Share
Was Sie erstellen werdenDies ist das nächste Tutorial einer Serie, in dem Sie Ihre E-Mails verschlüsseln. Im ersten Tutorial haben wir die allgemeinen Konzepte der Verschlüsselung vorgestellt und wie sie verwendet werden können, um unsere E-Mails zu schützen und zu authentifizieren. Im zweiten Tutorial habe ich Sie durch die Installation der Verschlüsselungssoftware auf Ihrem Computer geführt und begann mit dem Senden Ihrer ersten Nachrichten. Wir haben GPGTools für Mac OS X verwendet, eine Integration von Open Source GnuPG. In der dritten Episode habe ich Ihnen Keybase vorgestellt, einen Dienst zur Stärkung des Web of Trust.
In diesem Lernprogramm führe ich Sie durch die Verwendung eines browserbasierten Plugins zum Verschlüsseln und Entschlüsseln von E-Mails für browserbasiertes Webmail wie Google Mail. Ich werde auch einige der Schwachstellen von Browser-basierten PGP-Lösungen behandeln.
Sie können nicht nur die früheren Episoden lesen, sondern auch den Leitfaden zur Selbstverteidigung der Electronic Frontier Foundation.
In den nächsten Episoden werden wir PGP-Lösungen für Smartphones untersuchen und Ihre Internetaktivitäten mithilfe eines VPN verschlüsseln. Schließlich verwenden wir im Rahmen der Serie zur Verwaltung Ihrer digitalen Assets nach Ihrem Tod das Gelernte, um im Notfall einen sicheren Cache mit wichtigen Informationen für Ihre Nachkommen zu erstellen.
Nur zur Erinnerung, ich nehme regelmäßig an den folgenden Diskussionen teil. Wenn Sie eine Frage oder ein Thema haben, schreiben Sie bitte einen Kommentar. Sie können mir auch auf Twitter @reifman folgen oder mich direkt per E-Mail kontaktieren.
Nun, da wir mit der Verwendung von verschlüsselten Nachrichten beginnen, ist es sinnvoll zu fragen, ob wir es über browserbasiertes Webmail wie Google Mail verwenden können. Die kurze Antwort lautet ja, jedoch nicht mit dem gleichen Sicherheitsniveau wie anwendungsbasierte Lösungen.
Mailvelope ist eine solche Browsererweiterung für Chrome und Firefox. Die PGP-Engine basiert auf Open-Source-OpenPGP.js. Es bietet integrierte Kompatibilität für Google Mail, Yahoo Mail, Outlook.com und GMX.
Als browserbasierte Lösung ist Mailvelope auf verschiedene Weise verwundbar. Das Hauptanliegen ist das Hosten Ihres privaten Schlüssels im Browser. Mailvelope verschlüsselt Ihren Schlüssel mit einer Passphrase. Daher ist das verschlüsselte Paket wie alle anderen browserbasierten Daten einem Online-Diebstahl ausgesetzt. Mailvelope empfiehlt ein sicheres Kennwort, wie es in diesem Artikel von Intercept vorgeschlagen wird:
In Anbetracht des Szenarios, in dem ein Angreifer den privaten Schlüssel stehlen kann, hängt die Widerstandsfähigkeit gegen Brute-Force-Angriffe auf den verschlüsselten privaten Schlüssel von der Qualität des Kennworts ab.
Mailvelope sagt auch, "wenn einer der Computer auf beiden Seiten der Kommunikation gefährdet ist (z. B. mit einem Schlüssellogger), wird die Verschlüsselung nicht helfen."
Im letzten Sommer kündigte Google eine eigene PGP-Erweiterung für Chrome mit dem Namen End-to-End an, die jedoch nicht zur Hauptsendezeit bereit ist - wahrscheinlich aus denselben Gründen. Es ist derzeit in der Alpha-Version, da die Sicherheitsfunktionen verbessert werden sollen. Den Code erhalten Sie bei GitHub. Ich gehe davon aus, dass Google Chrome einige Funktionen hinzufügt, um den privaten Schlüssel sicherer zu speichern, hoffentlich auf eine Art und Weise, von der auch Drittanbieter wie Mailvelope profitieren können.
Um mit Mailvelope zu beginnen, müssen wir die Erweiterung zu Chrome oder Firefox hinzufügen. Wenn Sie auf den Chrome-Erweiterungslink klicken, wird Folgendes angezeigt:
Die Installation war für mich ziemlich schnell - kein Neustart erforderlich. Das Symbol oben rechts im Browserfenster wird für die Navigation und den Status der Erweiterung angezeigt:
Die Mailvelope-Hauptseite sollte ebenfalls sofort angezeigt werden:
Um fortzufahren, müssen wir unseren öffentlichen und privaten Schlüssel importieren.
Wenn Sie unseren vorherigen Tutorials gefolgt sind, verwenden Sie bereits ein Schlüsselpaar. Wenn Sie ein neues Schlüsselpaar generieren müssen, übernimmt Mailvelope dies für Sie.
In meinem Fall möchte ich mein vorhandenes Schlüsselpaar importieren. Klicken Sie dazu auf Schlüssel importieren und fügen Sie Ihren öffentlichen Schlüssel ein und senden ihn ab:
Wiederholen Sie den Vorgang mit Ihrem privaten Schlüssel.
Sie sollten so etwas unter sehen Tasten anzeigen:
Wenn Sie auf den Schlüssel klicken, können Sie weitere Informationen sehen und Details dazu verwalten:
Das Versenden von Nachrichten mit Mailvelope ist einfach, aber Sie müssen öffentliche Schlüssel für alle vorgesehenen Empfänger importieren. Besorgen Sie sich einfach die vertrauenswürdigen öffentlichen Schlüssel für Ihren Empfänger, z. B. meinen bei Keybase, und führen Sie die oben genannten Schritte aus, um sie in Ihren Mailvelope-Schlüsselbund zu importieren.
Dann verfassen Sie in Google Mail eine neue Nachricht. Beachten Sie das kleine Popup rechts unten.
Durch Klicken auf das Popup wird das mit Mailvelope verschlüsselte Nachrichtenformular angezeigt:
Geben Sie Ihre geheime Nachricht ein und klicken Sie auf Verschlüsseln. Mailvelope fordert Sie auf, den für die Verschlüsselung zu verwendenden öffentlichen Schlüssel anzugeben. Ich sende dies an meinen Freund Phillip, einen Kollegen, der die PGP-Verschlüsselung für Journalisten groß geschrieben hat und mich dazu ermutigt hat, über diese Themen zu schreiben. Wählen Sie den Empfänger und klicken Sie auf Hinzufügen:
Mailvelope verschlüsselt die Nachricht. Klick einfach Transfer, Dadurch wird die PGP-Nachricht wieder in das Google Mail-Erstellungsfenster eingefügt.
Es ist schön, in einer Gmail-Nachricht Klartextnachrichten und geheime verschlüsselte Nachrichten problemlos kombinieren zu können.
Wenn Sie eine verschlüsselte Nachricht erhalten, zeigt Mailvelope eine halbtransparente Überlagerung über der Nachricht an.
Klicken Sie auf das Overlay, und Sie werden nach Ihrer Passphrase gefragt, um Ihren privaten Schlüssel zu entsperren. Stellen Sie sicher, dass niemand über Ihre Schulter schaut - Citdenfour, Snowden mit Decke bedeckt.
Klicken OK und Ihre geheime Nachricht wird angezeigt. Natürlich habe ich es verdunkelt, weil ich Phillip nicht beschämen möchte, weil ich mich beschwert habe, dass ich ihm nicht genug Anerkennung gebe, um Artikelthemen vorzuschlagen (Mailvelope war übrigens nicht seine Idee, aber ein paar andere in dieser Serie waren- aber ich schweife ab).
Ich hoffe, Sie sind beeindruckt von Mailvelope. Ich fand es ziemlich einfach und nützlich. Mehr dazu erfahren Sie in den Dokumentations- und FAQ-Seiten. Wenn Sie es versuchen, verwenden Sie eine sehr sichere Passphrase (hat jemand noch Würfel, ernsthaft?).
Bitte zögern Sie nicht, unten Ihre Fragen und Kommentare zu posten. Sie können mir auch auf Twitter @reifman folgen oder mich direkt per E-Mail kontaktieren. Durchsuchen Sie meine Tuts + Instructor-Seite, wenn Sie andere Tutorials sehen möchten, die ich geschrieben habe.
Accentsconagua