Lavabit-oprichter Ladar Levison wil via crowdfunding zijn beveiligde maildienst een open source doorstart geven als Dark Mail. Lavabit werd onder meer door NSA-klokkenluider Edward Snowden gebruikt. Het bedrijf staakte zelf de dienstverlening toen het werd gedwongen zijn SSL-sleutel af te geven aan de FBI.

Net zo veilig als onversleutelde mail

De securityclaims van Lavabit blijken echter losse flodders, constateert hacker en cryptograaf Moxie Marlinspike. Lavabit stelde dat zelfs beheerders niet bij de mail van klanten konden, maar niets is minder waar. De bekende cryptokraker Marlinspike ontleedt Lavabit.

“De versleutelde tekst, sleutel en wachtwoord zijn allemaal opgeslagen op de server en vallen binnen de controle van de server(beheerder) en dit is niet te verifiëren door de klant. Er is geen enkele manier om te bewijzen dat er überhaupt encryptie is toegepast, en als dat zo zou zijn maakt het weinig verschil,” concludeert Marlinspike. Het maakte Lavabit feitelijk even kwetsbaar als een provider van onversleutelde mail.

FBI kan Lavabit mails nu lezen

De encryptie-expert speculeert dan ook dat sluiten van de servers Lavabit-klanten alleen heeft beschermd tegen onderscheppen en uitlezen van toekomstige mails, maar niet van reeds verstuurde berichten. Het afgeven van de SSL-sleutel door Lavabit stelt de autoriteiten namelijk in staat om versleuteld mailverkeer van Lavavit dat eerder is afgetapt (bijvoorbeeld door de NSA) alsnog te ontsleutelen en te lezen. Dit komt onder meer omdat Lavabit geen perfect forward secrecy SSL gebruikte.

Marlinspike prijst Levison wel voor zijn publieke protestactie tegen spionerende autoriteiten. Tegelijkertijd waarschuwt de cryptokraker voor de belabberde technische keuzes en valse garanties die Lavabit maakte, die nu mogelijk een tweede leven krijgen in de gedaante van Dark Mail. Volgens de hacker tonen twee andere ‘secure mail’ projecten meer potentie: Mailpile en Leap Encrypted Access Project.