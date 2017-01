Software::Kommunikation

E-Mail-Dienst Lavabit kehrt zurück

Der 2013 von Besitzer Ladar Levison geschlossene sichere E-Mail-Dienst Lavabit nimmt den Betrieb mit verbessertem Konzept wieder auf.

Edward Snowden war einer der Kunden des verschlüsselten E-Mail-Diensts Lavabit. Im Sommer 2013 erließ ein Gericht im US-Bundesstaat Virginia einen Beschluss, der das FBI ermächtigte, von Levison, Besitzer und CEO von Lavabit, dessen private SSH-Masterkeys einzufordern. Er kam dieser Aufforderung zunächst dadurch nach, dass er die fünf Schlüssel auf elf Seiten in 4-Punkt-Schrift ausdruckte und an das FBI übersandte. Das FBI setzte daraufhin ein Tagesgeld von 5.000 US-Dollar Strafe an, um die Schlüssel in digitaler Form zu erhalten.

Da Levison dem FBI damit Zugang zu den E-Mail-Konten von über 400.000 Kunden gegeben hätte, entschloss er sich, seine Firma zu schließen, um dem Beschluss zu entgehen. In der Folge startete er zusammen mit PGP-Erfinder Phil Zimmermann und der von ihm mitgegründeten Firma Silent Circle eine erfolgreiche Kampagne bei Kickstarter, um die Dark Mail Initiative voranzutreiben.

Jetzt gab Levison bekannt, den E-Mail-Dienst Lavabit wieder aufleben zu lassen. Dazu soll DIME als neuer Standard etabliert werden. DIME steht für »Dark Internet Mail Environment«, ist Open Source und bietet Ende-zu-Ende-Verschlüsselung. Das beinhaltet auch die Metadaten, so dass niemand feststellen kann, mit wem die Lavabit-Kunden korrespondieren. Die Mailserver-Anwendung hört auf den Namen Magma und ist ebenso wie DIME auf GitHub veröffentlicht.

DIME bietet drei verschiedene Modi an, die Trustful, Cautious und Paranoid benannt sind und verschiedene Ansprüche an die Sicherheit erfüllen. Im Trustful-Modus vertraut der Kunde dem Lavabit-Server, was die Verschlüsselung angeht. Dieser Modus ist für Kunden geeignet, die auf herkömmliche Mail-Clients angewiesen sind oder Webmail nutzen möchten.

Im Cautious-Modus behält der Kunde die Kontrolle über seine Schlüssel und muss nicht dem Provider vertrauen. Der Schlüssel wird auf dem Gerät des Anwenders verschlüsselt und an den Server des Providers übertragen. Soll der Account auf ein weiteres Gerät ausgedehnt werden, kann der Schlüssel vom Server des Providers angefordert werden.

Im Paranoid-Modus verlässt der Schlüssel niemals die Geräte des Kunden. Hier muss der Kunde selbst für die Synchronisation zwischen mehreren Geräten sorgen. Sind Trustful- und Cautious-Modus auch für technisch wenig versierte Anwender geeignet, so verlangt der Paranoid-Modus einige Kenntnisse über Verschlüsselung. Zudem ist hier keine Webmail-Nutzung möglich.

Derzeit ist Lavabit nur für ehemalige Kunden des Dienstes nutzbar. Interessierte Neukunden können sich ab sofort zum halben späteren Preis voranmelden. Ein Account mit 5 GByte kostet während dieser Zeit 15 US-Dollar pro Jahr, 20 GByte kosten 30 US-Dollar jährlich. Einen ähnlich guten Schutz bietet in Deutschland beispielsweise der Berliner Anbieter Posteo. Mit dem dort optional angebotenen Krypto-Mailspeicher können Kunden sämtliche alten und neu hinzukommenden E-Mail-Daten auf Knopfdruck individuell verschlüsseln. Die Verschlüsselung umfasst sowohl die Inhalte und Anhänge sowie sämtliche Metadaten. Der Schlüssel verbleibt ausschließlich beim Kunden.