort - etwa in Ihrem KeepassXC Passwortmanager.
Nun ist das Mailvelope Add-on im Browser installiert. Sie werden dann auf diese Seite weitergeleitet.
Abbildung 6: Screenshot folgt in Kürze.
Melden Sie sich danach vom mailbox Office ab und anschließend erneut an. So werden die Einstellungen aktualisiert.
Abbildung 7: Screenshot folgt in Kürze
Einrichtung von Mailvelope bei bisher nicht genutztem Postfach ohne eigenes PGP-Schlüsselpaar
Diesen Abschnitt stellen wir Ihnen in Kürze zur Verfügung. Wir danken Ihnen für Ihre Geduld!
Einrichtung von Mailvelope bei bisher nicht genutztem Postfach mit vorhandenem eigenen PGP-Schlüsselpaar
Falls Sie bereits ein Schlüsselpaar auf anderem Wege erstellt haben und den Guard noch nicht konfiguriert haben, gehen Sie bitte wie folgt vor.
Abbildung 8: Screenshot folgt in Kürze
Klicken Sie auf das Mailvelope-Symbol im Browser neben der Adressleiste
PFad: Los geht's! | Schlüsselbund
Abbildung 9: Screenshot folg tin Kürze
Klicken Sie bitte auf "Schlüssel importieren".
Abbildung 10: Screenshot folgt in Kürze
Nun haben Sie zwei Möglichkeiten:
-
Schlüssel importieren als Datei: Über diese Funktion können Sie eine Datei (*.asc) mit Schlüsseln auf Ihrer Festplatte auswählen und in Mailvelope importieren.
-
Schlüssel importieren als Text: Kopieren Sie zunächst den oder die Schlüssel (es sind auch mehrere Schlüssel gleichzeitig möglich) in die Zwischenablage. Bei Klick auf "Schlüssel aus der Zwischenablage einfügen" werden die Schlüssel aus den Texten extrahiert und in den lokalen Schlüsselbund übertragen. Stellen Sie sicher, dass Sie bei der Auswahl
-----BEGIN PGP PUBLIC KEY BLOCK -----
und-----END PGP PUBLIC KEY BLOCK -----
mit einschließen.
Hinweis: Bitte beachten Sie, dass Sie hier sowohl Ihren privaten, als auch Ihren öffentlichen PGP Schlüssel importieren müssen. Bestätigen Sie den Import des Schlüssels.
Fertig, Sie können Mailvelope nun mit Ihrem eigenen PGP Schlüsselpaar nutzen!
Einrichtung von Mailvelope bei bisheriger Nutzung des Guards
Dieser Punkt ist für Sie nur relevant, wenn Sie vom Guard auf Mailvelope umstellen möchten.
Exportieren Sie Ihr PGP-Schlüsselpaar und bei Bedarf die öffentlichen Schlüssel Ihrer Kommunikationspartner, wie hier im unteren Teil beschrieben:
Pfad: Alle Einstellungen | mailbox Guard | Ihre PGP-Schlüssel Pfad: Alle Einstellungen | mailbox Guard | PGP-Schlüssel von Empfängern
Gehen Sie danach vor wie beschrieben im Abschnitt oben unter Der Guard und Mailvelope
Klicken Sie nun im mailbox Office auf das Schloss-Symbol in einer neuen Mail.
Abbildung 11:Screenshot folgt in Kürze
Wenn Sie Mailvelope ohne eigenes PGP-Schlüsselpaar und ohne bisherige Nutzung des Guards eingerichtet haben, können Sie bereits mit Ihrem PGP-Schlüsselpaar versenden.
Falls Sie eine der anderen Methoden verwendet und einen eigenen PGP-Schlüssel hochgeladen haben, werden Sie darum gebeten, ein Kennwort für den PGP-Schlüsselbund zu vergeben. Auch bei der Einrichtung vom mailbox Guard werden Sie nach einem Passwort gefragt.
Tun Sie dies, indem Sie ein Kennwort für den Schlüssel zur sicheren Kommunikation eingeben. Dieses Kennwort ist ein anderes als das Kennwort für den PGP-Schlüssel.
Während der Konfiguration wird zunächst ein Fenster angezeigt, das bestätigt, dass die verschlüsselte Kommunikation eingerichtet wird.
Direkt danach erscheint ein weiteres Fenster mit der Meldung:
Herzlichen Glückwunsch, Sie haben die Verschlüsselung eingerichtet.
Ab diesem Moment können Sie verschlüsselte Mails mit Mailvelope senden und empfangen.
Sicherheitshinweise zur Nutzung von Mailvelope
Bei der Nutzung des Add-ons Mailvelope sind einige Dinge in Bezug auf Sicherheit zu beachten:
- Ihre Schlüssel werden auf Ihrem Computer im lokalen Speicher des Browsers aufbewahrt.
- Da der lokale Speicher zur Schlüsselaufbewahrung verwendet wird, ist Mailvelope für den Einsatz auf fremden oder unsicheren Rechnern (z. B. in Internet-Cafés oder im Urlaub) nicht geeignet.
- Im HTML5 Security Cheat Sheet wird vom OWASP empfohlen, keine sicherheitsrelevanten Informationen im lokalen Speicher des Browsers aufzubewahren, da diese Daten durch XSS-Angriffe kompromittiert werden könnten.
- Während es in Bezug auf die alte Add-on-Architektur in Firefox 2003 noch Sicherheitsnachteile bei der Nutzung von Mailvelope gab, ist dieser Nachteil mit der Einführung der Web Extensions in Firefox und seit Mailvelope 2.0 (Oktober 2017) behoben worden. Web Extensions verhindern auch per Default die Ausführung von CSP und somit XSS-Angriffe.
- In Mailvelope kann nun auch eine lokale GnuPG-Installation für das Key-Management verwendet werden. Dies erhöht den Schutz vor derartigen Angriffen weiter und sollte genutzt werden.
Einschränkungen durch Javascript
Javascript wurde grundsätzlich nicht als Programmiersprache für Kryptographieanwendungen entwickelt. Bei der Einschätzung, ob dies ein Nachteil ist, gibt es unterschiedliche Ansätze. Hier einige Argumente:
-
Was in anderen Krypto-Implementierungen als schwerer Bug gilt, muss bei Mailvelope als Limitierung durch Javascript hingenommen werden – zum Beispiel:
- Es ist mit Javascript nicht möglich, einen geheimen Schlüssel nach der Benutzung sicher aus dem Hauptspeicher zu löschen („Overwriting memory – why?“).
- Normales Verhalten bei Mailvelope wird im TOR-Projekt als Sicherheitslücke eingestuft.
-
Durch Seitenkanalangriffe auf den Browser ist es möglich, die Reihenfolge der Nullen und Einsen im privaten Schlüssel durch Beobachtung bei der Codeausführung zu rekonstruieren. Die Krypto-Implementierung in Mailvelope (OpenPGP.js) läuft allerdings größtenteils über die Web Crypto API des Browsers, wodurch das Risiko von Seitenkanalangriffen reduziert wird.
-
Andererseits hat Javascript den Vorteil, dass es Speichermanagement gibt. Damit können Bufferoverflows – wie sie oftmals in C/C++-Implementierungen auftreten – gar nicht erst entstehen.
Weitere Hinweise
Falls Sie Mailvelope nutzen, um Ihren privaten Schlüssel nicht bei mailbox auf den Servern zu speichern, werden Sie möglicherweise die Autocrypt-Funktion in den Mailvelope-Einstellungen deaktivieren wollen. Dies ist bei Nutzung von mailbox nicht notwendig, da wir diese Funktion nicht über die Client-API unterstützen.