Software::Kommunikation
Erste Dark-Mail-Spezifikation fertiggestellt
Die »Dark Mail Alliance«, ein Zusammenschluss aus Lavabits Ladar Levison, PGP-Papst Phil Zimmermann und anderen Gründern von Silent Circle, hat eine erste Spezifikation für einen neuen E-Mail-Standard vorgelegt.
Dark Mail
Dark Mail
Verschlüsselung alleine reicht nicht aus. Das musste 2013 Ladar Levison einsehen, nachdem ihm das FBI seine privaten SSH-Schlüssel zu den Mail-Servern seines E-Mail-Dienstes Lavabit abgerungen hatte. Hätte er nicht seine Firma aufgegegeben und die Festplatten seiner Server gelöscht, hätten die Behörden die Mails lesen können und Levison hätte gegenüber seinen Kunden sein Versprechen sicherer E-Mails gebrochen.
Daraufhin tat sich Levison mit den Gründern der Firma Silent Circle zusammen, um die bisher verwendeten E-Mail-Protokolle zu überdenken. Daraus entsteht zurzeit ein neuer E-Mail-Standard, der, geht es nach Levison, einmal das SMTP-Protokoll ablösen soll. Doch bis dahin ist es noch ein weiter Weg. Eine erste Spezifikation (PDF) des »Dark Internet Mail Environment« genannten Standards wurde Ende Dezember veröffentlicht, Levison sprach über die Arbeit an den neuen Protokollen in einem Vortrag Ende Dezember beim 31c3 in Hamburg.
Das Dark Internet Mail Environment (DIME) soll es den Entwicklern von E-Mail-Clients wie auch den späteren Anwendern leichter machen, ein der zu sendenden Nachricht entsprechendes Sicherheitsmodell zu implementieren beziehungsweise auszuwählen. Zudem soll DIME die zu einer E-Mail gehörenden Metadaten besser schützen um es den Geheimdiensten zu erschweren, soziale Profile zu erstellen und zu verknüpfen. Aus den Metadaten einer Mail lassen sich Informationen über Absender, Empfänger, Betreff und Zeit des Versands entnehmen.
Um das zu verhindern, entwickelte Levison ein Modell, in dem es mehrere Verschlüsselungsschichten gibt, die an jedem Punkt auf dem Transportweg einer Mail immer nur die für diesen Schritt relevanten Informationen preisgibt. Die Protokolle, die Levison hier vorsieht, sind für den Transport DMTP (Dark Mail Transfer Protocol) und für die Verschlüsselung DMAP (Dark Mail Access Protocol). Die gesamte Ver-und Entschlüsselung soll dabei für den Anwender transparent und automatisch ablaufen, ohne dass tiefgreifende Kenntnisse über das Protokoll vorausgesetzt werden. Zudem muss sich der Anwender nicht auf Zusagen seiner Provider verlassen. Die Ende-zu-Ende-Verschlüsselung beginnt und endet jeweils im Browser oder E-Mail-Client. Es greift das Prinzip Zero Knowledge.
Das Schichtenmodell bewirkt etwa, dass der Server des Providers des Absenders, den eine versandte Mail als erstes erreicht, nur weiß, von wem die Mail kommt und wohin sie weitergeleitet werden muss, aber nicht an wen. So ist auf jedem Schritt des Wegs, den die Mail nimmt, nur die Information direkt vor und nach diesem Punkt bekannt. Levison hat hierfür ein eigenes Schlüsselsystem entworfen, das auf dem Prinzip von PGP aufbaut. Erste Bibliotheken des als freie Software ausgelegten Dark Mail sind seit Kurzem auf GitHub abgelegt.
Dark Mail zielt darauf ab, zum Standard und in möglichst vielen E-Mail-Clients implementiert zu werden. Darüber hinaus wird es auch einen eigenen Client von Dark Mail geben. Dies wird noch einige Zeit in Anspruch nehmen, derzeit hofft Levison auf Rückmeldungen zu seiner Spezifikation. Eine einfach zu handhabende Ende-zu-Ende-Verschlüsselung bietet bereits jetzt das in Hannover beheimatete Unternehmen Tutao mit dem Webmailer Tutanota. Das funktioniert auch, wenn nur einer der Beteiligten ein Konto bei Tutanota hat.
){kind=small}
