summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
authorGustav Eek <gustav.eek@fripost.org>2020-02-26 22:57:37 +0100
committerGustav Eek <gustav.eek@fripost.org>2020-02-26 22:57:37 +0100
commit20ff6fb43eacb0264e21f57b89df2406cd31d729 (patch)
tree3054fa812b88f65432a9bb4044cc0a2e9d47cc0f
parentee99103176289990c1d0c19dd9129e11540585ef (diff)
Add article on Mailvelope.
Should this be FAQ?
-rw-r--r--index.mdwn3
-rw-r--r--mailvelope.mdwn49
2 files changed, 51 insertions, 1 deletions
diff --git a/index.mdwn b/index.mdwn
index e697f6b..5339d25 100644
--- a/index.mdwn
+++ b/index.mdwn
@@ -89,7 +89,8 @@ Tekniskt
för förhandsgranskning av wikin
* [Att skapa en egen labb-wiki](create-a-wiki) – att konstruera en egen
ikiwiki-uppsättning för laborationer
-
+* [kryptering för webmail](mailvelope) -- Vad är Mailvelope, Enigma
+ och kryptering för webmail?
Övrigt
------
diff --git a/mailvelope.mdwn b/mailvelope.mdwn
new file mode 100644
index 0000000..db73966
--- /dev/null
+++ b/mailvelope.mdwn
@@ -0,0 +1,49 @@
+% Vad är Mailvelope och kryptering för webmail?
+
+Styrelsen har återkommit till frågan om kryptering i webbmailen
+regelbundet sedan 2015. Fortfarande under 2019 har frågan växt
+intresse på medlemslistan. Skriv gärna så att administrationen får
+reda på om det finns intresse bland medlemmarna att undersöka saken
+vidare.
+
+Såhär kan det låta:
+
+> Jag har hört om [Mailvelope](https://www.mailvelope.com/en). Är det
+> en bra grej? Jag skulle gärna kryptera min epost i vissa sammanhang
+> men vill gärna fortsätta använda webmail.
+
+Kryptering av e-post går på flera sätt. Säkrast och vanligast är
+mellan slutanvändare genom egen e-postklient. Det finns ändå i grunden
+två möjligheter att åstadkomma kryptering i webbmailklienten.
+
+Kryptering på serversidan. För Roundcube finns insticksmodulen Enigma
+för OpenPGP. Att kryptera för andra är givetvis harmlöst. Dock innebär
+Enigma att privata nycklar för signering och avkryptering måste laddas
+upp på servern. Att ladda upp privat nyckelmaterial är
+problematiskt. På grund av dylik komplexitet beslutade styrelsen att
+inte installera insticksmodulen. De flesta som använder PGP håller sig
+ändå till första metoden.
+
+En tredje mellanväg är implementationer av OpenPGP i webbläsaren genom
+ett utökningsbibliotek till JavaScript. Ett exempel är
+just [Mailvelope](https://www.mailvelope.com/). Metoden tillåter
+användaren att hålla sig till webbmaiklienten, men att allt
+nyckelmaterial behålls lokalt på datorn. Krypteringen sker i
+webbläsaren. Även Mailvelope finns som insticksmodul till Roundcube,
+men går med lite kringarbete även köra direkt i webbläsaren utan
+modulen.
+
+Svagheten är en fundamentalt större intrångsmöjlighet jämfört med
+vanliga klienter. Dels är webbläsare extremt utsatta miljöer, och dels
+skickas själva JavaScriptkoden som från serversidan på
+Fripost. Fripost tar väl hand om sina servrar och gör allt för att de
+ska vara säkra, men det rena faktummet utgör en svaghet.
+
+En styrka allmänt med webbmail är att den går att komma åt genom
+valfri webbläsare. Med Mailvelope måste den privata
+avkrypteringsnyckeln sparas på datorn. Det blir en jämförbar praktisk
+nackdel, eftersom det alltså inte längre går att använda webbmail från
+andra datorer för krypterade och signerade e-postkonversationer.
+
+(Materialet i texten är primärt inspirerat av e-postkonversationer med
+Guilhem jan 2015, nov 2015 och jun 2016)