summaryrefslogtreecommitdiffstats
path: root/mailvelope.mdwn
blob: db73966482028453e5c38214f2fabf9c3ce58dc8 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
% Vad är Mailvelope och kryptering för webmail?

Styrelsen har återkommit till frågan om kryptering i webbmailen
regelbundet sedan 2015. Fortfarande under 2019 har frågan växt
intresse på medlemslistan. Skriv gärna så att administrationen får
reda på om det finns intresse bland medlemmarna att undersöka saken
vidare.

Såhär kan det låta:

> Jag har hört om [Mailvelope](https://www.mailvelope.com/en). Är det
> en bra grej? Jag skulle gärna kryptera min epost i vissa sammanhang
> men vill gärna fortsätta använda webmail.

Kryptering av e-post går på flera sätt. Säkrast och vanligast är
mellan slutanvändare genom egen e-postklient. Det finns ändå i grunden
två möjligheter att åstadkomma kryptering i webbmailklienten.

Kryptering på serversidan. För Roundcube finns insticksmodulen Enigma
för OpenPGP. Att kryptera för andra är givetvis harmlöst. Dock innebär
Enigma att privata nycklar för signering och avkryptering måste laddas
upp på servern. Att ladda upp privat nyckelmaterial är
problematiskt. På grund av dylik komplexitet beslutade styrelsen att
inte installera insticksmodulen. De flesta som använder PGP håller sig
ändå till första metoden.

En tredje mellanväg är implementationer av OpenPGP i webbläsaren genom
ett utökningsbibliotek till JavaScript. Ett exempel är
just [Mailvelope](https://www.mailvelope.com/). Metoden tillåter
användaren att hålla sig till webbmaiklienten, men att allt
nyckelmaterial behålls lokalt på datorn. Krypteringen sker i
webbläsaren. Även Mailvelope finns som insticksmodul till Roundcube,
men går med lite kringarbete även köra direkt i webbläsaren utan
modulen.

Svagheten är en fundamentalt större intrångsmöjlighet jämfört med
vanliga klienter. Dels är webbläsare extremt utsatta miljöer, och dels
skickas själva JavaScriptkoden som från serversidan på
Fripost. Fripost tar väl hand om sina servrar och gör allt för att de
ska vara säkra, men det rena faktummet utgör en svaghet.

En styrka allmänt med webbmail är att den går att komma åt genom
valfri webbläsare. Med Mailvelope måste den privata
avkrypteringsnyckeln sparas på datorn. Det blir en jämförbar praktisk
nackdel, eftersom det alltså inte längre går att använda webbmail från
andra datorer för krypterade och signerade e-postkonversationer.

(Materialet i texten är primärt inspirerat av e-postkonversationer med
Guilhem jan 2015, nov 2015 och jun 2016)