Hög tid att försvara brevhemligheten

Lavabit

Det är kusligt att läsa Ladar Levisons magra förklaring till varför han tvingas stänga Lavabit, en tjänst för krypterad mejl som rapporterats ha använts av bland andra Edward Snowden.

Efter avslöjandena om NSA:s massövervakning har Lavabits användarantal flerdubblats, så Levison borde rimligen sitta och gnida sina händer i förtjusning. I stället har han alltså enligt egen utsaga tvingats välja mellan att bli “complicit in crimes against the American people” och att stänga tjänsten som han byggt upp under tio år.

Händelserna bakom Levisons beslut är höljda i dunkel, ty en av de otäckaste aspekterna av Lavabit-historien är att Ladar Levison förbjudits att berätta för omvärlden varför han nu stänger tjänsten. Han får med andra ord ingen chans att trovärdigt förklara varför han sviker sina användare, eller att väcka opinion kring de påtryckningar som myndigheter får förutsättas ha utsatt honom för.

Även krypteringstjänsten Silent Circle kungör nu att de stänger sin tjänst Silent Mail av rädsla att inte kunna skydda sina användare i framtiden. Till tekniksajten The Verge skriver deras CTO:

“It’s drastic, but whatever made Lavabit have to close down can’t be good for us or our subscribers, whom we have pledged to protect.”

Edward Snowdens avslöjanden har med andra ord lett till ett starkt ökat intresse för kryptering och säkerhet. Men följden av det är än hårdare nedslag mot krypteringstjänster. Istället för att avslöjandena lett till större återhållsamhet från NSA et consortes, och mer integritet för nätanvändarna, slår pendeln i andra riktningen. Myndigheterna går nu än hårdare fram i kampen mot integritet och brevhemlighet.

Ladar Levison fortsätter att slåss för sitt företag, men utifrån sina erfarenheter utfärdar han en skarp varning till alla nätanvändare:

“I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.”

Själv har jag sedan i juni bojkottat Google, Facebook, Apple, Microsoft och Yahoo!. Att undvika samtliga nätföretag med bas i USA är ett än mer omfattande projekt, men vad mitt experiment har lärt mig är att det finns gott om alternativ. Att åtminstone välja mejl-, meddelande- och lagringstjänster som ligger utanför USA är väl värt besväret. One.com, Line, WeChat och Wuala är några exempel på alternativ.

Men framförallt: När amerikansk underrättelsetjänst driver en aggressiv och hemlig kampanj för omedelbar tillgång till alla världens kommunikationer är det hög tid att försvara brevhemligheten. Använd exempelvis epostklienten Thunderbird med tillägget Enigmail för att kryptera din mejl, alternativt Mailvelope om du föredrar webbaserad epost.

Du hittar min publika PGP-nyckel här.

5 thoughts on “Hög tid att försvara brevhemligheten

  1. Fredrik
    August 9, 2013 at 15:34

    Använde Lavabits tjänst som min primära mail sedan jag bytte från gmail. Det var en väldigt bra och lättanvänd tjänst. Trist att detta skulle hända..

  2. steelneck
    August 9, 2013 at 20:51

    Som jag förstått Lavabit, så har de använt en säkerhetsmodell som gjort dem till den svaga länken. Den privata nyckeln för varje användare lagras på deras server, vilket betyder att NSA bara behöver kräva in en användares okrypterade lösenord för att bereda sig access till alla mail som användaren har på servern. Det är troligen precis detta NSA har begärt av Lavabit. I detta läge har Levison bara två val, att gå med på det i tysthet med de konsekvenser det innebär för användarna, eller stänga ned såsom han nu gjort. Troligen retar han närmast gallfeber på NSA med sin nedstängning, i effekt nekar han dem access och strör dessutom salt i såret genom att försöka dra ärendet rättsligt.

    För att göra saken övertydlig, tänk dig om Telia, Tele2, Bahnhof osv.. skulle stänga ned sin verksamhet när FRA begär att få koppla in sina “samverkanspunkter”. Tänk dig kaoset i slutet på månaden när deras kunder skall betala räkningarna och de inte längre har någon uppkoppling.. Visst, detta exempel var att dra saken både 3 och 4 steg längre, men grundprincipen är den samma, att vägra gå med på det genom att stänga ned.

  3. August 10, 2013 at 10:15

    Aha, jag trodde att själva innehållet var säkert och att det främst handlade om metadata. Men kan mycket väl stämma att Lavabit sparade användarnas privata nycklar. Vilket, i dagens säkerhetsklimat, är att be om trubbel.

    Jag har dock svårt att tänka mig att Levison kommer undan en NSA-request så enkelt som att stänga ner tjänsten. Även om han nu stängt Lavabit gissar jag att NSA fortfarande kräver att han lämnar ut informationen. Och om han utplånat den data de bett om står han sannolikt inför en obehaglig rättsprocess…

    1. steelneck
      August 10, 2013 at 19:04

      Ett försvar mot det du framför kan vara den välbekanta frasen “You have the right to remain silent, anything you say can and will be used against you in…” Det där är ju en mycket grundläggande sak i alla rättssystem, det är hans fulla rätt att inte lämna ut något och är all användardata raderad så är den det, därmed kan den andra sidan inte bevisa nåt. Men frågan är väl snarare om USA har ett rättssystem värd namnet numer, så det kan bli obehagligt för honom. I UK har de ju redan frångått nämda mycket grundläggande rättsprincip genom att göra det straffbart att inte utlämna kryptonycklar till påstådd krypterad information. Jag skrev “påstådd” i ett syfte, bra kryptering gör det nämligen information oskiljbar från slumpmässig data, närmast att betrakta som radiobrus. Det går därmed att fängsla precis vem som helst på den grunden, kusligt likt “bevisningen” i häxprocesserna.

      Enda sättet till säkerhet för en “budbärare” är att krypteringen/avkrypteringen sker hos användarna, men det innebär samtidigt att normal webmail inte fungerar. Det du ser med webmail är ju en webbsida i din browser, alltså sker dekrypteringen på servern, inte i ett klientprogram i din maskin. Detta innebär då att vilken mail som helst är lika säker, eller osäker som allt annat, det är upp till dig och din mottagare att utbyta krypteringsnycklar och kryptera allt innehåll innan det lämnar den egna maskinen. Fördelen med webmail är förstås att man genom nätverk som TOR kan öppna ett konto och konsekvent anända sådana nätverk när tjänsten används. På så vis kan man både förbli anonym och hålla korrespondansen privat. Detta är problemet med mail, att både hålla avsändare/mottagare anonyma för tredje part och innehållet i korrespondansen.