Mailvelope-Unterstützung beim Webmailer

Unsere Webmail-Software unterstützt die PGP-Verschlüsselung bzw. Entschlüsselung von E-Mails im Webbrowser mittels dem Browserplugin Mailvelope. Bitte richte Dich bei der Einrichtung von Mailvelope für webmail.jpberlin.de nach der offiziellen Dokumentation von Mailvelope und beachte, dass dies kein Produkt von uns ist, für das wir ausführlichen Support anbieten können!

Um Mailvelope mit unserem Webmailer zu nutzen, musst Du in Deinem Browser das Plugin installieren. Das Plugin gibt es für Firefox und für Chrome/Chromium.
Mailvelope unterstützt zwar nur die PGP-Inline-Verschlüsselung. Mittels einer Anpassung durch uns im Roundcube werden aber auch pgp/mime-verschlüsselte Nachrichten inline dargestellt.

Die Vorteile:

• OpenPGP-E-Mail-Verschlüsselung ist direkt in der Weboberfläche nutzbar und nicht nur in E-Mail-Client wie z.B. Thunderbird. Du kannst E-Mails direkt dort verschlüsseln, entschlüsseln und signieren.
• Die dazu nötigen OpenPGP-Schlüssel werden auf Deinem Rechner gespeichert.

Die Nachteile:

Gleichzeitig nimmst Du mit der Nutzung des Add-ons Mailvelope auch einige Nachteile bezüglich der Sicherheit in Kauf. Nach unserer Einschätzung bietet Mailvelope lediglich „hinreichende Sicherheit“ und ist für hohe Sicherheitsanforderungen nicht geeignet. Unsere Gründe für diese Einschätzung:

• Deine Schlüssel werden auf Deinem Computer im Local Storage des Browsers gespeichert. Im HTML5 Security Cheat Sheet wird vom OWASP empfohlen, keine sensiblen Informationen im Local Storage des Browsers zu speichern, da diese Daten mit XSS-Angriffen kompromittiert werden könnten. Auch die Security Analyse zu Mailvelope (PDF) weist am Ende auf das grundsätzlich vorhandene Risiko von XSS-Angriffen hin. Insbesondere Nutzer von Mozilla Firefox sind dabei gefährdet, da dieser Browser weniger Schutzmechanismen bietet als Google Chrome. Wir empfehlen allen Firefox Nutzern deshalb, das Add-on Mailvelope in Kombination mit dem Add-on NoScript einzusetzen. NoScript enthält einige Sicherheitsfeatures wie z.B. XSS-Protection, die in Firefox fehlen.
• Javascript wurde nicht als Programmiersprache für Krypto-Anwendungen entworfen. Features, die als Best Practice für die Implementierung von Kryptografie gelten, sind mit Javascript nicht umsetzbar. Beispielsweise ist es mit Javascript nicht möglich, einen geheimen Schlüssel nach der Benutzung sicher aus dem Hauptspeicher zu löschen (Overwriting memory – why?). Das normale Verhalten von Mailvelope wurde bspw. bei Tor Onion Router als Security Bug eingestuft.

Die Einrichtung von Mailvelope

Die Mailvelope-Unterstützung ist auf unserer Seite angeschaltet. Wenn Du das Plugin im Browser installiert hast, klickst Du auf den Plugin-Knopf und fügst die Seite webmail.jpberlin.de hinzu, wie in der Mailvelope-Hilfe beschrieben.

Du musst Dir in Mailvelope außerdem ein OpenPGP-Schlüsselpaar generieren lassen, bevor Du verschlüsselte Mails erhalten kannst. Das Passwort zu diesem Schlüssel darfst Du nicht vergessen, sonst kannst Du die verschlüsselten Mails später nicht wieder öffnen! Auch wichtig: Vorher musst Du in der Mailvelope-Schlüsselverwaltung in diesem Menü „webmail.jpberlin.de“ auswählen, sonst werden Deine Schlüssel später nicht dem passenden Postfach zugeordnet. Wenn es den Menüpunkt „webmail.jpberlin.de“ anfangs noch nicht gibt, dann versuche bitte später, wenn Du den Punkt siehst, nochmal ein Schlüsselpaar zu generieren.

Das Empfangen einer Nachricht

Wenn Du eine verschlüsselte Mail empfängst, springt das Plugin automatisch nach einem kurzen Moment an und öffnet eine Passwort-Abfrage. Wenn Du mit dem Passwort Deinen Schlüssel entsperrt hast, wird Dir der Inhalt der Mail angezeigt.

Das Senden einer Nachricht

Wechsel bitte beim Senden einer Nachricht in den HTML-Modus (falls Du nicht schon automatisch in dem Modus bist). Nur dort startet Mailvelope sicher, um den Mailvelope-eigenen Editor nutzen zu können (mittels zusätzlich eingeblendeter Schaltfläche).