Ladar Levison van maildienst Lavabit gaat publiekelijk door het stof. Eerder deze week constateerde hacker en cryptograaf Moxie Marlinspike dat de securityclaims van Lavabit losse flodders zijn. Lavabit stelde dat zelfs beheerders niet bij de mail van klanten konden, maar niets is minder waar.

Levison erkent dat hij belangrijke ontwikkelingen heeft gemist en dreigingen over het hoofd heeft gezien. “Het is nooit bij me opgekomen dat de FBI de SSL sleutel van Lavabit zouden vorderen. Dat was simpelweg geen onderdeel van mijn dreigingsmodel.”

FBI kan oude mails uitlezen

“Nog belangrijker, ik heb gefaald door de SSL configuratie van Lavabit niet te updaten met een systeem met perfect forward secrecy,” aldus Levison in een reactie die Ars Technica publiceert. Vandaar dat de autoriteiten nu oude versleutelde mails die ze hebben onderschept alsnog kunnen ontsleutelen en uitlezen.

Maar Levison claimt dat een (overheids)hacker die inbreekt op de server niet zomaar bij alle data zou kunnen komen, omdat de sleutels en wachtwoorden waren opgeslagen op speciaal ‘veilig geheugen’. Het blijft onduidelijk wat dit precies inhoudt, en Marlinspike is bepaald niet onder de indruk. Hij tweet cynisch: