GnuPG und WKD | Blog

Mit der neuen Version 3.0, die auf eine relativ lange Entwicklungszeit (von Januar bis August 2018) zurückblicken kann, wird Mailvelope um zwei gänzliche neue Anwendungs­möglich­keiten erweitert. Neben E-Mails können nun auch Formulardaten im Web Ende-zu-Ende verschlüsselt übertragen werden. Darüber hinaus bietet die Anbindung an GnuPG erhöhte Sicherheit und Flexibilität.

GnuPG Integration

Mit der GnuPG Integration ist es uns gelungen, auch diejenigen Nutzer anzusprechen, die einer Nutzung von Kryptografie im Browser bisher skeptisch gegenüberstanden: Ab Version 3.0 lässt sich auch eine lokal installierte GnuPG-Anwendung (z.B. Ggp4win oder GPGTools) in Mailvelope einbinden.

Nutzer haben nun die Wahl ob sie wie bisher die Schlüsselverwaltung und die Verschlüsselungsroutinen durch OpenPGP.js oder durch die lokal installierte GnuPG Anwendung erledigen lassen wollen. Erfreulicher Nebeneffekt dieser neuen Flexibilität von Mailvelope: Die Sicherheit hat sich damit einen weiteren Schritt erhöht. Zum einen können nun auch Sicherheitstoken wie eine Smartcard in Verbindung mit Mailvelope verwendet werden, zum anderen sind auch die privaten Schlüssel in GnuPG im Falle einer Kompromittierung des Browsers besser geschützt.

Mehr zur GnuPG Integration und zu den Möglichkeiten der Verwendung von Hardwaretoken erfahren Sie in Kürze in einem gesonderten Blog-Artikel.

Verschlüsselte Web Formulare

Mit Version 3.0 wurde ein Weg der Weiterentwicklung eingeschlagen, der Mailvelope für künftige Anwendungen jenseits von E-Mail-Verschlüsselung öffnet. Die Nutzung von Web Formularen ist weit verbreitet und nicht erst durch die neue Datenschutzverordnung (DSGVO) wird deutlich, dass hierbei auch oft vertrauliche Daten übermittelt werden.

Mailvelope bietet nun eine Möglichkeit an Formulare in einem bestimmten Format zu definieren, sodass die Daten nur für einen ausgewählten Empfänger lesbar sind. Die Mailvelope Browser Erweiterung übernimmt hierbei die Verschlüsselung und verpackt die Formulardaten in einer sicheren OpenPGP Nachricht.

Eine technische Dokumentation zu verschlüsselten Formularen ist im Mailvelope Wiki verfügbar, weitere Anwendungsbeispiele werden wir in Kürze veröffentlichen.

Web Key Directory

Zu Beginn einer verschlüsselten Kommunikation mit OpenPGP muss zunächst der öffentliche Schlüssel der Kommunikationspartner ausgetauscht werden. Um einen möglichst benutzerfreundlichen Ablauf zu gewährleisten, haben wir bereits 2016 mit dem Mailvelope Key-Server einen zentralen Ansatz gewählt, um den Schlüsselaustausch zu vereinfachen und teilweise zu automatisieren.

Ab Version 3.0 unterstützen wir nun zusätzlich ein standardisiertes Verfahren, das einen dezentralen Ansatz verfolgt: Bei Web-Key-Directory können die Schlüssel direkt von der Seite des E-Mail-Providers abgefragt werden, sofern dieser das Verfahren unterstützt.

Update von OpenPGP.js

In Mailvelope 3.0 wurde die Verschlüsselungsbibliothek OpenPGP.js auf die Version 4.2 aktualisiert. Neben zahlreichen Verbesserungen erhält Mailvelope damit Unterstützung für das Verschlüsselungsverfahren ECC (Elliptische Kurven Kryptografie). Zusätzlich wurde mit diesem Update von OpenPGP.js auch die Sicherheit verbessert (Release-Hinweise OpenPGP.js 4.2).

Möglich wurden die Neuentwicklungen in der Version 3.0 durch ein Projekt des Bundesamtes für Informationssicherheit (BSI). Wir danken allen Beteiligten für die gute Zusammenarbeit und die damit verbundenen Verbesserungen von Mailvelope.