Die Gründer der geschlossenen E-Mail-Dienste Lavabit und Silent Mail haben die „Dark Mail Alliance“ ins Leben gerufen. Mit dieser Open-Source-Initiative wollen sie eine benutzerfreundliche sowie sichere E-Mail-Verschlüsselung schaffen und sie als offenes Protokoll für alle Softwareentwickler und Service Provider bereitstellen.
Der Projektname Dark Mail Alliance spielt auf die Rebel Alliance in Star Wars an, wie Lavabit-Gründer Ladar Levison gegenüber Forbes verriet. „Wir sind die Rebellen, die zum Schluss gekommen sind, dass die Privatsphäre zu wichtig ist, um Kompromisse einzugehen“, sagte er. „Wir kämpfen, um wieder für Privatsphäre im Internet zu sorgen.“ Seitens Silent Circle sind die renommierten Kryptografen Jon Callas und Phil Zimmermann beteiligt, der Erfinder von Pretty Good Privacy (PGP).
Das Protokoll und die Architektur soll für eine durchgehende Verschlüsselung der „nächsten Generation“ von E-Mails sorgen: „Was wir ‚E-Mail 3.0‘ nennen, ist ein dringend benötigter Ersatz für die Jahrzehnte alten E-Mail-Protokolle von heute (‚1.0‘) und Mail, die zwar verschlüsselt ist, aber sich noch immer auf angreifbare Protokolle verlässt, die Metadaten durchsickern lassen (‚2.0‘).“
Levison schloss im August überraschend seinen durchgehend verschlüsselten E-Mail-Dienst Lavabit, zu dessen Nutzern offenbar auch PRISM-Enthüller Edward Snowden gehörte. Er riet gleichzeitig dringend davon ab, private Daten einem Unternehmen anzuvertrauen, das über eine territoriale Verbindung zu den Vereinigten Staaten verfügt. Wenig später stellte auch Silent Circle seinen verschlüsselten E-Mail-Dienst ein, da „die Zeichen an der Wand“ zu sehen seien. Im Oktober verrieten entsiegelte Gerichtsdokumente, dass das FBI Levison zur Herausgabe der kryptografischen Schlüssel und SSL-Schlüssel zwingen wollte. Das aber hätte den Ermittlungsbehörden nicht nur die Inhalte einzelner Verdächtiger, sondern von allen Nutzern zugänglich gemacht. Levison blieb daher nur noch die Schließung von Lavabit, um die Privatsphäre seiner 400.000 Nutzer zu schützen.
Die Dark Mail Alliance will eine sichere E-Mail-Übertragung durch Peer-to-Peer-Verschlüsselung ermöglichen, die auf dem Messaging-Protokoll SCIMP von Silent Circle basiert. Die Nutzer bekommen private Schlüssel für ihre Geräte, während öffentliche Schlüssel und Adressen auf einem öffentlichen Server vorgehalten werden. Die E-Mails sind in der Cloud gespeichert und können von dort abgerufen werden.
Selbst der Provider könnte dabei nicht einmal die Metadaten einsehen. Auf seinen Servern wären keine Schlüssel gespeichert, die Ermittlungsbehörden anfordern könnten. Darüber hinaus soll die durchgehende Verschlüsselung mit einer benutzerfreundlichen Oberfläche möglich sein, die einen breiten Einsatz überhaupt erst denkbar macht. „Features von PGP sind in den Code selbst integriert, so dass es wie reguläre E-Mail funktionieren kann“, erklärte Levison. „Wir wollen es so leicht machen, dass auch Ihre Oma damit umgehen kann.“
Dark Mail wäre als Add-on für beliebige E-Mail-Dienste wie etwa Gmail oder Yahoo Mail zu nutzen – sofern sich diese Unternehmen überzeugen lassen und die sichere Technologie übernehmen. „Wir wollen, dass die Googles, die Yahoos und die Microsofts Rückgrat beweisen“, sagte Silent-Circle-CEO Mike Janke. „Aber das wird ein interessanter Reibungspunkt sein. Diese Firmen verdienen ihr Geld durch die Auswertung ihrer kostenlosen E-Mails.“ Die Architektur von Dark Mail würde sie am Scannen von E-Mails hindern, um gezielte Werbung auszuliefern – und andererseits das Ausfiltern von Spam erschweren.
Levison sorgt sich um die Nutzung sicherer E-Mail durch Kriminelle, hält aber als Grundlage der Demokratie für unverzichtbar, sich privat äußern zu können. Wenn Ermittlungsbehörden Daten wollten, argumentiert Janke, müssten sie bei der neuen E-Mail-Architektur statt zum Provider wieder zum einzelnen Nutzer gehen. „Mich beunruhigen die Big-Data-Verarbeiter mehr“, sagte er gegenüber Forbes. „Sie machen mich insgesamt besorgter, weil es um Geld geht. Darum sorge ich mich mehr als um die Nationalstaaten.“
Das neue E-Mail-Protokoll soll 2014 veröffentlicht werden. Die Initiative will möglichst viele – auch kleinere – Provider in aller Welt dafür gewinnen, in dieser Form wirklich private und sichere E-Mail anzubieten. Silent-Circle-CEO Janke hofft darauf, dass schon in einigen Jahren überwiegend „E-Mail 3.0“ genutzt wird.
[mit Material von Edward Moyer, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…