Ladar Levison: "Thank you, NSA"
Bei der Internet Engineering Task Force hat Lavabit-Gründer Ladar Levison einen ambitionierten Vorschlag vorgestellt, um E-Mails deutlich besser vor Überwachung zu schützen. Im Interview mit c't erklärt er, wie er dazu gekommen ist und worum es geht.
- Monika Ermert
12 Jahre lang hatte Ladar Levison mit Lavabit sichere E-Mail-Kommunikation angeboten – als kleiner, von Kunden mit hohen Sicherheitsansprüchen geschätzter Anbieter. Dann wollten ihn FBI und NSA zwingen, seine geheimen Krypto-Schlüssel preiszugeben. Damit versuchten die Geheimdienste, an die Kommunikation eines – oder mehrerer – Lavabit-Kunden heranzukommen. Mutmaßlich handelte es sich um Edward Snowden. Levison jedoch weigerte sich, machte dicht und zog vor Gericht.
Den Prozess hat er zwar verloren, aber jetzt will er mit der Dark Internet Mail Environment (DIME) ganz neu beginnen. Gewidmet hat er das Darkmail-Konzept der NSA. Ohne die hätte es nicht entstehen können, wie er meint.
c't: Die bessere Absicherung und die einfachere Verschlüsselung von E-Mails ist spätestens seit den Enthüllungen von Edwards Snowden etwas, an dem überall gearbeitet wird. Warum ein ganz eigenes, vom klassischen Mailsystem abweichendes Konzept?
Ladar Levison: Die verschiedenen Vorschläge in der Diskussion zielen nur auf einzelne Aspekte. Ein Vorschlag, der hier in Dallas gemacht wurde, will etwa nur etwas mehr Metadaten verschlüsseln. Ich habe bei meinen Überlegungen, PGP oder SMIME zu verbessern, schnell fest gestellt, dass das nicht geht, ohne auch SMTP und IMAP anzufassen. Darkmail ist deshalb ein Gesamtkonzept, das alle Funktionen der E-Mail hat, aber wesentlich mehr Vertraulichkeit bietet. Alle klassischen Bestandteile sind bei DIME verändert: Wie die Mails versandt werden, wie sie abgerufen werden und die Art, wie verschlüsselt wird. Das einzige, was gleich bleibt, ist das grundlegende Nachrichtenformat, MIME.
c't: Sie wollen Protokolle wie SMTP, IMAP ersetzen?
Ladar Levison: DMTP sieht SMTP ziemlich ähnlich, DMAP setzt auf IMAP auf. Und DMIME ist SMIME und PGP verwandt, die übrigens beide gar nicht Teil des traditionellen Mailsystems sind. Es bleibt ein verteilt arbeitendes System, an dem alle teilnehmen können. DMTP unterscheidet sich von SMTP dadurch, dass der lokale Teil der Adresse in die Mail selbst eingebettet ist, und dadurch Metadaten minimiert werden. Die Mail ist praktisch in mehreren Schichten verschlüsselt. Für den Versand sind nur die Maildomains öffentlich, zwischen denen die Nachricht versandt wird. Erst der Empfangsserver schaut in die Mail, um sie dem Empfänger zuzustellen, der zuletzt den Textteil entschlüsselt.
Anders als bei anderen Vorschlägen zur Metadaten-Minimierung, wird der ganze "Envelope" als Teil der Nachricht, und nicht mehr im Header versandt. Ein Vorteil der schalenartigen Verschlüsselung der verschiedenen Bestandteile ist übrigens, dass bei der Abfrage von Mail in begrenzt mächtigen Systemen nicht alle Teile gesamt abgefragt werden müssen. Verschlüsselte Bilder im Anhang können beispielsweise unabhängig später herunter geladen werden.
c't: Nur der Mail-Provider sieht, an wen die Nachricht geht. Dem muss man aber noch trauen.....
Ladar Levison: Was ist den Leuten sage, ist, dass man das Risiko bis zur Ebene der Organisational Domain herunterbringen kann. Die Domainanfragen bleiben übrigens vorerst auch weiterhin offen und für jedermann lesbar. Wer die Mail innerhalb der Domain erhält, weiß dann nur der Provider. Auch für das Verschlüsselungsmanagement habe ich ein neues Format vorgesehen, das die Automatisierung der Verschlüsselung ermöglichen und für ein Höchstmaß an Sicherheit sorgen soll. Ich nenne es Signet Format – es enthält den Signing-Key, Encryption Key, Signaturen des Nutzers, des Mail-Providers und des zuvor genutzten Schlüssels. Die Validierung der alten Schlüssels erlaubt eine automatische Erzeugung neuer Schlüssel – wenn der Nutzer das will jede Woche. Wer im "paranoiden Modus" unterwegs ist, kann hier außerdem auch alternative Schlüssel hinterlegen.
c't: Die andere Algorithmen verwenden?
