Sobre de correo

Extensión del navegador para el cifrado OpenPGP con servicios de correo web

Mailvelope es un software gratuito para el cifrado de extremo a extremo del tráfico de correo electrónico dentro de un navegador web ( Firefox , Chromium o Edge ) que se integra en las aplicaciones de correo web existentes ("sitios web de correo electrónico"). Se puede utilizar para cifrar y firmar mensajes electrónicos, incluidos los archivos adjuntos , sin el uso de un cliente de correo electrónico nativo independiente (como Thunderbird) utilizando el estándar OpenPGP .

El nombre es una combinación de las palabras "mail" y "envelope". Se publica junto con su código fuente bajo los términos de la versión 3 de la Licencia Pública General Affero de GNU (AGPL). La empresa Mailvelope GmbH ejecuta el desarrollo utilizando un repositorio de código público en GitHub . El desarrollo está patrocinado por el Open Technology Fund e Internews . ^[2]

Alternativas similares fueron Mymail-Crypt ^[3] y WebPG. ^[4]

Características

Mailvelope equipa las aplicaciones de correo web con la funcionalidad OpenPGP. El soporte para varios proveedores populares como Gmail , Yahoo , Outlook en la web y otros está preconfigurado. ^{[5] [6]} El software de correo web Roundcube detecta y admite Mailvelope a partir de la versión 1.2 de mayo de 2016, así como la mayoría de los clientes de correo web (autoalojados). ^[7] Para Chromium/Chrome existe la posibilidad de instalar desde una fuente autenticada utilizando el administrador de extensiones de software integrado " Chrome Web Store ". ^[8] Además, Mailvelope también está disponible para Firefox y Microsoft Edge como complemento .

Mailvelope funciona según el estándar OpenPGP , un criptosistema de clave pública estandarizado por primera vez en 1998 y está escrito en JavaScript . En las páginas web predefinidas o autorizadas por el usuario, superpone la página con sus elementos de control, que se distinguen ópticamente como separados de la aplicación web por un fondo de seguridad circundante. Este fondo se puede personalizar para detectar suplantaciones. ^[4] Para el cifrado, se basa en la funcionalidad de la biblioteca de programas OpenPGP.js, una implementación gratuita en JavaScript del estándar OpenPGP. Al ejecutarse dentro de un marco en línea separado , su código se ejecuta por separado de la aplicación web y debería evitar que acceda al contenido de los mensajes de texto sin cifrar. ^[3]

La integración de Mailvelope a través de una API, desarrollada en colaboración con United Internet , permite una integración más profunda entre el servicio de correo web y los componentes de Mailvelope. De esta forma, la configuración y generación de un par de claves se puede realizar directamente en el correo web mediante un asistente. Mailvelope administra todas las claves OpenPGP localmente en el navegador. ^[9] Desde la versión 3.0, se puede incluir una instalación local de GnuPG en la administración de claves de Mailvelope, lo que permite a los usuarios utilizar aplicaciones nativas si así lo desean. ^[10]

Historia y uso

Thomas Oberndörfer comenzó a desarrollar Mailvelope en la primavera de 2012 y el 24 de agosto se publicó la primera versión pública, la 0.4.0.1. La revelación de la vigilancia mundial planteó dudas sobre la seguridad de las comunicaciones por correo electrónico privadas y comerciales. En aquel momento, el cifrado de correo electrónico con OpenPGP se consideraba demasiado complicado de utilizar. Además, los servicios de correo web que eran especialmente populares entre los particulares no ofrecían ninguna función de cifrado de extremo a extremo. Esto provocó que en la prensa se mencionara varias veces a Mailvelope como una posible solución a este problema. ^{[11] [12] [13]}

Mario Heiderich y Krzysztof Kotowicz de Cure53 realizaron una auditoría de seguridad de una versión alfa de 2012/2013. ^[8] Entre otras cosas, se mejoró la separación de la aplicación web y sus estructuras de datos en función de sus hallazgos. En febrero de 2014, el mismo grupo analizó la biblioteca OpenPGP.js en la que se basa Mailvelope. La versión 0.8.0, publicada en abril del año siguiente, adoptó las correcciones resultantes y agregó soporte para la firma de mensajes. En mayo de 2014, iSEC Partners publicó un análisis de la extensión de Firefox. ^[4] La versión 1.0.0 se publicó el 18 de agosto de 2015.

En abril de 2015, los proveedores de De-Mail equiparon sus servicios con una opción desactivada por defecto para el cifrado de extremo a extremo basado en Mailvelope, pero solo se podía utilizar en combinación con Mobile TAN o el documento de identidad electrónico alemán . ^[14] La nueva versión de la extensión se lanzó en mayo de 2015. En agosto de 2015, los servicios de correo electrónico de Web.de y GMX introdujeron soporte para el cifrado OpenPGP e integraron Mailvelope en sus aplicaciones de correo web para ello. Según la propia información de la empresa, esta opción para cifrar correos electrónicos de esta manera estaba disponible para alrededor de 30 millones de usuarios. ^[15]

Un estudio de 2015 examinó la usabilidad de Mailvelope como un ejemplo de un cliente OpenPGP moderno y lo consideró inadecuado para las masas. Recomendaron integrar la funcionalidad de asistente, enviar mensajes de invitación instructivos a nuevos socios de comunicación y publicar textos explicativos básicos. ^[16] El sistema OpenPGP basado en Mailvelope de United Internet integra dicha funcionalidad y su usabilidad obtuvo algunas menciones positivas en la prensa, particularmente la función de sincronización de claves ofrecida. ^{[17] [9]} Sin embargo, un análisis de usabilidad de 2016 encontró que todavía era "digno de mejora" ("verbesserungswürdig"), y mencionó "redacción confusa" ("irritierende Formulierungen"), falta de comunicación del concepto, malas recomendaciones de contraseñas, falta de disociación negativa del modo más destacado que solo presenta cifrado de transporte, además de soporte insuficiente para la verificación de autenticidad de claves (para frustrar ataques de intermediarios ). ^[4]

Mailvelope fue mejorado en 2018/19 como parte de una iniciativa de BSI. ^[18] En general, "la gestión de claves se simplificó y la seguridad del software mejoró". Se cerraron todas las vulnerabilidades de seguridad en el código fuente de Mailvelope, así como en la biblioteca de programas OpenPGP.js utilizada, que salieron a la luz mediante una auditoría de seguridad realizada por SEC Consult. ^{[19] [20]} Según BSI, un objetivo del proyecto también era permitir que los operadores de sitios web ofrecieran formularios de contacto en el futuro para cifrar de forma segura los mensajes desde el navegador del usuario al destinatario. La importación de nuevas claves se cifraría mediante HTTPS utilizando el protocolo WKD (Web Key Directory). ^[19]

Referencias

1. "Lanzamiento Mailvelope 5.1.1 · mailvelope/Mailvelope". GitHub .
2. "Mailvelope: PGP para Gmail y correo web". mailvelope.com . Consultado el 2 de marzo de 2022 .
3. Akash Badshah; Anurag Kashyap; Kenny Lam; Vikas Velagapudi, SendSecure (courses.csail.mit.edu) (en alemán)
4. Schochlow; Esteban Neumann; Kristoffer Braun; Melanie Volkamer (2016), "Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung", Datenschutz und Datensicherheit (en alemán), vol. 40, núm. 5, Wiesbaden: Springer Fachmedien, págs. 295–299, doi :10.1007/s11623-016-0599-5, S2CID  12246719
5. "Mailvelope". Derecho a ocultarse (en alemán). Unión Húngara de Libertades Civiles (HCLU). Archivado desde el original el 2016-09-26 . Consultado el 2016-09-26 .
6. "Preguntas frecuentes | Mailvelope". mailvelope.com . Consultado el 2 de marzo de 2022 .
7. "PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht". Golem.de (en alemán) . Consultado el 25 de septiembre de 2016 .
8. Mario Heiderich; Krzysztof Kotowicz, Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (en alemán)
9. Bleich, Axel Kossel (21 de agosto de 2015). "GMX y Web.de integran PGP en su correo electrónico". C't (en alemán). vol. 2015, núm. 19. pág. 40 . Consultado el 28 de diciembre de 2015 .
10. "BSI-Projekt 'Weiterentwicklung von Mailvelope'". Bundesamt für Sicherheit in der Informationstechnik (en alemán) . Consultado el 2 de marzo de 2022 .
11. Finley, Klint. "El renovado Gmail de Google podría generalizar el cifrado". Wired . ISSN  1059-1028 . Consultado el 2 de marzo de 2022 .
12. Tufnell, Nicholas (6 de marzo de 2015). "21 consejos, trucos y atajos para ayudarte a mantener el anonimato en línea". The Guardian . Consultado el 2 de marzo de 2022 .
13. Russon, Mary-Ann (6 de marzo de 2015). "Cómo cifrar sus correos electrónicos con PGP para mantener sus secretos seguros" . Consultado el 2 de marzo de 2022 .
14. "Correo electrónico integrado Ende-zu-Ende-Verschlüsselung con PGP". Heise en línea (en alemán). 9 de marzo de 2015 . Consultado el 25 de septiembre de 2016 .
15. "Web.de und GMX führen PGP-Verschlüsselung für Mail ein". Heise en línea (en alemán). 20 de agosto de 2015 . Consultado el 25 de septiembre de 2016 .
16. Scott Ruoti; Jeff Andersen; Daniel Zappala; Kent Seamons (2015), Por qué Johnny Still, todavía no puede cifrar: evaluación de la usabilidad de un cliente PGP moderno (en alemán), arXiv : 1510.08555
17. Patrick Beuth, "GMX und Web.de: Der schnellste Weg zur verschlüsselten E-Mail" (zeit.de) , Die Zeit (en alemán), Hamburgo
18. "BSI-Projekt 'Weiterentwicklung von Mailvelope'". Bundesamt für Sicherheit in der Informationstechnik (en alemán) . Consultado el 2 de marzo de 2022 .
19. Scherschel, Fabián (23 de agosto de 2019). "PGP-Verschlüsselung für Webbrowser: BSI-Projekt verbessert Open-Source-Software Mailvelope". deise.de (en alemán) . Consultado el 2 de marzo de 2022 .
20. Ettlinger, W. (2019). "Extensiones de Mailvelope: auditoría de seguridad".

Enlaces externos

• Sitio web oficial
• mailvelope en GitHub