211service.com
Warum E-Mails nicht vollständig privat sein können
Als Lavabit – ein E-Mail-Dienst, der vom Leaker der National Security Agency, Edward Snowden – verwendet wird, letzte Woche den Dienst aufgrund von Hinweisen auf eine Informationsanfrage der Regierung eingestellt hat, traf ein konkurrierender Dienst namens Silent Circle eine drakonische Entscheidung: alle seine Kunden auszulöschen “ gespeicherte E-Mail.
Die Episode wies auf zwei grundlegende Schwächen der E-Mail hin. Erstens, selbst wenn ein E-Mail-Dienst Nachrichten zur Geheimhaltung verschlüsselt, wie es Lavabit und Silent Circle getan haben, zeigen die E-Mail-Header und Routing-Protokolle, wer die Absender und Empfänger sind, und diese Informationen können an sich schon wertvoll sein. Und zweitens können die Passwörter, die als Schlüssel zum Entschlüsseln von Nachrichten verwendet werden, von der Regierung angefordert werden (sofern im Besitz des E-Mail-Unternehmens) oder einfach durch ausgeklügelte Malware gestohlen werden.
Als E-Mail vor 40 Jahren erstellt wurde, war Sicherheit oder Anonymität nicht Teil des Designs. Die Routing- und Labeling-Protokolle geben eindeutig an, welcher Computer sie gesendet oder weitergeleitet hat, welcher Computer sie empfangen hat und wann all dies geschah. In den E-Mail-Protokollen selbst gebe es viel zu viele Informations- und Metadatenlecks, sagt Mike Janke, CEO von Silent Circle, zu dessen Kunden Personen in Unternehmen und Behörden zählen, die Geheimnisse zu schützen haben. Es spielt keine Rolle, was Sie mit E-Mail versuchen, es gibt diese inhärenten Schwächen. Also haben wir Silent Mail [den E-Mail-Dienst des Unternehmens] abgeschafft. Wir haben alles gelöscht, verbrannt und mit Schlössern und Ketten ins Meer geworfen. Die Leute haben alle ihre E-Mails verloren, aber die Antwort ging von „Warum sollten Sie das tun?“ zu „Danke dafür.“
Lavabit und Silent Circle und einige andere Anbieter haben einen einfachen Vorschlag gemacht: Sie werden Ihre E-Mail zu jeder Zeit verschlüsselt halten, außer wenn Sie sie auf Ihrem eigenen Computer lesen und schreiben. Dies steht im Gegensatz zu Diensten wie Gmail, die E-Mails nur für die Reise über das Netzwerk verschlüsselt, die Nachrichten jedoch unverschlüsselt auf ihren Servern speichert und diese Daten auswertet, um Ihnen Anzeigen zu liefern.
Lavabits Gründer, Ladar Levinson, sagte, er habe den Betrieb eingestellt, anstatt sich an Verbrechen gegen das amerikanische Volk mitschuldig zu machen. Levinson war für einen Kommentar nicht zu erreichen, wurde aber mitgeteilt das New York Times dass er unter einem Knebelbefehl stand, was bedeutet, dass er einen National Security Letter erhalten hat, in dem das FBI oder die NSA Informationen für eine Untersuchung mit Relevanz für die nationale Sicherheit verlangt und den Empfänger auffordert, den Brief nicht einmal preiszugeben. Im Gegensatz zu Silent Circle seien die Lavabit-Daten nicht gelöscht worden, sagt er.
Janke sagt, dass die Nachricht ein Notfallgespräch mit Phil Zimmermann ausgelöst hat, einem Gründer von Silent Circle, der 1991 das E-Mail-Verschlüsselungsprotokoll PGP für eine ziemlich gute Privatsphäre entwickelt hat (siehe Eine App hält Spies von Ihrem iPhone fern). Als wir sahen, was mit Lavabit passiert ist, haben wir gemerkt, dass es keine Tage, sondern Stunden waren, in denen wir eine Entscheidung treffen mussten, sagt Janke. Er fügt jedoch hinzu, dass er nie eine Anfrage erhalten habe.
Das Problem – abgesehen von den Metadaten, die alle E-Mails begleiten – bestand darin, dass 98 Prozent der Silent Mail-Kunden sich dafür entschieden haben, Silent Circle die Verschlüsselungsschlüssel zu überlassen, was die Nutzung des Dienstes erheblich vereinfachte. Wenn Benutzer ihre eigenen Schlüssel verwalten, müssen sie sich in ein spezielles System einloggen, um mit jeder Person, mit der sie E-Mails versenden möchten, kryptografische Schlüssel auszutauschen. Durch den Besitz der Schlüssel zur Verwaltung dieses Prozesses könnte das Unternehmen die Nachrichten entschlüsseln, wenn es dazu gezwungen wird. Wenn wir eine berechtigte Anfrage erhalten, könnten wir sie tatsächlich zurückgeben, sagt Janke (siehe NSA-Chef sagt, U.S. Phone and Web Surveillance Sets Standard for Other Countries).
Silent Circle bleibt im Geschäft, weil weniger als 5 Prozent seiner Kunden den inzwischen gelöschten Mail-Dienst nutzten. Die meisten von ihnen verwenden andere Silent Circle-Dienste, die Telefon-, Text- und Videoinhalte verschlüsseln. So können Benutzer beispielsweise eine verschlüsselte Datei per SMS versenden und sogar eine Frist setzen, damit sie nach einiger Zeit sowohl vom sendenden als auch vom empfangenden Gerät gelöscht wird.
Diese Dienste können jedoch auch durch Malware untergraben werden, die auf Computern gespeicherte Verschlüsselungsschlüssel stehlen oder vom Benutzer entschlüsselte Daten abrufen kann. Es sei sehr schwierig, vor Malware geschützt zu sein, sagt Radu Sion, Informatiker und Sicherheitsexperte an der Stony Brook University. Ein sehr entschlossener Gegner – ich möchte hier nicht die Regierung sagen – wird Zugang zu jeder Maschine der Welt haben.
Bestehende E-Mail-Dienste könnten durch die Verschlüsselung von Header-Informationen etwas privater werden. Die Techniken seien gut verstanden, aber die Nachfrage sei begrenzt, sagt Sion. Die Öffentlichkeit fragt nicht danach, da die Privatsphäre den Menschen eigentlich egal ist, sagt er. Und die Cloud-E-Mail-Anbieter verdienen viel Geld mit dem Mining Ihrer Nachrichten.
Währenddessen arbeitet Silent Circle daran, seinen veralteten E-Mail-Dienst durch ein System zu ersetzen, das nicht auf traditionelle E-Mail-Protokolle angewiesen ist und keine Nachrichten oder Metadaten in Reichweite des Unternehmens vorhält. Es basiert auf einem Protokoll, das häufig für Instant Messages und andere Anwendungen verwendet wird. Janke sagt, das Ziel sei, dass dies keine E-Mail ist, sondern in jeder Hinsicht wie E-Mail aussieht, sich anfühlt und sich verhält.