Lavabit-Gründe

Wer erinnert sich noch daran das Lavabit offline ging? Nun, die Geschichte ist fast noch besser als ich sie mir vorgestellt hatte. Der Betreiber hinter Lavabit hat sich schon ein bisschen was einfallen lassen, wenn man bedenkt das er in seinem Land schon mit einem Bein im Knast stand: wired, mit Gerichts-Dokumenten.

A week later, prosecutors upped the ante and obtained the search warrant demanding “all information necessary to decrypt communications sent to or from the Lavabit e-mail account [redacted] including encryption keys and SSL keys.”

With the SSL keys, and a wiretap, the FBI could have decrypted all web sessions between Lavabit users and the site, though the documents indicate the bureau still trying only to capture metadata on one user.

In an interesting work-around, Levison complied the next day by turning over the private SSL keys as an 11 page printout in 4-point type. The government, not unreasonably, called the printout “illegible.”

The court ordered Levison to provide a more useful electronic copy. By August 5, Lavabit was still resisting the order, and the judge ordered that Levison would be fined $5,000 a day beginning August 6 until he handed over electronic copies of the keys.

On August 8, Levison shuttered Lavabit, making any attempt at surveillance moot. Still under a gag order, he posted an oblique message saying he’d been left with little choice in the matter.

golem, warum lavabit schließen musste.

Levinson händigte fünf SSL-Schlüssel innerhalb der Frist aus, allerdings ausgedruckt auf 11 Seiten Papier in einer Schriftgröße von 4 Punkt. Unlesbar, nannte dies die US-Regierung, denn um den Schlüssel nutzen zu können, hätten FBI-Beamte die 2.560 Zeichen korrekt abtippen müssen, wobei ein einzelner Fehler es unmöglich macht, die Daten zu entschlüsseln.

heise, Lavabit liefert sich Katz- und Maus-Spiel.

Die New York Timesweist darauf hin, dass Levison Lavabit erst abschaltete, nachdem er zwei tage zuvor zu einer täglichen Strafe von 5000 US-Dollar verpflichtet worden war. Parallel zur Schließung übergab er dann schließlich die SSL-Schlüssel. Dieses Manöver sei nicht weit davon entfernt gewesen, selbst eine strafbare Handlung zu sein.

Update: Ein Kommentar auf heise-security

Dass diese Verfügung die Privatsphäre und vielleicht auch Firmengeheimnisse von 400.000 Lavabit-Kunden kompromittierte, gegen die gar nichts vorlag, brachte Richter Hilton nicht von dieser Anordnung ab. Er gab sich offenbar mit der Aussage eines Ermittlers zufrieden, dass sie an denen nicht interessiert seien. Und über all dies konnte der Lavabit-Betreiber nicht einmal reden.

Übertragen Sie dies auf Ihren Cloud-Anbieter: Sie müssen ab sofort davon ausgehen, dass er keines seiner Versprechen in Bezug auf Sicherheit der an ihn gesendeten oder bei ihm gelagerten Daten mehr halten kann. Im Zweifelsfall haben US-Behördern sogar schon jetzt die Schlüssel, um Zugriff auf all diese Daten zu erhalten. Ich bin jetzt sehr gespannt, wie Microsoft, Amazon, Google, Apple & Co darauf reagieren.

(Visited 16 times, 1 visits today)
Stichworte:,