Protokol Om alt det internettet og teknologien gør ved vores samfund

Nye dokumenter viser at Snowdens emailudbyder snød NSA

Jim Watson

Arkivfoto: Keith Alexander, amerikansk general, leder af US Cyber Command and chef for National Security Agency (NSA), der i sommerens jagt på whistlebloweren Edward Snowden tabte et skridt, da Snowdens emailudbyder kreativt undgik at udlevere data til NSA.

De fleste havde lagt to og to sammen, men det står nu klart, at sommerens lukning af whistlebloweren Edward Snowdens emailudbyder Lavabit skyldes en dommerkendelse, der skulle give den amerikanske efterretningstjeneste NSA samme adgang til Lavabits servere, som den amerikanske spiontjeneste allerede havde krævet af internetvirksomheder som Google, Facebook, Yahoo, Amazon og Microsoft.

Appelsagen, der har nu åbnet op for sagsakterne, giver et sjældent blik ind i de amerikanske myndigheders massive pres for at underminere den sikkerhed, der skal beskytte brugerne mod overvågning.

»Jeg er blevet stillet over for et vanskeligt valg: enten at gøre mig selv til medskyldig i forbrydelser mod det amerikanske folk eller opgive frugterne af ti års hårdt arbejde og lukke Lavabit. Jeg vil fraråde enhver at betro private data til virksomheder med fysisk tilknytning til USA«, skrev ejer Ladar Levinson i en besked på lavabit.com den 8. august.

Lavabit er med sine to medarbejdere og 400.000 regelmæssige brugere en dværg i både størrelse og data i forhold til Microsoft, Google og Facebook. Men sagen giver et billede ind i den proces, der foregår bag linjerne, når NSA forsøger at omgå krypterede emails og i sidste instans muligheden for at udbyde sikre emailtjenester.

Kreativ kamp mod NSA

Forløbet bag lukningen har hidtil været gemt væk af domstolen, men sagsakterne viser, at Lavabit kastede sig ud i et sidste desperat forsøg på at obstruere efterretningstjenesten NSAs forsøg på at få adgang til Edward Snowdens mailkonto, viser en gennemgang af sagen foretaget af Wired journalisten Kevin Poulsen.

I stedet for at aflevere den elektroniske krypteringsnøgle, som NSA efterspurgte, forsøgte Lavabits ejer Ladar Levinson at omgå domstolens kendelse ved at aflevere et ulæseligt elleve siders printet dokument med data fra krypteringsnøglen i skriftsstørrelse fire. NSA gik tilbage til domstolen, der fra 6. august udstedte dagbøder til Lavabit.

Efter fire måneders kamp og to dage med dagbøder af $5000, trak Ladar Levinson stikket på den krypterede email-tjeneste, han lancerede i 2004. Dermed afskar han NSAs mulighed for at tracke Snowden og hans netværk via den krypteringsnøgle, Lavabit som følge af dommen havde udleveret. En gylden middelvej mellem strafbar obstruktion af myndighedernes arbejde og Ladar Levinsons ønske om at beskytte de godt 400.000 emailbrugere af Lavabit – herunder Edward Snowden.

Appelsagen kører i de amerikanske retsinstanser. Indtil videre er der rejst $30.000 i private donationer til at betale for Ladar Levinsons sagsomkostninger.

Kronologien: Et sjældent blik ind i NSAs kamp for adgang til data

Allerede i slutningen af maj 2013 modtog Lavabits ejer Ladar Levinson de første henvendelser fra FBI, der var interesserede i at høre mere om en mulig vej ind i de krypterede emails. Personen i centrum for undersøgelse er redigeret væk fra retsdokumenterne, men ud fra anklagerne om statsforræderi er det ikke svært at gætte, at der er tale om Edward Snowden, skriver magasinet Wired.

Levinson har tidligere samarbejdet med myndighederne i udlevering af data, der kunne afsløre børnepornografi. Denne gang var forespørgslen fra myndighederne mere omfattende.

Regeringen forsøgte i første omgang at få Lavabit til at installere software i deres system, der kunne tracke metadata med informationer, om hvem Edward Snowden har kommunikeret med, hvornår og til hvilke IP-adresser.

Efter gentagne forespørgsler blev Lavabit den 16. juli præsenteret for en dommerkendelse, der beordrede tjenesten til at overdrage en hovedkrypteringsnøgle, der ville gøre det muligt at læse ikke bare Snowdens mails, men i princippet give adgang til data fra alle 400.000 brugere. Efterretningstjenestens advokater bedyrede, at ingen agenter reelt havde tænkt sig at gennemgå indholdet fra de mange brugerkonti, og dommen faldt ud til deres fordel med denne begrundelse fra dommeren:

»[The government's] clearly entitled to the information that they're seeking and just because you-all have set up a system that makes that difficult, that doesn't in any way lessen the government's right to receive that information just as they could from any telephone company or any other e-mail source that could provide it easily.«

En appel fra Lavabit blev afvist 1. august, og den 6. august tog sagen en drejning. I en finurligt træk forsøgte Lavabit at efterkomme regeringens krav uden at give dem en reel mulighed for at anvende materialet.

De efterspurgte dokumenter blev afleveret i print. Elleve sider i skriftsstørrelse fire med lange række af øjensynligt tilfældige tal. NSA klagede, ikke uberettiget, over materialets manglende læsbarhed. Udskrifterne ville reelt set tvinge tjenesten til manuelt at indtaste hvert tal i et nyt dokument, hvor en enkelt fejl ville ødelægge deres indsats.

