Snowdens E-Mail-Provider Lavabit sollte Schlüssel verraten

Der im August überraschend geschlossene E-Mail-Service Lavabit ist von der US-Regierung unter Druck gesetzt worden, Informationen über Edward Snowden zugänglich zu machen und zugleich die sichere Kommunikation seiner insgesamt 400.000 Kunden zu gefährden. Das geht aus jetzt entsiegelten Gerichtsdokumenten hervor, die Wired vollständig veröffentlicht hat.

Damit werden die Gründe nachvollziehbar, die Lavabit-Gründer Ladar Levison zur überraschenden Schließung seines Dienstes bewogen, der als sichere Alternative zu Gmail gedacht war und E-Mails schon vor der Speicherung auf seinen Servern verschlüsselte. Levison selbst hatte sich zunächst nicht zu den Gründen für die Schließung äußern können, das „das Recht auf freie Meinungsäußerung in solchen Situationen nicht mehr gelte“. Die aufschlussreichen Dokumente wurden jetzt im Zusammenhang mit einer Rechtsbeschwerde von Lavabit veröffentlicht.

Die behördliche Neugier galt einem Lavabit-Kunden, dem Verstöße gegen das Spionagegesetz Espionage Act sowie Diebstahl von Regierungseigentum vorgeworfen wurden. Sein Name wurde in den Gerichtsdokumenten zwar geschwärzt – sicher nicht zufällig ging es aber um die genau die Vorwürfe, die in der Anklage gegen PRISM-Enthüller Edward Snowden stehen. Aufgrund einer gerichtlichen Anordnung sollte Lavabit Metadaten wie Absender, Empfänger und IP-Adressen mitschneiden, die für den Zugriff auf das E-Mail-Postfach verwendet wurden. Da es zunächst nur um Metadaten ging, ist eine solche Anordnung auch möglich, ohne einen begründeten Verdacht gegen zu überwachende Personen darlegen zu müssen.

Anders als herkömmliche E-Mail-Provider hatte Lavabit aber gar keinen Zugriff auf hereinkommende Nachrichten, die mit einem nur dem Nutzer bekannten Schlüssel verschlüsselt waren. Mit dieser Begründung wehrte sich Levison gegen das Verlangen. Der Ankläger aber argumentierte, dass Lavabit technisch durchaus zur Entschlüsselung in der Lage sei, aber nicht „sein eigenes System überwinden“ wolle. Die Richterin stimmte dem zu und droht Levison, ihn wegen Missachtung einer gerichtlichen Anordnung zu verurteilen.

Die Ankläger legten anschließend noch einmal nach und erwirkten einen Durchsuchungsbeschluss, der auf die Herausgabe aller notwendigen Informationen zielte, um die Kommunikation von und zu dem fraglichen E-Mail-Konto zu entschlüsseln „einschließlich der kryptografischen Schlüssel und SSL-Schlüssel“. Mit den SSL-Schlüsseln aber hätte das FBI sogar jegliche Kommunikation zwischen allen Lavabit-Nutzern und der Site entschlüsseln können, obwohl die Ermittler angeblich nur an die Metadaten eines einzelnen Nutzers kommen wollten.

Levison war nun offenbar bereit, der ursprünglichen Anordnung nachzukommen und seinen Code zu ändern, um die Metadaten des einen betroffenen Nutzers abzufangen. Die Anklage bestand aber auf der Herausgabe der privaten SSL-Schlüssel und versicherte lediglich, bei der Überwachung einen effektiven Filter einzusetzen, so dass alle anderen Nutzer nicht wirklich betroffen seien.

Wie die Dokumente weiter aufzeigen, lieferte Levison daraufhin die privaten SSL-Schlüssel in einer ungewöhnlichen Form, nämlich als 11-seitigen Ausdruck in winziger 4-Punkt-Schrift. Die Ankläger waren darüber wenig amüsiert: „Um diese Schlüssel zu nutzen, müsste das FBI alle 2560 Zeichen von Hand eingeben, und ein versehentlich falsch eingegebenes Zeichen bei dieser arbeitsaufwendigen Aufgabe würde die Entschlüsselung durch das Datensammelsystem des FBI unmöglich machen.“

Das Gericht wies Lavabit nun zur Anfertigung einer nützlicheren elektronischen Kopie an. Als Lavabit dem nicht umgehend nachkam, drohte die Richterin Levison mit einer Strafe von täglich 5000 Dollar bis zur Herausgabe der Schlüssel in elektronischer Form. Zwei Tage später schloss Lavabit und machte damit alle weiteren Überwachungsversuche gegenstandslos. Ausdrücklich warnte Levison vor der Nutzung von US-Maildiensten: „Solange das Parlament nicht handelt oder es zu einem starken juristischen Präzedenzfall kommt, kann ich absolut niemandem empfehlen, seine privaten Daten einem Unternehmen anzuvertrauen, das eine territoriale Verbindung zu den Vereinigten Staaten hat.“

Lavar Levison kämpft jetzt mit juristischen Mitteln weiter für das verfasssungsmäßige Recht auf Privatsphäre und hofft auf eine Entscheidung, die eine Neugründung von Lavabit als amerikanische Firma erlaubt. Ein Spendenaufruf bei Rally.org brachte bereits rund 60.000 Dollar für das kostspielige Verfahren ein.

[mit Material von Michael Lee, ZDNet.com]