Lavabit: Sicherer E-Mail-Dienst kehrt mit DIME zurück
Der verschlüsselte E-Mail-Dienst Lavabit, der 2013 vom Eigentümer geschlossen wurde, um dem FBI nicht die SSL-Schlüssel aushändigen zu müssen, nimmt den Betrieb wieder auf. Lavabit CEO Ladar Levison kündigt an, den Dienst jetzt so abzusichern, dass eine ähnliche Situation sich nicht wiederholen kann.
Einst geschlossen, um dem FBI zu entgehen
Am 16. Juli 2013 hatte ein Gericht im US-Bundesstaat Virginia auf Verlangen der US-Regierung einen Beschluss ausgestellt, der Lavabit-Gründer und CEO Ladar Levison aufforderte, die privaten SSL-Schlüssel für seinen verschlüsselten E-Mail-Service Lavabit übergeben. Damit hätte die Regierung Zugriff auf die Mailkonten von 400.000 Kunden erhalten.
Das FBI beteuerte, lediglich Zugriff auf den E-Mail-Verkehr von Edward Snowden nehmen zu wollen. Der Schlüssel hätte aber alle Kunden von Levison gefährdet. Das veranlasste ihn, den Dienst zu schließen und so die Verfügung des Gerichts zu umgehen.
Neustart auf Kickstarter erfolgreich
In der Folge führte Levison eine erfolgreiche Kampagne auf Kickstarter zur Finanzierung der Dark Mail Initiative durch und arbeitete mit dem Unternehmen Silent Circle zusammen, das von PGP-Erfinder Phil Zimmermann mitbegründet wurde.
DIME als neuer Standard
Jetzt belebt Levison seinen E-Mail-Dienst neu und verspricht Open Source mit Ende-zu-Ende-Verschlüsselung inklusive der Metadaten, sodass NSA oder FBI auch nicht einsehen können, mit wem die Kunden des Dienstes kommunizieren. Den neuen Standard, dessen aktuellen Quellcode er am Wochenende auf GitHub veröffentlichen will, hört auf den Namen Dark Internet Mail Environment (DIME). Die dazugehörige Mail-Server-Anwendung hört auf den Namen Magma. Auch für technisch nicht versierte Anwender soll der Dienst benutzbar sein. Magma steht anderen Unternehmen zur Implementierung frei zur Verfügung.
Trustful, Cautious und Paranoid
DIME bietet drei Modi an, die Trustful, Cautious und Paranoid benannt sind. Der Paranoid-Mode garantiert volle Kontrolle über die Schlüssel, wobei der private Schlüssel selbst verschlüsselt nie auf den Servern von Lavabit gespeichert wird. Das bringt allerdings Einschränkungen mit sich. Der Paranoid-Modus erlaubt weder die Nutzung von Webmail noch den Zugriff von wechselnden Geräten aus, ohne dass der Anwender seinen Schlüsselring synchronisiert. Im Trustful-Modus werden die verschlüsselten privaten Schlüssel nicht auf dem Lavabit-Server, sondern auf einem externen Gerät gespeichert. Unautorisierter Zugriff darauf führt zur Vernichtung der Schlüssel.
Zu Beginn des Neustarts steht Lavabit nur den früheren Kunden im Trusted-Mode zur Verfügung. Neukunden können sich derzeit zum halben Preis voranmelden. Ein Account mit 5 GByte kostet während der Voranmeldungsphase 15 US-Dollar pro Jahr, 20 GByte gibt es für 30 US-Dollar jährlich.