NSA vendte tilbage til retten, der idømte Lavabit dagsbøder af $5000, indtil de udleverede oplysningerne elektronisk.

To dage senere, den 8. august, lukker Lavabit.com ned for samtlige 400.000 brugere. Et snedigt træk, der ifølge hans advokat lige netop balancerer på kanten af myndighedernes krav om at udlevere krypteringsnøglen bag Edward Snowdens hemmelige emailkonto.

--

Appelsagen har åbnet op for sagsakterne og det givet et sjældent blik ind i de amerikanske myndigheders pres for at underminere den sikkerhed, der skal beskytte brugerne mod overvågning. Se sagsakterne her:

 

 

Om denne blog

Teknologi, viden, internet - og om det, det gør ved vores verden

I redaktionen:

Lars Højholt

Didde Elnif

Jens Christoffersen

Simone Sefland

Send bidrag, forslag til artikler eller lignende til web@information.dk.

Anbefalinger

  • lars abildgaard
  • Kalle Nielsen
  • Espen Bøgh
  • Katrine Visby
  • Rune Petersen
  • Stig Bøg
  • Viggo Helth
  • Robert Ørsted-Jensen
  • Jan Pedersen
  • Hans Larsen
  • Peter Taitto
  • Toke Andersen
  • Anders Feder
lars abildgaard, Kalle Nielsen, Espen Bøgh, Katrine Visby, Rune Petersen, Stig Bøg, Viggo Helth, Robert Ørsted-Jensen, Jan Pedersen, Hans Larsen, Peter Taitto, Toke Andersen og Anders Feder anbefalede denne artikel

Kommentarer

Respekt for den integritet, der fremvises fra Lavabits side.

Selvom jeg synes det er noget betænkeligt, at de allerede havde samarbejdet med NSA omkring børnepornografi. Hvis man opretter en krypteret tjeneste, så bør man holde hvad man lover, uanset hvad.
Lovhåndhæverne må bare tage sig sammen og finde andre måder at afsløre børnepornografi og anden kriminalitet på.

Georg Christensen

Jeg vil gerne tilslutte mig, desværre kun med ord (mine muligheder) for at tilkendegive min respekt overfor "LAVABIT".

lars abildgaard, Marianne Rasmussen, Rune Petersen, Stig Bøg, Alan Strandbygaard og Robert Ørsted-Jensen anbefalede denne kommentar
Robert Ørsted-Jensen

Selvfølgelig bør man samarbejde med de rette myndigfheder hvis der er tale om faktisk kriminel aktivitet så som børneporno. Men den slags kan gøres uden at man bryder sine forpligtigelser over for andre brugere.

Marianne Rasmussen, Jakob Clemen, Rune Petersen, Stig Bøg og Alan Strandbygaard anbefalede denne kommentar

RESPEKT. Hele NSA sagen har fuldstændig tydeligt vist, at man ikke skal acceptere efterretningstjenesternes lovbrud. Hvis nogen mener lovene ikke er gode nok, så må de forsøge at lave dem om. I de tilfælde hvor det viser sig, at politikere, offentligt ansatte, eller virksomheder der leverer x til det offentlgie bevidst dækker over lovbrud, så er det fyrings- / lukningsgrund.

Jeppe Morgenthaler

Super vigtigt at dække dette, men indlægget virker som nær en afskrift og oversættelse af denne artikel: http://www.wired.com/threatlevel/2013/10/lavabit_unsealed/

...?

Det er altså ikke korrekt at et printet dokument ville tvinge NSA til at indtaste alle cifre manuelt. Dokumentet kan jo forstørres efter behov og NSA råder sikkert over verdens bedste OCR software. Forsinkelsen ville være minimalt.

Den slags udtalelser undergraver desværre artiklens troværdighed.

Men det er da rart at høre at en privat virksomhed som lavasoft har konfronteret de almægtige sikkerhedstjenester. Hvis man kan tro på det. Problemet er jo at man absolut ingen referencepunkt har i forhold til hvad man kan tro og hvad ikke.

Jacob Bro Knudsen

Ha ha! Stick it too the MAN... GENIALT!

Astrid Baumann

@Butcher:

Et papirdokument med størrelse 4 vil utvivlsomt have så meget smudge, at OCR ikke virker. Et dokument med 11 sider sat med st. 4 vil indeholde ~ 320000 tegn. Hvis vi siger, at NSAs OCR er så god, at den kun tager fejl i 1% af tilfældene (hvilket er en virkeligt god OCR ift. specs på dokumentet), så vil der med 95% sandsynlighed stadig være mellem 3089 og 3311 fejllæsninger i dokumentet* - som de ingen mulighed har for at identificere! Selv med kun 0,1% fejllæsninger er der med 95% sandsynlighed stadig mellem 285 og 350 fejl i dokumentet.

Grundet krypteringsnøglers høje entropi er det heller ikke muligt at lave ordentligt fejlsøgning på det. Det er helt urealistisk, at det skulle kunne lade sig automatisk afkode fra dokumentet. Manuelt ville man fx sætte 10 mennesker til at afkode det og så validere deres afkodninger.

* Binomialfordelt sandsynlighed med p = 0.01 og 320,000 trials.

Hej Jeppe - det er helt rigtigt, og min fejl. Kevin Poulsen og Wired fortjener bestemt anerkendelse for deres grundige gennemgang af sagen, og jeg har nu lagt henvisninger og links ind i indlægget. God weekend.