Mailvelope Add-on mit Guard verwenden

Sie können das Browser Add-on Mailvelope für Mozilla Firefox oder Google Chrome im mailbox.org Office verwenden. Damit ergeben sich folgende Vorteile für Sie:

  • Integration der OpenPGP E-Mail Verschlüsselung in die Weboberfläche. Sie können E-Mails problemlos verschlüsseln, entschlüsseln und signieren.
  • Verwaltung der OpenPGP Schlüssel auf Ihrem Rechner.
  • Bereitstellung Ihres öffentlichen OpenPGP Schlüssels für alle anderen Kommunikationspartner via mailbox.org Guard oder über unseren HKPS Schlüsselserver.
  • Sichere Übertragung Ihres privaten Schlüssels auf verschiedene Geräte via mailbox.org.

Gleichzeitig nehmen Sie mit der Nutzung des Add-ons Mailvelope auch einige Nachteile bezüglich der Sicherheit in Kauf, deshalb folgende Warnhinweise:

  • Ihre Schlüssel werden auf Ihrem Computer im Local Storage des Browsers gespeichert. Im HTML5 Security Cheat Sheet wird vom OWASP empfohlen, keine sensitiven Informationen im Local Storage des Browsers zu speichern, da diese Daten mit XSS-Angriffen kompromittiert werden könnten. Auch die Security Analyse zu Mailvelope (PDF) weist am Ende auf das grundsätzlich vorhandene Risiko von XSS-Angriffe hin. Insbesondere Nutzer von Mozilla Firefox sind dabei gefährdet, da dieser Browser weniger Schutzmechanismen bietet als Google Chrome. Wir empfehlen allen Firefox Nutzern deshalb, das Add-on Mailvelope in Kombination mit dem Add-on NoScript einzusetzen. NoScript enthält einige Sicherheitsfeatures wie z.B. XSS-Protection, die in Firefox fehlen.
  • Javascript wurde nicht als Programmiersprache für Krypto-Anwendungen entworfen. Features, die als Best Practice für die Implementierung von Kryptografie gelten, sind mit Javascript nicht umsetzbar. Beispielsweise ist es mit Javascript nicht möglich, einen geheimen Schlüssel nach der Benutzung sicher aus dem Hauptspeicher zu löschen (Overwriting memory - why?). Das normale Verhalten von Mailvelope wurde bspw. bei Tor Onion Router als Security Bug eingestuft.

Nach unserer Einschätzung bietet Mailvelope lediglich "hinreichende Sicherheit" und ist für hohe Sicherheitsanforderungen nicht geeignet.

  • Zu den Nachteilen zählt auch, dass Plugin-Lösungen im Browser und Tools wie Mailvelope typischerweise an Attachments bei der Verwendung von Cloud-Dateispeichern scheitern oder gerade auf nicht-vertrauenswürdigen Rechnern in Internet-Cafes oder im Urlaub nicht sicher einsetzbar sind

Vorbereitung von Mailvelope

Um Mailvelope mit dem mailbox.org Office zu nutzen, müssen Sie das Add-on lediglich installieren. die aktuellen Version sind für die Nutzung mit mailbox.org vorbereitet.

Aktivierung der Mailvelope Unterstützung

Nachdem Sie die Konfiguration von Mailvelope vorbereitet haben, können Sie im Weboffice von mailbox.org unter Einstellungen - Guard Sicherheit den mailbox.org Guard aktivieren und die OpenPGP Verschlüsselung aktivieren und als Verschlüsselungslösung die Option Mailvelope wählen.

Einmal Mailvelope - immer Mailvelope!

Wichtig: Wenn Sie sich für Mailvelope entscheiden, ist diese Auswahl für Ihren Account später NICHT mehr korrigierbar!

Unser Guard-Modul kann entweder mit unserer serverseitigen Verschlüsselung oder im Mailvelope-Modus arbeiten. Die serverseitige Verschlüsselung mit dem mailbox.org Guard ist durch unseren Support deaktivierbar, wobei alle Keys gelöscht werden. Wenn Sie sich für Mailvelope entscheiden, ist diese Entscheidung für Ihren Mailaccount NICHT mehr änderbar.

Ist der Artikel hilfreich?