Wer erinnert sich noch daran das Lavabit offline ging? Nun, die Geschichte ist fast noch besser als ich sie mir vorgestellt hatte. Der Betreiber hinter Lavabit hat sich schon ein bisschen was einfallen lassen, wenn man bedenkt das er in seinem Land schon mit einem Bein im Knast stand: wired, mit Gerichts-Dokumenten.

A week later, prosecutors upped the ante and obtained the search warrant demanding “all information necessary to decrypt communications sent to or from the Lavabit e-mail account [redacted] including encryption keys and SSL keys.”

With the SSL keys, and a wiretap, the FBI could have decrypted all web sessions between Lavabit users and the site, though the documents indicate the bureau still trying only to capture metadata on one user.

In an interesting work-around, Levison complied the next day by turning over the private SSL keys as an 11 page printout in 4-point type. The government, not unreasonably, called the printout “illegible.”

The court ordered Levison to provide a more useful electronic copy. By August 5, Lavabit was still resisting the order, and the judge ordered that Levison would be fined $5,000 a day beginning August 6 until he handed over electronic copies of the keys.

On August 8, Levison shuttered Lavabit, making any attempt at surveillance moot. Still under a gag order, he posted an oblique message saying he’d been left with little choice in the matter.

golem, warum lavabit schließen musste.

Levinson händigte fünf SSL-Schlüssel innerhalb der Frist aus, allerdings ausgedruckt auf 11 Seiten Papier in einer Schriftgröße von 4 Punkt. Unlesbar, nannte dies die US-Regierung, denn um den Schlüssel nutzen zu können, hätten FBI-Beamte die 2.560 Zeichen korrekt abtippen müssen, wobei ein einzelner Fehler es unmöglich macht, die Daten zu entschlüsseln.

heise, Lavabit liefert sich Katz- und Maus-Spiel.

Die New York Timesweist darauf hin, dass Levison Lavabit erst abschaltete, nachdem er zwei tage zuvor zu einer täglichen Strafe von 5000 US-Dollar verpflichtet worden war. Parallel zur Schließung übergab er dann schließlich die SSL-Schlüssel. Dieses Manöver sei nicht weit davon entfernt gewesen, selbst eine strafbare Handlung zu sein.

Update: Ein Kommentar auf heise-security

Dass diese Verfügung die Privatsphäre und vielleicht auch Firmengeheimnisse von 400.000 Lavabit-Kunden kompromittierte, gegen die gar nichts vorlag, brachte Richter Hilton nicht von dieser Anordnung ab. Er gab sich offenbar mit der Aussage eines Ermittlers zufrieden, dass sie an denen nicht interessiert seien. Und über all dies konnte der Lavabit-Betreiber nicht einmal reden.

Übertragen Sie dies auf Ihren Cloud-Anbieter: Sie müssen ab sofort davon ausgehen, dass er keines seiner Versprechen in Bezug auf Sicherheit der an ihn gesendeten oder bei ihm gelagerten Daten mehr halten kann. Im Zweifelsfall haben US-Behördern sogar schon jetzt die Schlüssel, um Zugriff auf all diese Daten zu erhalten. Ich bin jetzt sehr gespannt, wie Microsoft, Amazon, Google, Apple & Co darauf reagieren.

Gefunden bei Fefe:

Neulich kam dann raus, Dass Snowden seine Email über Lavabit gemacht hat. Uiuiui, das ist ein starker Test für einen Email-Provider. Man würde denken, dass da direkt die US-Behörden mit dem großen Hammer aufschlagen und einmal alles raustragen wollen. Und in der Tat: Lavabit macht unter mysteriösen Umständen zu, und warnt ausdrücklich davor, seine Email bei einem Anbieter in den USA abzulegen

Und bei Lavabit findet sich heut Abend nur noch folgendes:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.

What’s going to happen now? We’ve already started preparing the paperwork needed to continue to fight for the Constitution in the Fourth Circuit Court of Appeals. A favorable decision would allow me resurrect Lavabit as an American company.

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Sincerely,
Ladar Levison
Owner and Operator, Lavabit LLC

Update:

Ladar Levison hat sich in einem Interview geäußert. Im Beisein seines Anwalts, weil die Regierung ihm verbietet, auch nur über die Gesetze zu sprechen die ihn in diese Situation gebracht haben. Was das für eine Demokratie bedeutet lassen wir mal im Raum stehen. Er wollte, laut dem Interview, trotzdem etwas sagen, damit die Schließung seines Dienstes nicht umsonst war.

… Levison ergänzte, es gebe sogar Dinge, die er nicht einmal mit seinem Anwalt besprechen dürfe.

In der gleichen Sendung kam danach noch Nick Merrill zu Wort, der Anfang 2004 in New York als Betreiber des Internet-Providers Calyx einen sogenannten National Security Letter des FBI erhalten hat. Darin wurde er aufgefordert, viele Daten über einen Klienten herauszugeben. Die Aufforderung sei nicht von einem Richter abgesegnet und lediglich von einem Anwalt unterzeichnet gewesen. Er habe darüber nicht einmal mit seinem Anwalt reden dürfen, es dann aber doch getan. Dem folgten sieben Jahre Rechtsstreit und erst seit 2010 darf er sich teilweise dazu äußern.

Merrill geht auf einige Details der National Security Letter ein. Demnach könne jemand für fünf Jahre ins Gefängnis kommen, wenn er darüber spricht, dass er einen solchen erhalten hat. Die Nachfrage, ob er einen solchen bekommen hat, wollte Ladar Levison dann auch nicht beantworten. Dadurch und durch andere Einschränkungen in den zugrunde liegenden Gesetzen sei es unheimlich schwer, dagegen juristisch vorzugehen.

Siehe auch:

Heise

Zeit Online

Freitag.de