メールベロープ
メールベロープ
開発者メールベロープ株式会社
初回リリース2012 (2012年
安定版リリース
5.1.1 [ 1 ] / 2023年10月13日 ( 2023-10-13 )
書かれたJavaScript
プラットフォームウェブブラウザ
タイプブラウザ拡張機能
ライセンスAGPLフリーソフトウェア
Webサイトwww.mailvelope.com
リポジトリGitHubmailvelope

Mailvelopeは、既存のウェブメールアプリケーション(「メールウェブサイト」)に統合され、ウェブブラウザFirefoxChromiumEdge )内でのメールトラフィックをエンドツーエンドで暗号化するフリーソフトウェアです。OpenPGP規格に基づき、Thunderbirdなどのネイティブメールクライアントを使用せずに、添付ファイルを含む電子メッセージを暗号化および署名できます。

この名称は「mail(メール)」と「envelope(封筒)」を組み合わせた造語です。ソースコードと共にGNU Affero General Public License (AGPL)バージョン3の条件に基づいて公開されています。Mailvelope GmbH社がGitHub上の公開コードリポジトリを用いて開発を行っています。開発はOpen Technology FundInternewsによって支援されています。[ 2 ]

同様の代替手段としてはMymail-Crypt [ 3 ]とWebPG [ 4 ]がありました。

特徴

MailvelopeはウェブメールアプリケーションにOpenPGP機能を搭載します。Gmail 、YahooOutlook on the webなどの人気プロバイダのサポートがあらかじめ設定されています。[ 5 ] [ 6 ] ウェブメールソフトウェアRoundcubeは、2016年5月のバージョン1.2以降でMailvelopeを検知し、サポートしています。また、ほとんどの(セルフホスト型)ウェブメールクライアントもサポートしています。 [ 7 ] Chromium/Chromeでは、統合されたソフトウェア拡張機能マネージャー「 Chromeウェブストア」を使用して、認証されたソースからインストールすることができます。[ 8 ]さらに、MailvelopeはFirefoxとMicrosoft Edgeのアドオンとしても利用できます。

Mailvelopeは、 1998年に初めて標準化された公開鍵暗号システムであるOpenPGP標準に準拠しており、 JavaScriptで記述されています。あらかじめ設定されたWebページ、またはユーザーが承認したWebページでは、コントロール要素がページに重ねて表示されます。コントロール要素は、セキュリティ背景によってWebアプリケーションとは視覚的に区別されます。この背景は、なりすましを検出するためにカスタマイズできます。[ 4 ]暗号化には、OpenPGP標準のJavaScript実装であるOpenPGP.jsプログラムライブラリの機能を利用しています。独立したインラインフレーム内で実行されるため、コードはWebアプリケーションとは独立して実行され、平文のメッセージ内容へのアクセスを防ぎます。[ 3 ]

United Internetとの共同開発によるAPIを介したMailvelopeの統合により、ウェブメールサービスとMailvelopeコンポーネント間のより緊密な統合が可能になりました。これにより、ウィザードを使用してウェブメール内で直接鍵ペアの設定と生成を行うことができます。MailvelopeはすべてのOpenPGP鍵をブラウザ内でローカルに管理します。[ 9 ]バージョン3.0以降、Mailvelopeの鍵管理にローカルGnuPGインストールを組み込むことができるため、ユーザーは必要に応じてネイティブアプリケーションを使用できます。[ 10 ]

歴史と使用法

トーマス・オーバーンドルファーは2012年春にMailvelopeの開発を開始し、最初の公開バージョン0.4.0.1を8月24日にリリースしました。世界的な監視活動の暴露により、個人および企業の電子メール通信のセキュリティに関する疑問が生じました。当時、OpenPGPによる電子メール暗号化は複雑すぎて使いこなせませんでした。さらに、特に個人に人気のウェブメールサービスは、エンドツーエンドの暗号化機能を提供していませんでした。そのため、Mailvelopeはこの問題の解決策として、様々なメディアで取り上げられました。[ 11 ] [ 12 ] [ 13 ]

Cure53のマリオ・ハイデリッヒとクリストフ・コトヴィッツは、 2012年から2013年にかけてのアルファ版セキュリティ監査を実施した。[ 8 ]監査結果に基づき、ウェブアプリケーションとそのデータ構造の分離が改善された。2014年2月には、同じグループがMailvelopeのベースとなっているライブラリOpenPGP.jsを分析した。翌年4月にリリースされたバージョン0.8.0では、その結果として得られた修正が採用され、メッセージ署名のサポートも追加された。2014年5月には、iSEC PartnersがFirefox拡張機能の分析を公開した。[ 4 ]バージョン1.0.0は2015年8月18日に公開された。

2015年4月、De-Mailプロバイダーは、Mailvelopeに基づくエンドツーエンド暗号化のデフォルトで無効化されたオプションを自社のサービスに搭載しましたが、これはモバイルTANまたはドイツの電子IDカードと組み合わせてのみ使用できました。[ 14 ]拡張機能の新バージョンは2015年5月にリリースされました。2015年8月、Web.deGMXのメールサービスはOpenPGP暗号化のサポートを導入し、そのためにMailvelopeをウェブメールアプリケーションに統合しました。同社自身の情報によると、この方法で電子メールを暗号化するオプションは約3,000万人のユーザーが利用可能でした。[ 15 ]

