메일러벨레

Mailvelope
메일러벨레
Mailvelope Editor.png
Mailvelope 편집기
개발자메일러벨레 Gmbh
초기 릴리즈2012; 10년 전(2012년)
안정적 해제
4.4.1 / 2021년 5월 12일; 11개월(2021-05-12)
리포지토리GitHub에 관한 우편물.
기록 위치자바스크립트
플랫폼웹 브라우저
유형브라우저 확장
면허증AGPL(무료 소프트웨어)
웹사이트www.mailvelope.com

Mailvelope는 기존 웹메일 애플리케이션("이메일 웹 사이트")에 스스로를 통합하는 웹 브라우저(Firefox, Chromium 또는 Edge) 내부의 e-메일 트래픽을 엔드엔드 암호화하는 무료 소프트웨어다.OpenPGP 표준을 사용하여 별도의 네이티브 전자 메일 클라이언트(예: Thunderbird)를 사용하지 않고 첨부 파일을 포함한 전자 메시지를 암호화서명하는 데 사용할 수 있다.

그 이름은 "mail"과 "envelope"라는 단어의 portmantau이다.GNU Appero General Public License(AGPL) 버전 3의 조건에 따라 소스 코드와 함께 발행된다.Mailvelope GmbH사는 GitHub에 있는 공공 코드 저장소를 이용하여 개발을 운영하고 있다.개발은 오픈 테크놀로지 펀드인터네브가 후원한다.[2]

비슷한 대안이 Mymail-Crypt와[3] WebPG였다.[4]

특징들

Mailvelope 웹메일 응용프로그램에 OpenPGP 기능을 탑재한다.Gmail, Yahoo, Outlook on Web 등과 같은 몇몇 인기 제공업체에 대한 지원은 미리 구성되어 있다.[5][6]웹메일 소프트웨어 라운드큐브는 2016년 5월부터 버전 1.2를 기준으로 메일벨롭은 물론 대부분의 (자체 호스팅된) 웹메일 클라이언트를 감지하고 지원한다.[7]Chromium/Chrome의 경우 통합 소프트웨어 확장 관리자 "Chrome Web Store"[8]를 사용하여 인증된 소스에서 설치할 수 있다.또한 Mailvelope는 Firefox와 Microsoft Edge에서도 애드온으로 사용할 수 있다.

Mailvelope는 1998년 처음 표준화된 공개키 암호체계OpenPGP 표준에 따라 작동하며 자바스크립트로 작성된다.사전 설정 또는 사용자가 승인한 웹 페이지에서는 이 페이지를 제어 요소로 오버레이하며, 주변 보안 백그라운드에 의해 웹 애플리케이션과 분리된 것으로 광학적으로 구분된다.이러한 배경은 가장을 감지하도록 사용자 정의할 수 있다.[4]암호화의 경우, 프로그램 라이브러리 OpenPGP.js의 기능, OpenPGP 표준의 무료 자바스크립트 구현에 의존한다.별도의 인라인 프레임 안에서 실행하면 웹 애플리케이션과 별도로 코드가 실행돼 명확한 문자 메시지 내용에 접근하지 못하도록 해야 한다.[3]

United Internet과 협력하여 개발된 API를 통한 Mailvelope의 통합은 웹메일 서비스와 Mailvelope 구성요소의 보다 깊은 통합을 가능하게 한다.따라서, 키 쌍의 설정과 생성은 마법사를 이용하여 웹메일러에서 직접 할 수 있다.Mailvelope는 브라우저에서 모든 OpenPGP 키를 로컬로 관리한다.[9]버전 3.0 이후 Mailvelope의 키 관리에 로컬 GnuPG 설치가 포함될 수 있어 사용자가 원할 경우 기본 애플리케이션을 사용할 수 있다.[10]

기록 및 사용법

토마스 오베르뉴르퍼는 8월 24일 첫 공개 버전인 0.4.0.1을 출시하면서 2012년 봄부터 Mailvelope 개발에 착수했다.세계 보안 감시 공개는 개인 및 업무용 전자 메일 통신의 보안에 대해 의문을 제기했다.당시에는 OpenPGP를 통한 전자우편 암호화가 너무 복잡해 사용이 불가능하다고 여겨졌다.더욱이 개인에게 특히 인기가 많았던 웹메일 서비스는 종단간 암호화 기능을 제공하지 않았다.이것은 이 문제에 대한 가능한 해결책으로 언론에서 Mailvelope에 대한 다양한 언급으로 이어졌다.[11][12][13]

큐레53의 마리오 하이데리히와 크리즈토프 코토위츠가 2012/2013년부터 알파 버전에 대한 보안감사를 실시했다.[8]무엇보다도, 웹 애플리케이션과 그것의 데이터 구조로부터의 분리는 그것의 발견에 기초하여 개선되었다.2014년 2월, 같은 그룹이 Mailvelope의 기반이 되는 OpenPGP.js 라이브러리를 분석했다.다음 4월에 출시된 버전 0.8.0은 결과 수정 사항을 채택하고 메시지 서명에 대한 지원을 추가했다.2014년 5월 iSEC Partners는 Firefox 확장에 대한 분석을 발표했다.[4]버전 1.0.0은 2015년 8월 18일에 출판되었다.

