image

FBI eiste encryptiesleutel van e-mailprovider Snowden

donderdag 3 oktober 2013, 09:54 door Redactie, 10 reacties

De FBI heeft in juli de encryptiesleutel geëist waarmee de e-mailprovider van klokkenluider Edward Snowden al het verkeer naar de website versleutelde. Het gerechtelijke bevel volgde nadat e-mailaanbieder Lavabit eerdere verzoeken om de eigen beveiliging te omzeilen had geweigerd.

De autoriteiten hadden in juni gevraagd om metadata van één gebruiker op te slaan. Het ging dan om zaken als de afzender en ontvanger van de e-mails, alsmede IP-adressen waarvandaan de mailbox werd benaderd en datum en tijdstip van de communicatie. Snowden gebruikte Lavabit om versleuteld met anderen te communiceren.

Encryptiesleutel

Het bedrijf weigerde met de autoriteiten mee te werken en besloot in augustus de e-maildienst op te heffen. De oprichter van Lavabit mocht niets over de toedracht zeggen, "Ik zou graag met jullie de gebeurtenissen willen delen die tot deze beslissing hebben geleid, maar dat kan ik niet", aldus Ladar Levison destijds.

Wired heeft nu documenten gepubliceerd waaruit duidelijk wordt dat Lavabit werd gedwongen om de e-mails van Snowden te ontsleutelen, ook al had het bedrijf niet de encryptiesleutel die voor de versleuteling werd gebruikt. Toch eiste de Amerikaanse autoriteiten dat Lavabit alle informatie zou overhandigen om de communicatie die Snowden ontving en verstuurde te ontsleutelen, waaronder encryptiesleutels en SSL-sleutels.

Papieren encryptiesleutel

Volgens Levison zou het overhandigen van de SSL-sleutel waarmee het verkeer tussen de website en bezoekers werd versleuteld alle gebruikers in gevaar brengen. De oprichter van Lavabit wilde dan ook aan het eerdere verzoek gehoor geven om de metadata van Snowden te overhandigen, maar daar was de Amerikaanse overheid niet meer in geïnteresseerd.

De rechtbank gaf de overheid gelijk en stelde dat Levison de gevraagde informatie moest overhandigen. Uiteindelijk overhandigde Levison de privé SSL-sleutel in papieren vorm. Elf pagina's met 4-punts grote karakters. De overheid nam hier geen genoegen mee, aangezien de FBI alle 2560 karakters handmatig moest invoeren en één fout betekende dat de sleutel niet zou werken.

De rechtbank dwong Levison vervolgens een elektronische kopie te overhandigen, wat hij weigerde. Als hij echter niet zou meewerken zou hij vanaf 6 augustus elke dag een boete van 5.000 dollar krijgen. Op 8 augustus besloot Levison zijn e-maildienst op te heffen, waarmee er na bijna 10 jaar een einde aan het bedrijf kwam.

Reacties (10)
03-10-2013, 10:07 door Anoniem
Als je niet de trekpop van van deze zelfverklaarde "good guys" wil zijn, kan je eigenlijk geen bedrijf beginnen of zelfs maar zaken doen in dat land.
03-10-2013, 10:38 door Flying-Dutchman
Treurig om te lezen dat de een dergelijk verzoek leidt tot de ondergang van het bedrijf.
Ik snap dat de rechtbank ervoor mag zorgen dat onderzoek naar een verdachte mogelijk moet zijn, maar om iemand te dwingen dergelijke bedrijfskritische informatie (want essentieel voor beveiliging) te overhandigen is verontrustend.
03-10-2013, 10:54 door Anoniem
Buitenproportioneel...DE FBI heeft niets te zoeken in het verkeer van andere gebruikers van de dienst. Dus heeft de rechtbank weer een bewezen wat voor een digibeten er werken.
03-10-2013, 11:04 door [Account Verwijderd] - Bijgewerkt: 03-10-2013, 11:05
[Verwijderd]
03-10-2013, 11:49 door Anoniem
Door Peter V.: Dit is echt heel moedig en heel principieel van Levison. Vraag het je zelf maar eens na: zou jij je baan, beroep, inkomen, je bedrijf opgeven en je in onzekerheid storten door zelf de stekker eruit te trekken? Vertel mij niet dat dit eenvoudig is!

Deze man is voor mij een held.

Mee eens, je moet echt ballen hebben om voor de FBI recht te blijven staan.

Ik wordt echt boos als ik zulke dingen lees. Snowden vond dat de NSA verkeerd bezig was, wat ik ook (en vele anderen natuurlijk) vindt. Iemand van buiten af zou het niet zo snel door hebben. En dan wordt hij afgezet als een crimineel ect.

Het is echt losgeslagen daar aan de overkant. Ze doen en doen maar wat ze willen. Het is niet erg dat een overheid zit met dingen bemoeid: maar ik vind de overheid daar steeds meer skynet/umbrella enzovoort achtige vormen aan nemen.
03-10-2013, 12:05 door rsterenb
Hulde!

Zie ook: https://www.facebook.com/KingLadar/posts/10153341982280038

"In fact the FBI agents even admitted their intention to collect passwords in transit so they could access emails protected by Lavabit’s encrypted storage feature. This was in stark contrast the DOJ attornies who maintained that only the metadata authorized by the court order would be collected."

Nee hoor, er is niets aan de hand. Zzzzz...

Als je niet de trekpop van van deze zelfverklaarde "good guys" wil zijn, kan je eigenlijk geen bedrijf beginnen of zelfs maar zaken doen in dat land.

Tja.. En daarom willen we er een AMS-IX zusje openen. We hoeven ons tenslotte nergens zorgen over te maken.
03-10-2013, 12:49 door [Account Verwijderd] - Bijgewerkt: 03-10-2013, 13:50
[Verwijderd]
03-10-2013, 14:08 door Anoniem
Op zich vind ik het wel geruststellend dat ze zoveel moeite doen om de SSL prive sleutel te achterhalen.
Dit kan natuurlijk een cover-up zijn, maar als men het na een paar keer vriendelijk vragen gewoon had laten
zitten dan zou ik eigenlijk meer bezorgd worden...

Wat men eigenlijk zou moeten doen is site eigenaren een certificaat geven waarmee je 1 nivo van certificaten
voor je eigen domein zelf kunt signen. Dan kan zo'n site gewoon een achtergrond procesje draaien wat
nieuwe certificaten genereert, signed, aan sessies toewijst en als die sessie afgelopen is weer secure wist.

Dan IS er gewoon geen key meer om weg te geven, al vragen ze er nog zo hard om.
04-10-2013, 00:25 door AA_CS
Door AnonymousSecurity:
Helemaal mee eens. En in die zin hulde! Maar ik zou het een slechte zaak vinden als er data van medewerkers in het buitenland die zich met specifieke opdrachten bezig houden bekend zouden raken waardoor levens in gevaar komen.Blijf het een moeilijke zaak vinden.
Mwa, er wordt geen rauwe data zomaar online gegooid. Er wordt gekeken wat wel en niet kan om gevaar voor de betrokkenen te voorkomen. Op hoeveel Wikileaks-doden staat de teller momenteel (aanzien van / vertrouwen in VS niet meegerekend)?

Als "veilig" een van je selling-points is, dan is zo'n bevel dodelijk. Het afstaan van de sleutel komt toch wel naar buiten en dan ben je zo al je klanten én je aanzien kwijt. Dan kun je beter de eer aan jezelf houden en de stekker er uit trekken. Erg jammer, dat wel.
04-10-2013, 08:12 door Anoniem
Elf pagina's met 4 punts karakters, totaal 2560 teken. Dan hebben ze het dus op postzegels geprint.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.