2015年の調査では、Mailvelopeを現代のOpenPGPクライアントの例としてユーザビリティを調査し、一般ユーザーにとって不適切であると結論付けました。この調査では、アシスタント機能の統合、新しいコミュニケーション相手への説明的な招待メッセージの送信、基本的な説明文の公開などが推奨されました。[ 16 ] United InternetのMailvelopeベースのOpenPGPシステムはこうした機能を統合しており、そのユーザビリティはメディアで好意的に評価され、特に鍵同期機能について高く評価されました。[ 17 ] [ 9 ]しかし、2016年のユーザビリティ分析では、Mailvelopeは依然として「改善の余地がある」("verbesserungswürdig")と評価され、「紛らわしい表現」("irritierende Formulierungen")こと、コンセプトの伝達不足、不適切なパスワード推奨、トランスポート暗号化のみを特徴とするより一般的なモードとの明確な分離の欠如、そして鍵の真正性チェック(中間者攻撃を阻止するための)のサポート不足が指摘されました。[ 4 ]

Mailvelopeは、BSIの取り組みの一環として2018/19年に強化されました。[ 18 ]全体として、「鍵管理が簡素化され、ソフトウェアのセキュリティが向上しました。」SEC Consultが実施したセキュリティ監査で明らかになったMailvelopeのソースコードと使用されているOpenPGP.jsプログラムライブラリのすべてのセキュリティ脆弱性が修正されました。[ 19 ] [ 20 ] BSIによると、このプロジェクトの目標の一つは、ウェブサイト運営者が将来的に連絡フォームを提供し、ユーザーのブラウザから受信者へのメッセージを安全に暗号化できるようにすることです。新しい鍵のインポートは、WKD(Web Key Directory)プロトコルを使用してHTTPSで暗号化されます。[ 19 ]

参考文献

  1. ^ "Mailvelope 5.1.1 をリリース · mailvelope/Mailvelope" . GitHub
  2. ^ 「Mailvelope: GmailとWebメール向けのPGP」 . mailvelope.com . 2022年3月2日閲覧。
  3. ^ a bアカシュ・バドシャー;アヌラグ・カシャプ。ケニー・ラム。 Vikas Velagapudi、SendSecure (courses.csail.mit.edu) (ドイツ語)
  4. ^ a b c dヴェレーナ・ショッホロー;ステファン・ノイマン;クリストファー・ブラウン。 Melanie Volkamer (2016)、「Bewertung der GMX/Mailvelope-Ende-zu-Ende-Verschlüsselung」Datenschutz und Datensicherheit (ドイツ語)、vol. 40、いいえ。 5、ヴィースバーデン: Springer Fachmedien、pp.  295–299doi : 10.1007/s11623-016-0599-5S2CID 12246719 
  5. ^ 「Mailvelope」。 「隠す権利」(ドイツ語)。ハンガリー市民自由連合(HCLU)。2016年9月26日時点のオリジナルよりアーカイブ。 2016年9月26日閲覧
  6. ^ “FAQ | Mailvelope” . mailvelope.com 2022-03-02に取得
  7. ^ "PGP-Unterstützung: Neuer Roundcube-Webmailer veröffentlicht" . Golem.de (ドイツ語) 2016 年 9 月 25 日に取得
  8. ^ a bマリオ・ハイデリヒ;クシシュトフ・コトヴィッチ、Pentest-Report Mailvelope 12.2012–02.2013 (cure53.de) (ドイツ語)
  9. ^ a bブライヒ、アクセル・コッセル (2015 年 8 月 21 日)。「ihre Mail-Dienste における GMX と Web.de integrieren PGP」C't (ドイツ語)。 Vol. 2015年、いいえ。 19ページ40. 2022年4月22日のオリジナルよりアーカイブ2015 年 12 月 28 日に取得
  10. ^ "BSI プロジェクト「Weiterentwicklung von Mailvelope」" . Bundesamt für Sicherheit in der Informationstechnik (ドイツ語) 。2022年 3 月 2 日閲覧
  11. ^フィンリー、クリント。 「Googleの刷新されたGmail暗号化を主流にする可能性」 Wired。ISSN 1059-1028 2022年3月2日閲覧 
  12. ^ Tufnell, Nicholas (2015年3月6日). 「オンラインで匿名性を保つための21のヒント、コツ、近道」 . The Guardian . 2022年3月2日閲覧。
  13. ^ Russon, Mary-Ann (2015年3月6日). 「PGPを使ってメールを暗号化し、秘密を安全に守る方法」. 2022年3月2日閲覧。
  14. ^ "De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP" . Heise Online (ドイツ語)。 2015 年 3 月 9 日2016 年 9 月 25 日に取得
  15. ^ "Web.de と GMX の PGP-Verschlüsselung für Mail ein" . Heise Online (ドイツ語)。 2015 年 8 月 20 日2016 年 9 月 25 日に取得
  16. ^スコット・ルオティ、ジェフ・アンダーセン、ダニエル・ザッパラ、ケント・シーモンズ(2015年)、なぜジョニーは依然として暗号化できないのか:現代のPGPクライアントの使いやすさの評価(ドイツ語)、arXiv1510.08555
  17. ^ Patrick Beuth (2015 年 8 月 24 日)、「GMX und Web.de: Der schnellste Weg zur verschlüsselten E-Mail」(zeit.de)Die Zeit (ドイツ語)、ハンブルク
  18. ^ "BSI プロジェクト「Weiterentwicklung von Mailvelope」" . Bundesamt für Sicherheit in der Informationstechnik (ドイツ語) 。2022年 3 月 2 日閲覧
  19. ^ a bシェルシェル、ファビアン (2019-08-23). 「PGP-Verschlüsselung für Webbrowser: BSI-Projekt veressert Open-Source-Software Mailvelope」deise.de (ドイツ語) 2022-03-02に取得
  20. ^エットリンガー、W. (2019)。「Mailvelope 拡張機能 - セキュリティ監査」
ウィキメディア コモンズには、 Mailvelopeに関連するメディアがあります。
「 https://en.wikipedia.org/w/index.php?title=Mailvelope&oldid=1329705515」より取得