Mailvelope

Häufige Fragen

Ausgangssituation

Welcher Zweck wird mit dem Projekt verfolgt?

Bei Mailvelope handelt es sich um eine benutzerfreundliche Erweiterung für Webbrowser, über die OpenPGP-Verschlüsselung für Webmail-Dienste wie Gmail™, Yahoo™ usw. umgesetzt werden kann. Die diskrete Programmoberfläche wird vollständig in Ihren Webmail-Dienst integriert und sorgt für eine sofortige Absicherung Ihrer privaten und geschäftlichen E-Mail-Kommunikation.

Welchen Verlauf hat das Projekt genommen?

Ein wichtiger Vorreiter dieses Projekts war FireGPG, das u. a. von Maximilien Cuony entwickelt und zwischen 2007 und 2010 umgesetzt wurde. Mailvelope ist ein neues Projekt, das nicht von GPG abhängig ist. Es basiert auf OpenPGP.js, einem Open-Source-Projekt, das ursprünglich von recurity-labs.com entwickelt wurde. Die Geschichte von Mailvelope beginnt im März 2012, und das Programm ist seit August 2012 im Chrome Web Store verfügbar. Seit Oktober 2014 ist das Add-On auch für Firefox erhältlich.

Funktionen

Wird das Signieren von Nachrichten bereits jetzt oder künftig unterstützt?

Ja, die Signierung von Klartextnachrichten wird unterstützt. Das Signieren von verschlüsselten Nachrichten ist in Planung.

Wie gehe ich vor, wenn ich mein Passwort vergesse?

Mailvelope selbst unterstützt keinen Mechanismus für die Passwortwiederherstellung. Wenn Sie Ihr Passwort vergessen oder Ihren privaten Schlüssel verlieren, können Sie die entsprechenden verschlüsselten Nachrichten nicht mehr entschlüsseln. Dies trifft für das Verfahren in Kooperation mit WEB.DE und GMX nicht zu. Hier können Sie eine Sicherung zur Passwortwiederherstellung einrichten. Weitere Informationen zur Kooperation finden Sie hier.

Wird eine bestimmte Funktion derzeit unterstützt oder gibt es Pläne für eine künftige Unterstützung?

Bitte sehen Sie zuerst nach, ob bereits eine Funktionsanfrage in der Liste der geplanten Erweiterungen gestellt wurde. Hier können Sie auch den Status der Entwicklung verfolgen. Wenn Sie Ihren Vorschlag nicht finden können, erstellen Sie eine neue Anfrage oder senden Sie eine E-Mail an support@mailvelope.com.

Sicherheit

Wo werden meine Schlüssel gespeichert?

Mailvelope speichert die Schlüssel ausschließlich im lokalen Speicher des Browsers. Hierbei handelt es sich um eine Datei im Benutzerdatenverzeichnis von Chrome oder im Profilordner von Firefox. Wenn Sie Ihre temporären Browser-Daten löschen, sind die gespeicherten Schlüssel von Mailvelope nicht betroffen. Wenn Sie die Mailvelope-Erweiterung in Chrome löschen, wird auch der Schlüsselspeicher aus Ihrem Dateisystem gelöscht. Beim Firefox Add-on wird bei der Deinstallation eine Dialog eingeblendet auf dem Sie die Wahl haben die Schlüssel zu löschen oder auf dem System zu belassen.

Wie werden private Schlüssel geschützt? Kann jede Person, die auf meinen Computer zugreifen kann, auch meinen privaten Schlüssel abrufen?

Der private Schlüssel wird generell mit einem Passwort geschützt. Für alle Schritte, die einen privaten Schlüssel erfordern (z. B. Entschlüsselung oder Signieren einer Nachricht), sind beide Komponenten erforderlich: der private Schlüssel und das Passwort. Beim Export eines privaten Schlüssels in eine geschützte Textdatei (beginnt mit BEGIN PGP PRIVATE KEY BLOCK) wird der vertrauliche Teil des privaten Schlüssels mit dem Passwort verschlüsselt. Dieses Format wird auch für die Sicherung des privaten Schlüssels im lokalen Speicher des Browsers verwendet. Mailvelope speichert und exportiert private Schlüssel also ausschließlich in verschlüsselter Form.

Zusätzliche Informationen:
  • Der OpenPGP-Standard lässt auch private Schlüssel ohne Passwort zu, allerdings werden solche Schlüssel nur selten verwendet. Die Verwendung dieser Schlüssel mit Mailvelope wird nicht empfohlen.
  • Wenn es dazu kommt, dass ein Angreifer auf den privaten Schlüssel zugreifen kann, hängt die Widerstandsfähigkeit gegen Brute-Force-Angriffe auf den verschlüsselten privaten Schlüssel von der Sicherheit des Passworts ab. Ein ideales Passwort sollte daher komplex sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und/oder Sonderzeichen enthalten.
  • Als End-to-End-Verschlüsselungssoftware vertraut Mailvelope im Allgemeinen auf sichere Endpunkte. Falls einer der Computer auf beiden Seiten gefährdet ist (z. B. durch einen Key Logger), ist die Verschlüsselung nutzlos. Neben anderen Maßnahmen sollte ein uneingeschränkter Zugriff auf Ihren Computer vermieden werden.
  • GPG nutzt ein ähnliches Sicherheitsmodell für private Schlüssel: Der "Schlüsselring" wird nicht verschlüsselt, nur die individuellen Teile des Schlüssels. Jeder Benutzer mit lokalen Zugriffsrechten kann private Schlüssel exportieren mit: gpg --export-secret-key -a
  • Die Einstellung "Nutzungsstatistiken und Absturzberichte automatisch an Google senden" in Chrome sollte nicht aktiviert werden, da im Falle eines Absturzes Speicherinhalte mit privaten Schlüsseln an Google gesendet werden könnten.

