Mailvelope是一款自由软件,用来将网页浏览器(Firefox、Chromium或Edge)内的电子邮件流量进行端到端加密,并整合到现有的网页邮件应用程式中。该软体可对电子邮件(包含电子邮件附件)进行加密与签名,如此即可不必使用采行OpenPGP标准的独立原生电子邮件用户端。
 Mailvelope编辑器 | |
| 开发者 | Mailvelope有限责任公司 |
|---|---|
| 首次发布 | 2012年 |
| 当前版本 |
|
| 源代码库 | |
| 编程语言 | JavaScript |
| 平台 | 网路浏览器 |
| 类型 | 浏览器扩充功能 |
| 许可协议 | GNU Affero通用公共许可证 |
| 网站 | www |
软体名称是“mail”与“envelope”的混成词。该软体在GNU Affero通用公共许可证第三版的授权下开源,由Mailvelope有限责任公司在位于GitHub上的公开原始码仓库开发。开放技术基金会Internews赞助该软体开发。[2]
功能
Mailvelope为网页电子邮件应用程式增加了OpenPGP功能,默认支持Gmail、Yahoo! Mail、网页版Outlook等多个常用网页电子邮件服务提供商。[5][6]Roundcube网页电子邮件软体在2016年5月释出1.2版时就支援Mailvelope。[7]Google Chrome等基于Chromium的浏览器使用者可以使用内建的扩充功能管理程式从Chrome应用商店等受信任的来源安装,[8]而Firefox用户可以从附加元件网站下载。
Mailvelope以JavaScript编写,使用于1998年首次标准化的公钥密码学标准OpenPGP。在预设或使用者授权的网页上,它用其控制元素覆盖页面,这些控制元素透过周围的安全背景在视觉上与网路应用程式分开。可以自订此背景以侦测假冒行为。[4]它使用OpenPGP.js函式库进行加密,OpenPGP.js是OpenPGP标准的自由JavaScript实作。透过在单独的内嵌框架中执行,其程式码与网页应用程式分开执行,并防止其存取明文的邮件内容。[3]
Mailvelope透过与联合互联网合作开发的API进行整合,让网页电子邮件服务与Mailvelope元件间进行更深入的整合。因此,金钥对的设定与产生可以使用精灵直接在网页电子邮件程式中完成。Mailvelope在浏览器中管理所有OpenPGP金钥。[9]从3.0版开始,Mailvelop也会侦测使用者电脑中的GnuPG,让使用者可以视需要使用原生应用程式管理金钥。[10]
历史与用途
Thomas Oberndörfer于2012年春季开始开发Mailvelope,并于8月24日释出了第一个公开版本。全球监控的曝光引发了人们对私人与商业电子邮件通讯安全的质疑。当时使用OpenPGP加密电子邮件较为困难。此外,主流的网页电子邮件服务并不提供任何端到端加密功能。这让媒体多次提到Mailvelope作为前述问题的可能解决方案。[11][12][13]
Cure53的Mario Heiderich与Krzysztof Kotowicz对Mailvelope于2012到2013年间的Alpha版本进行了信息安全审计。[8]Mailvelope据此改进了与网页应用程式及其资料结构的分离。2014年2月,同一个小组分析了Mailvelope所使用的OpenPGP.js函式库。[14]隔年4月释出的0.8.0采用了据此进行的修复,并新增电子签署邮件的功能。[15]
2015年4月,De-Mail为其服务提供了基于Mailvelope的端到端加密选项(预设停用),但只能与行动TAN或德国身分证结合使用。[16]2015年8月,Web.de与GMX的电子邮件服务引入了对OpenPGP加密的支援,并将Mailvelope整合到其网页电子邮件应用程式中。根据该公司提供的资讯,大约有三千万位使用者可以选择以这种方式加密电子邮件。[17]
2015年的一项研究检视了Mailvelope作为现代OpenPGP客户端的可用性,并认为它不适合大众。[18]2016年的可用性分析认为它仍“值得改进”(“verbesserungswürdig”),并提到“令人困惑的措辞”(“irritierende Formulierungen”),以及对金钥真实性检查(用来阻止中间人攻击)的支援不足。[4]
作为BSI倡议的一部份,Mailvelope在2018至2019年间进行了许多强化。[19]整体而言,“简化了金钥管理,并改善软体安全性。”SEC Consult进行的安全稽核发现的Mailvelope原始码以及所使用的OpenPGP.js函式库中的所有安全性漏洞均已修复。[20][21]BSI表示,该专案的其中一个目标是让网站营运商将来可以提供联络表单,让使用者可以安全地加密从使用者的浏览器寄送给收件者的邮件。新金钥的汇入将使用网路金钥目录(Web Key Directory)协定进行HTTPS加密。[20]
参考资料
外部链接
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
