Lavabit-Gründer erläutert Entwicklungsstand des DarkMail-Projekts

Ladar Levison, Gründer von Lavabit und Leiter des DarkMail-Projekts, hat auf der Sicherheitskonferenz DefCon in Las Vegas einen Überblick über den aktuellen Entwicklungsstand der sicheren, benutzerfreundlichen E-Mail-Verschlüsselung der Dark Mail Alliance gegeben. Vor rund 2000 anwesenden Hackern und Sicherheitsexperten erklärte er, dass man das Projekt ausgeweitet habe. Die sogenannte Dark Internet Mail Environment, kurz DIME, sei ein Ökosystem, bestehend aus den E-Mail-Übertragungsprotokollen DMAP und DMTP, dem E-Mail-Server Magma und dem auf Mozillas Thunderbird basierenden Desktop-E-Mail-Client Volcano.

„DarkMail vereint all mein Wissen über Sicherheit und E-Mail zu einem letzten Werk“, sagte Levison nach seiner Rede auf der DefCon gegenüber News.com. „Im Großen und Ganzen erschaffen wir E-Mail mit DIME neu. Es ist ein paralleles System, das vollständig verschlüsselt ist.“ Mit Dave Crocker arbeite einer der Erfinder der E-Mail mit ihm zusammen an der Dokumentation.

Ladar Levison gab auf der DefCon in Las Vegas einen Überblick über den aktuellen Entwicklungsstand von DarkMail (Bild: Seth Rosenblatt/CNET).

Aktuell gestaltet sich die Verschlüsselung von E-Mails noch schwierig, womit sie derzeit nur versierten Nutzern zur Verfügung steht. „Damit jedermann Ende-zu-Ende-Verschlüsselung nutzen kann, müssen wir sie automagisch machen“, sagte Levison. Damit meint er, dass es so einfach und automatisch ablaufen muss wie bei verschlüsselten Websites. „Ich arbeite mit E-Mail-Experten [an DIME], die immer noch Probleme bei der Nutzung von PGP [Pretty Good Privacy] haben.“

Levison koordiniert von Dallas aus ein kleines Team von Entwicklern. In Las Vegas zeigte er zusammen mit einem der leitenden Entwickler, Stephen Watt, nur vorbereitete Videos des Dienstes. Der Versuch einer Live-Demo im üblicherweise überlasteten WLAN-Netz der DefCon „erschien selbstmörderisch“, erklärte Watt. Die fertige Version wollen die DarkMail-Entwickler laut aktuellem Zeitplan aber schon im Dezember auf dem Chaos Communication Congress in Deutschland präsentieren, den der Chaos Computer Club zwischen Weihnachten und Neujahr veranstalten wird.

Um dieses Ziel zu erreichen, bat Levison die Anwesenden in Las Vegas um Unterstützung: „Wie benötigen mehr Leute, die uns helfen. Wir haben eine einjährige Auszeit von persönlicher Bereicherung genommen. Wenn irgendjemand daran interessiert ist, nach Dallas zu ziehen und dort für einen Mindestlohn am DarkMail-Projekt zu arbeiten, soll er mich bitte ansprechen.“ Kurz nachdem Levison die Bühne verlassen hatte, war er schon von 30 Leuten umringt.

DIME basiert zum Teil darauf, E-Mail-Header in Teile aufzubrechen und diese separat zu verschlüsseln. Das stellt eine technische Herausforderung dar, weil trotz Verschlüsselung sichergestellt werden muss, dass die Nachrichten den gewünschten Empfänger erreichen. Neben den Basisfunktionen zum Versenden und Empfangen von E-Mails zeigte Levison auf der DefCon auch, dass der Desktop-Client Volcano Empfänger, die DIME nicht nutzen, mit einem roten Warnhinweis markiert. Das verhindert zwar nicht, dass E-Mails an sie gesendet werden, aber verdeutlicht, wann Nachrichten unverschlüsselt übertragen werden.

Dieses Diagramm zeigt die Funktionsweise von DIME (Bild: Seth Rosenblatt/CNET).

Eines der Ziele von DIME sei es, dass andere es als Back-End für ihre E-Mail-Server einsetzen, sagte Levison. Eine Neueröffnung von Lavabit auf dieser Grundlage ließ er aber offen. Falls es soweit komme, müsse er die USA wahrscheinlich verlassen.

Levison hatte seinen am 1. April 2004 gestarteten E-Mail-Dienst Lavabit, den auch Edward Snowden genutzt haben soll, im August 2013 abrupt geschlossen, nachdem er einen Druchsuchungsbefehl des FBI erhalten hatte. Dieser forderte ihn dazu auf, den Schlüssel für die auf seinen Servern gespeicherten Daten herauszugeben, damit Ermittler einen einzelnen Nutzer ausfindig machen können. Einige Monate später sprach er erstmals von DarkMail als einfache Alternative zur Verschlüsselung von E-Mails.

Außer DIME seien nach seiner Zählung aktuell mehr als drei Dutzend Projekte zur Ende-zu-Ende-Verschlüsselung von E-Mail und Webmail in Entwicklung, sagte Levison. Zuletzt kündigte Yahoo vergangene Woche an, seinen E-Mail-Dienst bis Ende 2015 mit einer durchgängigen Verschlüsselung abzusichern. Dabei werde ein neues PGP-Plug-in zum Einsatz kommen, das auf Googles PGP-Browsererweiterung basiert. Google hatte dieses Chrome-Plug-in auf Basis von OpenPGP im Juni vorgestellt. Dass Yahoo darauf aufbaut, bedeutet unter anderem, dass ein unkomplizierter verschlüsselter Mailaustausch zwischen Gmail und Yahoo Mail garantiert ist.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de