Waarom e-mail niet volledig privé kan zijn

Toen Lavabit, een e-mailservice die wordt gebruikt door Edward Snowden, de e-maildienst van de National Security Agency, vorige week de service opschortte na hints dat het een vraag van de overheid om informatie had ontvangen, nam een ​​concurrerende service genaamd Silent Circle een draconische beslissing: al zijn klanten uitwissen ' opgeslagen e-mail.





De aflevering wees op twee fundamentele zwakheden in e-mail. Ten eerste, zelfs als een e-mailservice berichten versleutelt voor geheimhouding, zoals Lavabit en Silent Circle deden, onthullen de e-mailheaders en routeringsprotocollen wie de afzenders en ontvangers zijn, en die informatie kan op zichzelf al waardevol zijn. En ten tweede kunnen de toegangscodes die worden gebruikt als sleutels om berichten te ontsleutelen door de overheid worden aangevraagd (indien in het bezit van het e-mailbedrijf) of eenvoudig worden gestolen door geavanceerde malware.

Toen e-mail 40 jaar geleden werd gecreëerd, was veiligheid of anonimiteit geen onderdeel van het ontwerp. De routerings- en labelprotocollen geven duidelijk aan welke computer het heeft verzonden of doorgestuurd, welke computer het heeft ontvangen en hoe laat dit allemaal is gebeurd. Er zijn veel te veel lekken van informatie en metadata intrinsiek in de e-mailprotocollen zelf, zegt Mike Janke, CEO van Silent Circle, wiens klanten onder meer mensen in bedrijven en overheidsinstanties zijn die geheimen moeten beschermen. Het maakt niet uit wat u probeert te doen met e-mail, er zijn inherente zwakke punten. Dus hebben we Silent Mail [de e-mailservice van het bedrijf] verwijderd. We hebben het allemaal verwijderd, verbrand en in de oceaan gegooid met sloten en kettingen eraan. Mensen verloren al hun e-mail, maar het antwoord ging van 'Waarom zou je dit doen?' naar 'Bedankt dat je dit doet'.

Lavabit en Silent Circle en enkele andere providers hebben een eenvoudig voorstel gedaan: ze zullen uw e-mail te allen tijde versleuteld houden, behalve wanneer u deze op uw eigen computer leest en schrijft. Dit in tegenstelling tot services zoals Gmail, die e-mail alleen versleutelt voor de reis over het netwerk, maar de berichten duidelijk opslaat op zijn servers en die gegevens ontgint om u advertenties te tonen.



De oprichter van Lavabit, Ladar Levinson, zegt dat hij de operaties heeft opgeschort in plaats van medeplichtig te zijn aan misdaden tegen het Amerikaanse volk. Levinson was niet bereikbaar voor commentaar, maar vertelde: de New York Times dat hij onder een spreekverbod stond, wat inhield dat hij een National Security Letter had ontvangen, waarin de FBI of NSA informatie eist voor een onderzoek dat relevant is voor de nationale veiligheid en van de ontvanger eist dat hij zelfs niet onthult dat hij de brief heeft ontvangen. In tegenstelling tot Silent Circle zijn de Lavabit-gegevens niet verwijderd, zegt hij.

Janke zegt dat het nieuws een noodgesprek op gang bracht met Phil Zimmermann, een oprichter van Silent Circle die in 1991 het e-mailcoderingsprotocol, bekend als PGP, creëerde voor een behoorlijk goede privacy (zie Een app houdt spionnen weg van je iPhone ). Toen we eenmaal zagen wat er met Lavabit gebeurde, realiseerden we ons dat het geen dagen waren, maar uren dat we een beslissing moesten nemen, zegt Janke. Maar hij voegt eraan toe dat hij nooit een verzoek heeft ontvangen.

Het probleem - naast de metadata die bij alle e-mail zit - was dat 98 procent van de Silent Mail-klanten ervoor koos Silent Circle de coderingssleutels te laten behouden, wat het gebruik van de service veel gemakkelijker maakte. Wanneer gebruikers hun eigen sleutels beheren, moeten ze inloggen op een speciaal systeem om cryptografische sleutels uit te wisselen met elke persoon met wie ze willen e-mailen. Door over de sleutels te beschikken om dit proces te beheren, kan het bedrijf de berichten ontsleutelen als het daartoe wordt gedwongen. Als we een legitiem verzoek krijgen, kunnen we het zelfs doorgeven, zegt Janke (zie NSA Chief Says U.S. Phone and Web Surveillance Sets Standard for Other Countries).



Silent Circle blijft bestaan, omdat minder dan 5 procent van zijn klanten gebruikmaakte van de inmiddels verwijderde e-mailservice. De meesten van hen gebruiken andere Silent Circle-services die telefoon-, tekst- en video-inhoud versleutelen. Hierdoor kunnen gebruikers bijvoorbeeld een versleuteld bestand via sms verzenden en zelfs een tijdslimiet toevoegen, zodat het na enige tijd van zowel het verzendende als het ontvangende apparaat wordt verwijderd.

Deze services kunnen echter ook worden ondermijnd door malware die encryptiesleutels kan stelen die op computers zijn opgeslagen of die gegevens kan stelen die door de gebruiker zijn gedecodeerd. Het is erg moeilijk om tegen malware te beschermen, zegt Radu Sion, een computerwetenschapper en beveiligingsexpert aan de Stony Brook University. Een zeer vastberaden tegenstander - ik wil niet zeggen de regering hier - zal toegang hebben tot elke machine ter wereld.

Bestaande e-mailservices kunnen wat persoonlijker worden door koptekstinformatie te versleutelen. De technieken zijn goed begrepen, maar de vraag ernaar is beperkt, zegt Sion. Het publiek vraagt ​​er niet om, omdat mensen niets om privacy geven, zegt hij. En de cloud-e-mailproviders verdienen veel geld door uw berichten te minen.



Ondertussen werkt Silent Circle aan het vervangen van zijn ter ziele gegane e-mailservice door een systeem dat niet afhankelijk is van traditionele e-mailprotocollen en dat geen berichten of metadata binnen het bereik van het bedrijf houdt. Het is gebaseerd op een protocol dat vaak wordt gebruikt voor instant messages en andere toepassingen. Janke zegt dat het de bedoeling is dat dit geen e-mail is, maar dat het er in alle opzichten uitziet, aanvoelt en werkt als e-mail.

zich verstoppen