IT-Security

BSI beteiligt sich am Projekt „Weiterentwicklung von Mailvelope“

26. November 2019 von Bianca Wellbrock

mailvelope
© Tomasz Zajda - Fotolia.com

Bereits seit Januar 2018 existiert das Projekt „Weiterentwicklung von Mailvelope“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab in einer Pressemitteilung bekannt, mit dem Projekt die sichere E-Mail-Verschlüsselung vorantreiben zu wollen. Ein Konsortium aus Intevation GmbH und Mailvelope GmbH sorgte für die Weiterentwicklung und die SEC Consult für ein Sicherheitsaudit. Neu entwickelte Features sollen dazu beitragen, dass sich die E-Mail-Verschlüsselung stärker verbreitet. Schon vor den Neuerungen galt die Browser-Erweiterung Mailvelope als verhältnismäßig sicher: Sie war beispielsweise nicht von der Sicherheitslücke Efail betroffen, von der wir ausführlich berichteten.

Neue Funktionen und verbesserte Nutzeroberfläche

Die Ende-zu-Ende-Verschlüsselung von E-Mails galt lange Zeit als zu kompliziert. Deshalb gehörte zu den Zielen des Projekts Mailvelope, sowohl die Installation und Konfiguration als auch die Anwendung der Ende-zu-Ende-Verschlüsselung deutlich nutzerfreundlicher zu gestalten. Ein weiteres Ziel, das das BSI mit seiner Weiterentwicklung verfolgt, ist eine größere Verbreitung von Verschlüsselung – nicht nur bei E-Mails, sondern auch beim Formular-Austausch. Eine weitgehende Automatisierung wurde diesbezüglich angestrebt. Diese Ziele sorgten für diverse Neuerungen bei Mailvelope.

Arne Schönbohm, seines Zeichens BSI-Präsident, fasst die Intentionen und die Neuausrichtung von Mailvelope wie folgt zusammen: „Mehr Verschlüsselung bedeutet mehr Privatsphäre in der Kommunikation. Dies sollte kein Nice-to-have, sondern ein absolutes Must-have sein. Unser Ziel als Cyber-Sicherheitsbehörde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare Lösungen an die Hand zu geben, mit denen sie ihre Privatsphäre besser schützen können. Deshalb haben unsere Expertinnen und Experten Mailvelope erweitert. Jeder kann sich dieses Tool als Add-on für den Browser herunterladen und damit E-Mails und Online-Formulare weitgehend automatisiert verschlüsseln.“

Verschlüsselte Kommunikation bei Web-Formularen

Die quelloffene Erweiterung Mailvelope unterstützt in ihrer Neuauflage Ende-zu-Ende-verschlüsselte Übertragungen von Web-Formularinhalten. In Planung ist zudem, die Software auch für vertrauliche Anfragen per Webformular beispielsweise an Ärzte oder Kreditinstitute nutzen zu können.

In der jetzigen Version von Mailvelope ist es Anbietern von Kontaktformularen möglich, das Formular entsprechend der Mailvelope-Dokumentation (PDF-Download auf GitHub oder Website von Mailvelope) anzupassen. Damit Anwenderinnen und Anwender nun verschlüsselt kommunizieren können, genügt es, die Mailvelope-Anwendung zu installieren und zu konfigurieren.

Ist die Mailvelope-Erweiterung bei einem Nutzer, der das Formular für eine Anfrage verwenden möchte, noch nicht installiert, lässt sich das Formular so konfigurieren, dass Nutzer zum Installieren und Verwenden von Mailvelope aufgefordert werden können.

Lokale GnuPG-Installation möglich

In der aktualisierten Mailvelope-Version lassen sich nun auch lokale GnuPG-Installationen einbinden. Nutzer können dadurch optional native Anwendungen verwenden, beispielsweise Anwendungen zur Schlüsselverwaltung.

Erweiterung der Kryptographie-Bibliothek

Die verwendete Kryptographie-Bibliothek OpenPGP.js wurde erweitert, um Kompatibilität mit dem OpenPGPG-Standard zu schaffen. Die nun erreichte Ende-zu-Ende-Verschlüsselung sorgt nun für eine verschlüsselte Datenübertragung von Anwender zu Anwender, selbst der Provider kann nicht mehr mitlesen.

Security-Audit zur Kontrolle

Um das Vertrauen in die Weiterentwicklung von Mailvelope zu stärken und Sicherheitslücken effizient zu vermeiden, wurde ein Audit zu den Sicherheitseigenschaften bei SEC Consult beauftragt. Durch die Sicherheitstests zeigten sich diverse Schwachstellen sowohl in der Vorversion von Mailvelope als auch in der Krypto-Bibliothek OpenPGP.js.

So wurde eine Schwachstelle gefunden, die die Durchführung einer „Invalid Curve Attack“ erlaubt. Dabei erfolgt der Angriff auf die Implementierung Elliptischer-Kurven-Kryptografie. Angreifer hätten unter bestimmten Umständen den privaten PGP-Schlüssel des Opfers auslesen und so verschlüsselte E-Mails mitlesen können. Man deckte weitere Schwachstellen auf, die Signaturfälschungen erlaubt hätten oder das Unterjubeln von manipuliertem Schlüsselmaterial.

Dank des Audits konnten nicht nur diese Schwachstellen behoben werden, sondern man blickte auch speziell auf die Routinen zur Nutzerüberwachung sowie die Kompromittierung privater Daten. Das Audit förderte Probleme zutage, die in der Weiterentwicklung von Mailvelope behoben werden konnten. Das vollständige Audit-Ergebnis können Sie in einem englischsprachigen PDF nachlesen.

Mailvelope: Sichere Kommunikation für jeden

Einer der vielen Vorteile von Mailvelope liegt darin, dass Sie Ihre gewohnte Umgebung nicht verlassen müssen, um verschlüsselt zu kommunizieren. Haben Sie für Ihre E-Mails bislang Webmail-Anbieter genutzt, können Sie problemlos bei diesem Anbieter bleiben und unter Beibehaltung Ihrer E-Mail-Adresse verschlüsselte E-Mails versenden und empfangen.

Mailvelope gibt es als deutsche und kostenfreie Browsererweiterung für Google Chrome sowie Mozilla Firefox. Bereits vorkonfiguriert ist die Erweiterung für die Anbieter Gmail, Web.de, GMX, Outlook.com, mail.ru, Posteo, Yahoo und Zoho Mail. De-Mails werden ebenfalls unterstützt. Autorisierte Anbieter mit API-Unterstützung sind mailbox.org, riseup.net sowie Roundcube. Über die Einstellungen können Sie wahlweise weitere Provider hinzufügen. Den FAQ von Mailvelope können Sie die gesamte Liste entnehmen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu