Fripost wiki » Vad är Mailvelope och kryptering för webmail? »

Styrelsen har återkommit till frågan om kryptering i webbmailen regelbundet sedan 2015. Fortfarande under 2019 har frågan växt intresse på medlemslistan. Skriv gärna så att administrationen får reda på om det finns intresse bland medlemmarna att undersöka saken vidare.

Såhär kan det låta:

Jag har hört om Mailvelope. Är det en bra grej? Jag skulle gärna kryptera min epost i vissa sammanhang men vill gärna fortsätta använda webmail.

Kryptering av e-post går på flera sätt. Säkrast och vanligast är mellan slutanvändare genom egen e-postklient. Det finns ändå i grunden två möjligheter att åstadkomma kryptering i webbmailklienten.

Kryptering på serversidan. För Roundcube finns insticksmodulen Enigma för OpenPGP. Att kryptera för andra är givetvis harmlöst. Dock innebär Enigma att privata nycklar för signering och avkryptering måste laddas upp på servern. Att ladda upp privat nyckelmaterial är problematiskt. På grund av dylik komplexitet beslutade styrelsen att inte installera insticksmodulen. De flesta som använder PGP håller sig ändå till första metoden.

En tredje mellanväg är implementationer av OpenPGP i webbläsaren genom ett utökningsbibliotek till JavaScript. Ett exempel är just Mailvelope. Metoden tillåter användaren att hålla sig till webbmaiklienten, men att allt nyckelmaterial behålls lokalt på datorn. Krypteringen sker i webbläsaren. Även Mailvelope finns som insticksmodul till Roundcube, men går med lite kringarbete även köra direkt i webbläsaren utan modulen.

Svagheten är en fundamentalt större intrångsmöjlighet jämfört med vanliga klienter. Dels är webbläsare extremt utsatta miljöer, och dels skickas själva JavaScriptkoden som från serversidan på Fripost. Fripost tar väl hand om sina servrar och gör allt för att de ska vara säkra, men det rena faktummet utgör en svaghet.

En styrka allmänt med webbmail är att den går att komma åt genom valfri webbläsare. Med Mailvelope måste den privata avkrypteringsnyckeln sparas på datorn. Det blir en jämförbar praktisk nackdel, eftersom det alltså inte längre går att använda webbmail från andra datorer för krypterade och signerade e-postkonversationer.

(Materialet i texten är primärt inspirerat av e-postkonversationer med Guilhem jan 2015, nov 2015 och jun 2016)


Last modified | History | Source | Preferences