Share
Wat je gaat creërenDit is de volgende zelfstudie in een serie die zich richt op het coderen van uw e-mail. In de eerste zelfstudie hebben we de algemene concepten van codering geïntroduceerd en hoe deze kunnen worden gebruikt om onze e-mails te beveiligen en te verifiëren. In de tweede zelfstudie heb ik je begeleid bij het installeren van coderingssoftware op je computer en ben ik begonnen met het verzenden van je eerste berichten; we gebruikten GPGTools voor Mac OS X, een integratie van open source GnuPG. In de derde aflevering heb ik je kennis laten maken met Keybase, een service die is ontworpen om het Web of Trust te versterken.
In deze zelfstudie zal ik u helpen met het gebruik van een browser-gebaseerde plug-in voor het versleutelen en decoderen van e-mail voor browsergebaseerde webmail zoals Gmail. Ik behandel ook enkele van de kwetsbaarheden die inherent zijn aan browsergebaseerde PGP-oplossingen.
Naast het lezen van de eerdere afleveringen, wil je misschien ook de Surveillance Self-Defense Guide van de Electronic Frontier Foundation bekijken.
In aankomende afleveringen zullen we PGP-oplossingen voor smartphones verkennen en uw internetactiviteiten coderen met behulp van een VPN. Eindelijk, als onderdeel van de serie over het beheren van uw digitale assets na uw overlijden, zullen we gebruik maken van wat we hebben geleerd om een veilige cache met belangrijke informatie voor uw nakomelingen te maken in geval van nood.
Gewoon een herinnering, ik neem regelmatig deel aan de onderstaande discussies. Als je een vraag of een suggestie voor een onderwerp hebt, plaats dan een commentaar hieronder. Je kunt me ook volgen op Twitter @reifman of mij rechtstreeks een e-mail sturen.
Nu we begonnen zijn met het gebruik van gecodeerde berichten, is het logisch om ons te vragen of we dit kunnen gebruiken van browsergebaseerde webmail zoals Gmail. Het korte antwoord is ja, maar niet met hetzelfde beveiligingsniveau als op toepassingen gebaseerde oplossingen.
Mailvelope is zo'n browserextensie beschikbaar voor Chrome en Firefox. De PGP-engine is gebaseerd op open-source OpenPGP.js. Het biedt ingebouwde compatibiliteit voor Gmail, Yahoo Mail, Outlook.com en GMX.
Maar als browsergebaseerde oplossing is Mailvelope op een paar verschillende manieren kwetsbaar. De grootste zorg is het hosten van uw persoonlijke sleutel in de browser. Mailvelope codeert uw sleutel met een wachtwoordzin. Het gecodeerde pakket is dus onderhevig aan online diefstal, net als andere browsergegevens. Mailvelope beveelt een sterk wachtwoord aan, zoals in dit Intercept-artikel wordt gesuggereerd:
Gezien het scenario dat een aanvaller de privésleutel kan stelen, hangt de veerkracht tegen aanvallen met brute kracht op de gecodeerde privésleutel af van de kwaliteit van het wachtwoord.
Mailvelope zegt ook dat "als een van de computers aan beide kanten van de communicatie wordt gehackt (bijvoorbeeld met een keylogger), encryptie niet zal helpen."
Vorige zomer kondigde Google zijn eigen PGP-extensie voor Chrome aan, genaamd End to End, maar het is nog niet klaar voor prime time, waarschijnlijk om een aantal van dezelfde redenen. Het is momenteel in de release van alpha omdat ze zijn beveiligingsmogelijkheden willen verbeteren. Je kunt de code krijgen op GitHub. Ik neem aan dat Google enige functionaliteit aan Chrome zal toevoegen om de privésleutel veiliger op te slaan, hopelijk op een manier waarop externe ontwikkelaars, zoals Mailvelope, ook kunnen profiteren van.
Om te beginnen met Mailvelope, moeten we de extensie toevoegen aan Chrome of Firefox. Wanneer u op de link Chrome-extensie klikt, ziet u zoiets als dit:
De installatie voor mij was vrij snel - niet nodig om opnieuw op te starten. U ziet het pictogram rechtsboven in het browservenster voor de navigatie en status van de extensie:
De hoofdpagina van Mailvelope zou ook meteen moeten verschijnen:
Om verder te gaan, moeten we onze publieke en private sleutel importeren.
Als je onze eerdere tutorials hebt gevolgd, gebruik je al een sleutelpaar. Als u een nieuw sleutelpaar moet genereren, zal Mailvelope dat voor u doen.
In mijn geval wil ik mijn bestaande sleutelpaar importeren. Hiertoe klikt u op de Sleutels importeren knop en plak je openbare sleutel in en verzend deze:
Herhaal het proces met uw privésleutel.
Je zou zoiets als dit onder moeten zien Displaytoetsen:
Als u op de toets klikt, ziet u meer informatie en beheert u er details over:
Het verzenden van berichten met Mailvelope is eenvoudig, maar u moet wel openbare sleutels importeren voor alle beoogde ontvangers. Vraag de vertrouwde openbare sleutels voor uw ontvanger, zoals de mijne bij Keybase, en volg de bovenstaande stappen om ze in uw Mailvelope-sleutelring te importeren.
Stel vervolgens in Gmail een nieuw bericht samen. Let op de kleine pop-up rechtsonder.
Als u op de pop-up klikt, wordt het formulier met de versleutelde e-mail van Mailvelope weergegeven:
Typ je geheime bericht en klik versleutelen. Mailvelope zal u vragen om de openbare sleutel te specificeren die u voor de codering wilt gebruiken. Ik stuur dit naar mijn vriend Phillip - een collega die veel opschrijft over PGP-codering voor journalisten en die me aanmoedigde om over deze onderwerpen te schrijven. Kies de ontvanger en klik op Toevoegen:
Mailvelope zal het bericht coderen. Gewoon klikken Overdracht, waarbij het PGP-bericht wordt geplakt in het venster van Gmail opstellen.
Het is leuk om platte tekstberichten en geheime versleutelde berichten eenvoudig in één Gmail-bericht te kunnen combineren.
Wanneer u een gecodeerd bericht ontvangt, geeft Mailvelope een semi-transparante overlay weer over het bericht.
Klik op de overlay en je wordt gevraagd om je wachtwoordzin om je privésleutel te ontgrendelen. Zorg ervoor dat niemand over je schouder kijkt - denk aan Citizenfour, Snowden-deken bedekt.
Klik OK en je geheime bericht verschijnt. Natuurlijk heb ik het zwart gemaakt omdat ik Phillip niet in verlegenheid wil brengen vanwege zijn klagen dat ik hem niet genoeg krediet geef voor het suggereren van artikelonderwerpen (behalve zijn idee, maar een paar van de anderen was Mailvelope niet zijn idee) in deze serie waren - maar ik dwaal af).
Ik hoop dat je onder de indruk bent van Mailvelope. Ik vond het vrij eenvoudig en nuttig. Je kunt er meer over lezen op hun documentatie en FAQ-pagina's. Als je het eens probeert, gebruik dan een zeer veilige wachtwoordzin (heeft iemand nog steeds dobbelstenen, serieus?).
Aarzel niet om uw vragen en opmerkingen hieronder te plaatsen. Je kunt me ook volgen op Twitter @reifman of mij rechtstreeks een e-mail sturen. Blader door mijn Tuts + instructeur-pagina als je andere zelfstudies wilt zien die ik heb geschreven.
Accentsconagua