Snowdens E-Mail-Dienst Lavabit wieder online

Lavabit ist wieder online. Ladar Levison meldet sich anlässlich der Vereidigung des neuen US-Präsidenten mit einem Post zurück: “Heute ist Inaugruation Day in den USA, der Tag, an dem wir eine der heiligsten demokratischen Traditionen pflegen: die friedliche Übergabe der Macht.” Daher habe er sich auch dafür entschieden, an eben jenen Tag den Mail-Dienst wieder zu starten, der sogar den Whistleblower Edward Snowden überzeugen konnte.

Snowden aber war dann aber auch die Ursache für die Schließung des Dienstes. Levison hatte vor drei Jahren nicht wie gefordert die SSL-Schlüssel an das FBI weitergeben wollen, über den die Behörden die Mail-Accounts von Edward Snowden hätten einsehen können. Statt dessen entschied sich der Gründer, das Portal offline zu nehmen. Damals hatte der Dienst rund 410.000 Nutzer.

Jetzt kehrt der Mail-Dienst mit neuen Funktionen zurück. Levinson erklärt, dass er die Abhängigkeit von SSL-Schlüsseln beseitigt habe und er weitere Funktionen für den Schutz der Privatsphäre implementiert habe. Diese SSL-Keys nennt der Betreiber gegenüber “The Intercept” als größte Bedrohung. So können beispielsweise Geheimdienste nicht mehr über Metadaten auslesen, mit wem ein Nutzer dieses Dienstes kommuniziert.

Gegenüber dem Enthüllungsportal erklärt Levinson, dass er in den nächsten Monaten noch eine Ende-zu-Ende-Verschlüsselung implementieren wolle. Er habe es sich zudem zum Ziel gesetzt, bis Jahresende der sicherste verschlüsselte Messenger am Markt zu sein.

Allerdings können vorerst nur Nutzer des alten Dienstes das neue Angebot verwenden. Etwa 50 Millionen Mails sollen auf den Servern von Lavabit liegen. Darunter auch die Kommunikation von Edward Snowden, der bereits angekündigt hat, künftig wieder Lavabit als Mail-Dienst verwenden zu wollen. Der Anbieter selbst könne aufgrund der Architektur des Dienstes die einzelnen Nachrichten nicht mitlesen.

Ob aber die alten Mails auf den neuen Service migriert werden können, sei derzeit noch ungewiss, so Levinson, da diese in einem anderen Format vorliegen. Bei der neuen Sicherheitsarchitektur werden keine SSL-Keys mehr ausgetauscht. Stattdessen werden sie in einem Hardware-basierten Sicherheitsmodul gespeichert.

In diesem Modul werden auch die Nachrichten ver- und entschlüsselt. Der Dienst erstellt dann “blind” eine lange Paraphrase, das heißt, die Betreiber kennen diesen Key nicht, und übergibt die an das Verschlüsselungsmodul. Anschließend werde dieser Schlüssel gelöscht.

Damit sei es unmöglich, nach der Verschlüsselung den Schlüssel wieder zu extrahieren. Daher lobt auch Whistleblower Snowden die Arbeit des Mail-Providers: “Lavabit würde eher zusperren als die eigenen Nutzer zu verkaufen.” Das könne weltweit kein anderer Mail-Dienst von sich behaupten.

Wenn Lavabit wieder für die Öffentlichkeit zugänglich ist, wollen die Betreiber drei verschiedene Modi anbieten: Trustful, Cautious und Paranoid. Damit können Nutzer wählen, welches Sicherheitsniveau und wie viel Nutzerfreundlichkeit sie haben wollen.

Levinson erklärt, dass er 2014 mit Hilfe von Kickstarter die Entwicklung des “Dark Internet Mail Environments (DIME)” begonnen habe. Der Mailserver Magma ist ein Mailserver, der auf DIME basiert. DIME könne mit verschiedenen Mail-Providern arbeiten und ohne eine zentrale Steuerung werden die Metadaten weitgehend eliminiert, versichert Levinson: “DIME ist Ende-zu-Ende-gesichert und dennoch flexibel genug, dass Nutzer auch ohne einen Doktor in Kryptologie ihre Mails lesen können.”

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.