Lavabit veiligheid was een gevel zegt crypto expert

Toen de FBI eerst kreeg op Edward Snowden zij gingen na zijn e-mailaccount. Had de rekening geweest bij Google of Microsoft, ze waarschijnlijk zouden hebben toegang in korte tijd gehad, maar Snowden werd met behulp van Lavabit, een e-mailservice die zich aangekondigd als zeer veilig. lijken vorderingen van het bedrijf nu zijn sterk overdreven.

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

De FBI eiste emails Snowden’s Ladar Levison, eigenaar, exploitant en ontwikkelaar van Lavabit. Levison vertelde hen dat het ontwerp van zijn systeem zodanig dat hij niet kon voldoen was. De Feds vervolgens gevraagd voor de private SSL sleutels voor lavabit.com; Levison geweigerd en (om een ​​lang verhaal kort te maken) luiken voor de dienst in plaats van te voldoen.

Moxie Marlinspike staat bekend in de wereld van computer beveiliging en cryptografie in het bijzonder. Hij is de ontwerper en auteur van cryptografische software en een pleitbezorger voor het gebruik ervan om de privacy te beschermen, maar is beter bekend om kritiek op de beveiliging instellingen zoals de certificaatautoriteiten.

Marlinspike heeft gepubliceerd op zijn persoonlijke blog een kritiek op Lavabit architectuur, en hij maakt het geval dat de site overschat de beveiliging van hun e-mail.

Een van de belangrijkste conclusies Lavabit was dat e-mail op het zo veilig dat zelfs konden zij (de Lavabit admins) niet lezen. Maar in feite, zoals Levison in een blog beschrijft de Lavabit architectuur, beschreven als onderdeel van de encryptie en decoderingsproces de server moesten hebben en gebruiken plaintext wachtwoord door de gebruiker. In feite werd Lavabit alleen maar zeggen dat ze niet zou kijken naar of te behouden die met een wachtwoord, als Marlinspike het stelt, zou Lavabit “af te wenden hun ogen”. In feite was het nog erger dan dat

De cijfertekst, sleutel, en het wachtwoord worden allemaal opgeslagen op de server met behulp van een mechanisme dat uitsluitend binnen de controle van de server en die de klant heeft geen mogelijkheid om te controleren. Er is geen manier om ooit bewijzen of te weerleggen of er encryptie ooit bij allen gebeurde, en of het maakt weinig verschil.

Het systeem vertrouwd op SSL voor de veiligheid tijdens het transport tussen de gebruiker en de server, maar eenmaal op de server het e-mailadres en wachtwoord waren in het duidelijk. Om Marlinspike nogmaals te citeren: “De cryptografie was niets meer dan een hoop overhead en sommige afkorting voor een nieuwe belofte niet te gluren. Hoewel ze geadverteerd dat ze ‘niet kunnen’ lezen uw e-mail, wat ze bedoelde was dat ze niet zouden kiezen is. ”

Marlinspike biedt ook een aantal redelijke speculatie over de vraag waarom de FBI wilde Lavabit’s SSL toetsen: De NSA had waarschijnlijk al het versleutelde verkeer van de site verzameld en moest de sleutels te decoderen na het feit. Als dit waar is, dan zouden ze nog steeds belangstelling voor de sleutels, zelfs wanneer de plaats werden gesloten. Ik heb niet gehoord dat Levison overgegeven de toetsen (behalve één keer als een onleesbare afdruk in een klein lettertype), dus iets wat er nog steeds niet optellen.

Marlinspike steunt niettemin Levison en doet een beroep op ons om hem te steunen in zijn juridische verdediging. (Als u daadwerkelijk geïnteresseerd bent in het helpen van meer dan retorisch bent, Levison heeft een juridische verdediging fonds waaraan u kunt bijdragen.)

Marlinspike maakt ook een aantal constructieve suggesties voor beveiligde e-mail projecten aan de gang, die betere resultaten dan Lavabit’s beloven: Mailpile en de Leap gecodeerde Access Project.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer