FBI eiste encryptiesleutel van e-mailprovider Snowden
De FBI heeft in juli de encryptiesleutel geëist waarmee de e-mailprovider van klokkenluider Edward Snowden al het verkeer naar de website versleutelde. Het gerechtelijke bevel volgde nadat e-mailaanbieder Lavabit eerdere verzoeken om de eigen beveiliging te omzeilen had geweigerd.
De autoriteiten hadden in juni gevraagd om metadata van één gebruiker op te slaan. Het ging dan om zaken als de afzender en ontvanger van de e-mails, alsmede IP-adressen waarvandaan de mailbox werd benaderd en datum en tijdstip van de communicatie. Snowden gebruikte Lavabit om versleuteld met anderen te communiceren.
Encryptiesleutel
Het bedrijf weigerde met de autoriteiten mee te werken en besloot in augustus de e-maildienst op te heffen. De oprichter van Lavabit mocht niets over de toedracht zeggen, "Ik zou graag met jullie de gebeurtenissen willen delen die tot deze beslissing hebben geleid, maar dat kan ik niet", aldus Ladar Levison destijds.
Wired heeft nu documenten gepubliceerd waaruit duidelijk wordt dat Lavabit werd gedwongen om de e-mails van Snowden te ontsleutelen, ook al had het bedrijf niet de encryptiesleutel die voor de versleuteling werd gebruikt. Toch eiste de Amerikaanse autoriteiten dat Lavabit alle informatie zou overhandigen om de communicatie die Snowden ontving en verstuurde te ontsleutelen, waaronder encryptiesleutels en SSL-sleutels.
Papieren encryptiesleutel
Volgens Levison zou het overhandigen van de SSL-sleutel waarmee het verkeer tussen de website en bezoekers werd versleuteld alle gebruikers in gevaar brengen. De oprichter van Lavabit wilde dan ook aan het eerdere verzoek gehoor geven om de metadata van Snowden te overhandigen, maar daar was de Amerikaanse overheid niet meer in geïnteresseerd.
De rechtbank gaf de overheid gelijk en stelde dat Levison de gevraagde informatie moest overhandigen. Uiteindelijk overhandigde Levison de privé SSL-sleutel in papieren vorm. Elf pagina's met 4-punts grote karakters. De overheid nam hier geen genoegen mee, aangezien de FBI alle 2560 karakters handmatig moest invoeren en één fout betekende dat de sleutel niet zou werken.
De rechtbank dwong Levison vervolgens een elektronische kopie te overhandigen, wat hij weigerde. Als hij echter niet zou meewerken zou hij vanaf 6 augustus elke dag een boete van 5.000 dollar krijgen. Op 8 augustus besloot Levison zijn e-maildienst op te heffen, waarmee er na bijna 10 jaar een einde aan het bedrijf kwam.
Ik snap dat de rechtbank ervoor mag zorgen dat onderzoek naar een verdachte mogelijk moet zijn, maar om iemand te dwingen dergelijke bedrijfskritische informatie (want essentieel voor beveiliging) te overhandigen is verontrustend.
Deze man is voor mij een held.
Mee eens, je moet echt ballen hebben om voor de FBI recht te blijven staan.
Ik wordt echt boos als ik zulke dingen lees. Snowden vond dat de NSA verkeerd bezig was, wat ik ook (en vele anderen natuurlijk) vindt. Iemand van buiten af zou het niet zo snel door hebben. En dan wordt hij afgezet als een crimineel ect.
Het is echt losgeslagen daar aan de overkant. Ze doen en doen maar wat ze willen. Het is niet erg dat een overheid zit met dingen bemoeid: maar ik vind de overheid daar steeds meer skynet/umbrella enzovoort achtige vormen aan nemen.
Zie ook: https://www.facebook.com/KingLadar/posts/10153341982280038
"In fact the FBI agents even admitted their intention to collect passwords in transit so they could access emails protected by Lavabit’s encrypted storage feature. This was in stark contrast the DOJ attornies who maintained that only the metadata authorized by the court order would be collected."
Nee hoor, er is niets aan de hand. Zzzzz...
Tja.. En daarom willen we er een AMS-IX zusje openen. We hoeven ons tenslotte nergens zorgen over te maken.
Dit kan natuurlijk een cover-up zijn, maar als men het na een paar keer vriendelijk vragen gewoon had laten
zitten dan zou ik eigenlijk meer bezorgd worden...
Wat men eigenlijk zou moeten doen is site eigenaren een certificaat geven waarmee je 1 nivo van certificaten
voor je eigen domein zelf kunt signen. Dan kan zo'n site gewoon een achtergrond procesje draaien wat
nieuwe certificaten genereert, signed, aan sessies toewijst en als die sessie afgelopen is weer secure wist.
Dan IS er gewoon geen key meer om weg te geven, al vragen ze er nog zo hard om.
Helemaal mee eens. En in die zin hulde! Maar ik zou het een slechte zaak vinden als er data van medewerkers in het buitenland die zich met specifieke opdrachten bezig houden bekend zouden raken waardoor levens in gevaar komen.Blijf het een moeilijke zaak vinden.
Als "veilig" een van je selling-points is, dan is zo'n bevel dodelijk. Het afstaan van de sleutel komt toch wel naar buiten en dan ben je zo al je klanten én je aanzien kwijt. Dan kun je beter de eer aan jezelf houden en de stekker er uit trekken. Erg jammer, dat wel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