Bei der Installation der Erweiterung werden folgende Berechtigungen abgefragt: "Diese Erweiterung hat Zugriff auf: Ihre Daten auf allen Websites, Ihre Registerkarten und Ihre Browser-Aktivitäten." Warum ist dies erforderlich?

Diese Berechtigungen sind aus folgenden Gründen erforderlich:

Warum benötigt Mailvelope Zugriff auf die Daten von Websites?

Mailvelope scannt die Website Ihres Webmail-Anbieters nach PGP-Nachrichten. Wenn eine Nachricht gefunden wird, wird ein kurzer HTML-Text auf der Seite eingefügt, damit die Elemente der Benutzeroberfläche von Mailvelope angezeigt werden (z. B. die Schaltflächen für die Verschlüsselung, der um den PGP-Text gezogene Rahmen usw.). Dafür benötigt Mailvelope den Zugriff auf die Daten auf Websites.

Warum benötigt Mailvelope Zugriff auf die Daten von allen Websites?

Mailvelope wird für die wichtigsten Webmail-Anbieter vorkonfiguriert, kann aber für den Einsatz mit theoretisch allen Anbietern erweitert werden. Sie können Ihren bevorzugten Webmail-Anbieter also auf einer Watchlist hinzufügen, damit dieser im oben beschriebenen Scanvorgang berücksichtigt wird. Da Mailvelope nicht wissen kann, welche Anbieter hinzugefügt werden, wird der Zugriff auf alle Websites benötigt, um die Funktionsfähigkeit zu gewährleisten.

Warum benötigt Mailvelope Zugriff auf Registerkarten und Browser-Aktivitäten?

Diese Berechtigung ist erforderlich, um die Optionsseite zu öffnen, wenn Sie im Browser-Menü die "Optionen" für Mailvelope anklicken. Mailvelope kann dadurch auch die oben beschriebenen Elemente für die eigene Benutzeroberfläche einfügen.

Programmfehler

Was sollte ich in meinem Fehlerbericht angeben?

Bevor Sie einen Fehlerbericht versenden, schließen und öffnen Sie bitte immer Ihren Browser und prüfen Sie, ob das Problem weiter besteht.

Ein Fehlerbericht sollte die folgenden Angaben enthalten:
  • kurze Beschreibung des Problems
  • Typ und Version des Bertriebssystems
Google Chrome
  • Browser-Version - geben Sie about:version in die Adresszeile ein
  • Falls Mailvelope keine Fehlermeldung anzeigt, finden Sie möglicherweise interessante Informationen in den Logs:
    • Drücken Sie in der Registerkarte Ihres Webmail-Anbieters die Tasten Ctrl+Shift+J und fügen Sie die rot markierten Fehler zum Bericht hinzu.
    • öffnen Sie zusätzlich die Erweiterungsseite, indem Sie chrome:extensions in die Adresszeile eingeben.
    • Aktivieren Sie oben rechts auf der Seite den Entwicklermodus.
    • Klicken Sie im Eintrag Mailvelope auf der Seite auf background.html
    • Ein neues Browser-Fenster wird geöffnet. Achten Sie darauf, dass die Registerkarte Konsole aktiviert ist, und fügen Sie rot markierte Fehler zum Bericht hinzu.
Firefox
  • Browser-Version, siehe Version herausfinden.
  • Falls Mailvelope keine Fehlermeldung anzeigt, finden Sie möglicherweise interessante Informationen in den Logs:
    • Starten Sie Ihren Browser neu.
    • Versuchen Sie, das Problem erneut herbeizuführen.
    • öffnen Sie die Browser-Konsole mit + + (für Mac: + + ). Fügen Sie den Inhalt des Konsolenfensters zum Bericht hinzu.

Installation

Verbindungsfehler beim Herunterladen des Firefox Add-ons

Beim Herunterladen des Mailvelope Add-ons zeigt Firefox die folgende Fehlermeldung an: Das Add-on konnte nicht heruntergeladen werden. Verbindungsfehler mit download.mailvelope.com

Es gibt folgende Lösungsmöglichkeiten:
  • Deaktivieren Sie temporär Antivirenprogramme und andere installierte Firefox Add-ons unter about:addons bevor Sie den Download starten.
  • Manuelle Installation des Mailvelope Add-ons:
    • Mit einem Rechts-Klick auf download.mailvelope.com und Ziel speichern unter... die Datei mailvelope.firefox.xpi herunterladen. Sollte dies im Firefox nicht möglich sein, kann dazu auch ein anderer Browser wie Google Chrome oder Internet Explorer verwendet werden.
    • Im Firefox in die Addressleiste about:addons eingeben und zum Add-ons-Manager navigieren.
    • Auf das Zahnrad Symbol klicken, Add-on aus Datei installieren... auswählen und die heruntergeladene mailvelope.firefox.xpi auswählen.
    • Die Installation bestätigen.

Wie kann ich Mailvelope deinstallieren?