Ladar Levison: Ja. Zum Einsatz kommen Ed25519, Twisted Edward Curves und auch die secp256k1-Kurve. In den Signets können aber auch Alternativen dazu abgelegt werden. Außerdem ist im Signet Platz für die Hinterlegung von Onionadressen und Bitcoin als bevorzugtes Zahlungsmittel.
c't: Das klingt als richte sich das Angebot vor allem an paranoide und auch technisch versierte Nutzer. Wie ist denn die DIME-Welt mit ihren Spezialprotokollen überhaupt in die normale Welt eingebettet? Kann ich am Ende nur noch DIME-Paranoide erreichen?
Ladar Levison: DIME sieht explizit mehrere Betriebsvarianten vor. Im Modus "Vertrauensvoll" übernimmt der Server das Mailmanagement komplett und der Nutzer kann Webmail nutzen. In diesem Modus bleiben SMTP und IMAP die Standards. Im Modus "Vorsichtig" dient der Mailserver zur Synchronisierung und Speicherung komplett verschlüsselter Nachrichten. Im Gegensatz zum Modus "Paranoid" sind hier noch verschlüsselte Versionen der privaten Schlüssel des Nutzers hinterlegt. Webmail ist noch möglich. Das soll eine der heutigen Mail vergleichbare Funktionalität bieten, bei stark reduziertem Vertrauen gegenüber den Mailbetreiber. Im paranoiden Modus liegt alles Schlüsselmaterial nur noch beim Nutzer selbst, Webmail funktioniert dann nicht mehr.
c't: "Vorsichtig" und "Paranoid" würden künftige National Security Letter an Sie unsinnig machen, Sie könnten nur noch verschlüsselte Daten preisgeben. War das ihr Motiv?
Ladar Levison: Natürlich. Ich habe mich schon für sichere verschlüsselte E-Mail interessiert lange bevor es in Mode gekommen ist. Außerdem habe ich schon sehr lange die Idee gehabt, so etwas wie DIME zu schaffen. Aber damit war ich wohl der Zeit voraus. Das, was die NSA mit mir angestellt hat – egal ob Sie das jetzt für richtig oder falsch halten – hat den letzten Anstoß gegeben, sich auf den mühsamen Weg zu machen, den Sicherheitslevel weiter zu erhöhen.
c't: In ihrer Widmung an die NSA bedanken Sie sich und schreiben, es reiche manchmal nicht mehr aus, die Idee der Verfassung hochzuhalten, manchmal müsse man deren Verteidigung in die eigenen Hände nehmen....
Ladar Levison: In der Tat geht die Bedeutsamkeit der NSA-Aktionen gegen Lavabit über meinen konkreten Fall hinaus. Die NSA ist einmal als militärische Organisation gegründet worden, um feindliche Aktionen aus dem Ausland abzuwehren und nun haben wir diese Militärmaschine gegen die eigenen Bürger gerichtet. In der selben Weise in der man nicht will, dass Panzer durch die Fifth Avenue rollen, wollen wir auch keine nationale Sicherheitspolizei, die unser Netz patrouilliert. Na, und nun habe ich ja auch dank NSA und FBI Zeit, DIME zu entwickeln.
c't: Sie haben ein 150-Seiten-Konzept mit zur IETF nach Dallas gebracht und vorgestellt, wollen Sie DIME standardisieren? Und wann rechnen Sie denn damit, dass Sie DIME anbieten können?
Ich hätte tatsächlich gerne, dass DIME irgendwann ein Standard wird, allerdings sammle ich hier erst einmal Kommentare und Ideen. Ich will als nächstes Kapital sammeln um mit einem Team von vielleicht fünf Entwicklern das Konzept komplett zu machen. Allein mit der Open Source Community würde es viel länger dauern.
c't: Bislang haben nur wenige Menschen ihre Kommunikationsgewohnheiten geändert. Glauben Sie trotzdem, dass es Leute gibt, die sich die Mühe machen, zu ihren System zu migrieren?
Wir haben schon 50.000 Teilnehmer, die uns haben wissen lassen, dass sie das gerne benutzen wollen, wenn es fertig ist. Ich glaube schon, dass die Nachfrage nach mehr Sicherheit heute größer ist denn je. (mho)