Bundesamt für Sicherheit in der Informationstechnik

Nutzung von OpenPGP in Webanwendungen

In der Studie wird untersucht, inwieweit eine Ende-zu-Ende-Verschlüsselung in einer Webanwendung in den Webbrowsern Firefox und Chrome mittels OpenPGP zum aktuellen Zeitpunkt möglich ist und welche Schritte erforderlich sind, um diese zu verbessern.

Die gestellten Anforderungen umfassen unter anderem die Absicherung des unverschlüsselten Klartextes gegenüber dem Betreiber der Webanwendung, einen einfachen und sicheren Schlüsselaustausch sowie den Entwicklungsprozess und die Codequalität. Der Schwerpunkt der Webanwendung liegt dabei auf dem Austausch von E-Mails. Es werden die entsprechenden Schnittstellen von Chrome und Firefox untersucht, die vorhandenen OpenPGP-Implementierungen vorgestellt sowie die darauf aufbauenden Browser-Erweiterungen beschrieben und bewertet.

Die Studie hat am Beispiel der Anwendung E-Mail gezeigt, dass die Browser-Erweiterung mit dem jeweiligen Webmailer über eine API kommuniziert. Von den untersuchten Browser-Erweiterungen stellt bisher lediglich Mailvelope eine solche API bereit. Diese wird bereits durch verschiedene Provider (wie beispielsweise WEB.DE, GMX oder Posteo) genutzt. Weiterhin ist Mailvelope eine der wenigen Erweiterungen, welche wirksame Maßnahmen unternimmt, um den unverschlüsselten Klartext vor dem Zugriff des jeweiligen Mailproviders zu schützen.

Ende-zu-Ende-Kryptografie per E-Mail ist die verbreitetste Verwendung für das OpenPGP-Protokoll. E-Mail ist eine gutes Beispiel für eine Ende-zu-Ende-Kryptografie-Webanwendung, weil es die verschiedenen, prinzipiell möglichen Elemente von Krypto-Anwendungen zeigt, für welche eine Nutzung von OpenPGP in Frage kommt. Um E-Mails schreiben zu können, werden von den gängigen E-Mail-Providern sich entweder auf dem eigenen Computer einen E-Mail-Client zu installieren, oder einen vom Provider angebotenen Webmailer zu verwenden. Während viele installierte E-Mail-Clients auf Desktop-Systemen an die Freie Verschlüsselungssoftware GnuPG angebunden werden können, wird eine Ende-zu-Ende-Verschlüsselung in Webmailern meist noch nicht angeboten.

Mit der Studie hatte das BSI die intevation GmbH und g10 Code GmbH innerhalb des Projektes Gpg4all beauftragt. Durchgeführt wurde die Studie von den Unterauftragnehmern Oskar Hahn und Thomas Oberndörfer.

Download der Studie: Nutzung von OpenPGP in Webanwendungen (PDF, 467KB, Datei ist barrierefrei⁄barrierearm)

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK