24 января 2017

Ультраконфиденциальный почтовый сервис Lavabit возвращается

Анонимный почтовый сервис, которым пользовался Эдвард Сноуден, решил после четырёхгодичного закрытия возобновить работу.

Сервис, поддерживающий шифрование почты в браузере перед отправкой, и чей почтовый архив на сервере хранился в зашифрованном виде, решил вернуться к тем пользователям, которые дорожат своей конфиденциальностью. После того, как Эдвард Сноуден рассказал о массовой слежке за пользователями интернета по всему миру со стороны АНБ, и скрывался в аэропорту Шереметьево, он использовал почтовый сервис Lavabit, поскольку не доверял Gmail, Outlook.com и Yahoo, зная об их сотрудничестве с властями США. 

В августе 2013 года этому сервису неожиданно пришлось закрыться. На главной странице появилось сообщение основателя и владельца сервиса Ладара Левисона (Ladar Levison): «Дорогие друзья, меня заставили сделать сложный выбор: стать соучастником преступления против американского народа или отказаться от почти десяти лет тяжелой работы и закрыть Lavabit. После долгих раздумий я решил прекратить работу». Давление, вероятно, было вызвано тем, что данным сервисом пользовался Эдвард Сноуден, и от сервиса власти США требовали раскрыть данные беглого бывшего сотрудника АНБ. Видимо, для Левисона оказалось проще закрыться, чем предоставлять третьим лицам доступ к учётной записи электронной почты Сноудена.

Перед закрытием, когда «федералы» наседали на Левисона, почтовый сервис Lavabit обслуживал 410000 учётных записей различных пользователей. ФБР и судебная система сильно прижали Левисона, всячески мешали его защите в суде, который проходил в условиях секретности. Он получил судебное предписание выдать ключи TLS, отказался выполнить распоряжение, в итоге уничтожил ключи и стёр файлы.

ФБР и министерство юстиции не признавались, что доступ к серверам Lavabit им требовался с единственной целью — прочитать почту одного этого человека. Но они допустили утечку документа, в котором забыли закрасить строку с информацией об объекте расследования. Там указан адрес электронной почты [email protected].

Благодаря своей непримиримой позиции в противостоянии с государственной машиной Ладар Левисон стал настоящим героем в сообществе информационной безопасности. Прошло три с половиной года после закрытия Lavabit, и сейчас Левисон объявил план возрождения компании и перезапуска сервиса. 20 января 2017 года такое объявление опубликовано на главной странице lavabit.com.

Левисон обещает вернуть доступ «старых» пользователей к их аккаунтам, а также обновить стандарты шифрования и конфиденциальности согласно тем новым разработкам, которые он сделал за это время. После перезапуска Lavabit основан на новой архитектуре, которая должна решить проблему единого ключа SSL, называемый Ладаром главной угрозой и самым уязвимым местом в криптографической системе веб-почты. Имея ключ SSL, спецслужбы могут получить доступ к защищённому каналу между клиентом и сервером, что компрометирует имена и пароли пользователей. Теперь эта проблема решена следующим образом: ключ хранится в криптографическом модуле FIPS 140-2. Так можно использовать шифрование TLS, не имея прямого доступа к ключу. Ключ из модуля можно извлечь только с аккаунта супервизора HSM. Поэтому Lavabit вслепую генерирует длинную парольную фразу для этого аккаунта, и он становится недоступен ни для кого, в том числе для них самих.

.

.

Новая архитектура основана на платформе Dark Internet Mail Environment (DIME), разработку которой автор начал в 2014 году, собрав первоначальные средства на Kickstarter. Для этого сервиса с оконечным (end-to-end) шифрованием разработан также новый почтовый сервер Magma, свободный проект с открытым исходным кодом. Исходный код Magma опубликован на Github.

По словам разработчика, DIME поддерживает несколько режимов безопасности (доверчивый, осторожный и параноидальный режимы) и «радикально отличается от любой другой криптографической платформы». По мнению некоторых западных журналистов, «учитывая текущую температуру мирового климата, эти три режима должны оказаться достаточно популярным». DIME, утверждает Левисон, «решает проблемы безопасности, на которые другие не обращают внимания», и это единственный стандарт для автоматизированного, интегрированного шифрования, предназначенный для работы с разными провайдерами услуг, в то же время минимизируя утечку метаданных в отсутствие центрального координационного узла. DIME обеспечивает надёжное end-to-end шифрование, но «достаточно гибок и прост для обычного пользователя, не обладающего степенью доктора в криптографии», пишет Ладар Левисон.

Сейчас Lavabit осуществляет процедуру восстановления старых пользовательских аккаунтов, которые по умолчанию восстанавливаются в доверчивом режиме, но без доступа к архиву старых сообщений. Позже откроется регистрация для новых пользователей, в том числе в осторожном и параноидальном режимах безопасности. Сейчас открыта предварительная регистрация за полцены.

Это только первые шаги на длинном пути по восстановлению Lavabit, в будущем планируется разработка графических клиентов для Windows, Mac OS X/iOS и Linux/Android. Эдвард Сноуден уже заявил, что планирует восстановить свой аккаунт Lavabit, когда сервис заработает, «только чтобы оказать поддержку их храбрости».

Напомним, недавно ещё один почтовый сервис заявил о предпринятых мерах для сохранения конфиденциальности своих пользователей — ProtonMail завёл адрес в защищённой сети Tor (https://protonirockerxow.onion), и это позволит пользователям со всего мира, особенно в странах с жёстким регулированием интернета со стороны государства, пользоваться услугами одного из самых защищённых почтовых сервисов в мире. С помощью нового сервиса, пользователи, имеющие аккаунты на ProtonMail, получат анонимный IP-адрес, а это значит, что служба электронной почты будет не в состоянии видеть их реальные адреса, что, в свою очередь не сможет вынудить администрацию сервиса выдать их по возможному запросу властей той или иной страны.

Читайте также:

ProtonMail вступает в борьбу против государственной цензуры с помощью Tor
?
Проект SAFE — защити себя от слежки
?
«Мир изменился в худшую сторону». Сервис шифрованной почты GhostMail объявил о прекращении поддержки частных лиц
?
Google тестирует браузер, шифрование на котором взломать подбором неподвластно даже квантовому компьютеру
?
Tor выпускает максимально защищённый смартфон на Android

.
roskomsvoboda android

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.