2015년 4월, 디메일 제공업체는 자사의 서비스에 메일러벨베에 기반한 엔드투엔드 암호화를 위한 디폴트 비활성화 옵션을 탑재했지만, 모바일 TAN이나 독일 전자 신분증과의 조합으로만 사용할 수 있었다.[14]신판은 2015년 5월 출시됐다.2015년 8월 Web.deGMX의 이메일 서비스는 OpenPGP 암호화에 대한 지원을 도입하고 이를 위해 Mailvelope를 웹메일 애플리케이션에 통합했다.회사 자체 정보에 따르면, 이러한 방식으로 이메일을 암호화하기 위한 이 선택사항은 약 3천만 명의 사용자가 이용할 수 있었다.[15]

2015년 연구는 현대적인 OpenPGP 클라이언트의 예로서 Mailvelope의 사용성을 조사했고 그것이 대중에게 적합하지 않다고 생각했다.그들은 보조 기능 통합, 새로운 통신 파트너에게 교훈적인 초대 메시지 보내기, 기본 설명문 발간 등을 권고했다.[16]United Internet의 Mailvelope 기반 OpenPGP 시스템은 그러한 기능을 통합하며, 그 유용성은 언론에서, 특히 제공되는 키 동기화 기능에서 긍정적인 언급을 얻었다.[17][9]2016년의 사용적합성 분석에서는 여전히 "개선할 가치가 있다"("Verbesserungswrudig")는 것으로 확인되었으며, "문구 혼동("irritierende Formulierungen")을 언급했으며, 개념의 의사소통, 잘못된 비밀번호 권장사항, 전송 암호화만 특징인 더 두드러진 모드의 부정적인 분리 및 i를 언급했다.(중간공격을 저지하기 위한) 핵심 진정성 검사에 대한 충분한 지원.[4]

Mailvelope는 BSI 이니셔티브의 일환으로 2018/19년에 개선되었다.[18]전체적으로 "키 관리가 단순화되었고, 소프트웨어의 보안이 향상되었다."SEC Consult가 실시한 보안 감사에 의해 밝혀진 OpenPGP.js 프로그램 라이브러리뿐만 아니라 Mailvelope 소스 코드의 모든 보안 취약성은 종결되었다.[19][20]BSI에 따르면, 이 프로젝트의 한 가지 목표는 웹사이트 운영자들이 향후 연락처 양식을 제공하여 사용자의 브라우저에서 수신자에게 보내는 메시지를 안전하게 암호화할 수 있도록 하는 것이었다.새 키 가져오기는 WKD(Web Key Directory) 프로토콜을 사용하여 HTTPS로 암호화된다.[19]

참조

  1. ^ "Release Mailvelope 4.4.1 · mailvelope/Mailvelope".
  2. ^ "Mailvelope: PGP for Gmail & Webmail". mailvelope.com. Retrieved 2022-03-02.
  3. ^ a b Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (in German)
  4. ^ a b c d Verena Schochlow; Stephan Neumann; Kristoffer Braun; Melanie Volkamer (2016), "Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung", Datenschutz und Datensicherheit (in German), Wiesbaden: Springer Fachmedien, vol. 40, no. 5, pp. 295–299, doi:10.1007/s11623-016-0599-5, S2CID 12246719
  5. ^ "Mailvelope". Right to Hide (in German). Hungarian Civil Liberties Union (HCLU). Archived from the original on 2016-09-26. Retrieved 2016-09-26.
  6. ^ "FAQ Mailvelope". mailvelope.com. Retrieved 2022-03-02.
  7. ^ "PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht". Golem.de (in German). Retrieved 2016-09-25.
  8. ^ a b Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (in German)
  9. ^ a b "GMX und Web.de integrieren PGP in ihre Mail-Dienste". C't (in German). Retrieved 2015-12-28.
  10. ^ "BSI-Projekt 'Weiterentwicklung von Mailvelope'". Bundesamt für Sicherheit in der Informationstechnik (in German). Retrieved 2022-03-02.
  11. ^ Finley, Klint. "Google's Revamped Gmail Could Take Encryption Mainstream". Wired. ISSN 1059-1028. Retrieved 2022-03-02.
  12. ^ Tufnell, Nicholas (2015-03-06). "21 tips, tricks and shortcuts to help you stay anonymous online". the Guardian. Retrieved 2022-03-02.
  13. ^ Russon, Mary-Ann (2015-03-06). "How to encrypt your emails using PGP to keep your secrets safe". Retrieved 2022-03-02.
  14. ^ "De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP". Heise Online (in German). Retrieved 2016-09-25.
  15. ^ "Web.de und GMX führen PGP-Verschlüsselung für Mail ein". Heise Online (in German). Retrieved 2016-09-25.
  16. ^ Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons (2015), Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client (in German), arXiv:1510.08555
  17. ^ Patrick Beuth, "GMX und Web.de: Der schnellste Weg zur verschlüsselten E-Mail" (zeit.de), Die Zeit (in German), Hamburg
  18. ^ "BSI-Projekt 'Weiterentwicklung von Mailvelope'". Bundesamt für Sicherheit in der Informationstechnik (in German). Retrieved 2022-03-02.
  19. ^ a b Scherschel, Fabian (2019-08-23). "PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope". deise.de (in German). Retrieved 2022-03-02.
  20. ^ Ettlinger, W. (2019). "Mailvelope Extensions - Security Audit".

외부 링크