El caso Lavabit
Lavabit era un servicio de correo seguro (cifrado), que ya había respondido a varias ordenes judiciales válidas para entregar datos de usuarios concretos. Pero de pronto surgió el tema de Snowden, Snowden usaba Lavabit, y el FBI le mandó una FISA warrant para instalar equipamiento en su servidor para poder acceder a todo, y más tarde ceder la clave ssl privada de todo el servicio. Ladar Levison cerró la web sin ninguna explicación, y un tiempo después sacó un comunicado diciendo lo siguiente:"Se me ha obligado a tomar una decisión dificil: ser cómplice en crímenes contra los americanos, o marcharme y acabar con 10 años de duro trabajo cerrando Lavabit. Tras pensarmelo bastante tiempo, he decidido cerrar. Me gustaría poder compartir legalmente con vosotros los eventos que me han llevado a tomar esta decisión. No puedo. Mereceis saber que es lo que está pasando, la primera enmienda supuestamente garantiza mi derecho a la libertad de expresión en situaciones como esta. Desafortunadamente el congreso ha introducido leyes que dicen lo contrario. Tal como están las cosas no puedo compartir nada de lo que ha ocurrido las últimas 6 semanas, pese a haber hecho ya dos solicitudes al respecto."
Por "delitos" de una persona particular, lo que solicitaban permitía acceder al contenido de 410.000 usuarios. Y no se le permitía ni avisar. Hasta por cerrar se le quería acusar de desacato. Luego cuando agotó todos los recursos legales, entregó la clave SSL... y recibió otro cargo de desacato, porque lo hizo en papel: www.fayerwayer.com/2014/04/lavabit-acusado-de-desacato-por-entregar-cl
En plena vorágine del caso Snowden, Lavabit, un servicio de correo electrónico que ofrecía cifrado "extremo a extremo" de las comunicaciones, tuvo que anunciar el cierre de su servicio. ¿El motivo? Las peticiones de información que realizaban los servicios de inteligencia de Estados Unidos y que, evidentemente, implicaban la entrega de datos de sus usuarios. Antes de exponer a sus usuarios y entregar sus claves privadas de cifrado, Ladar Levison, el fundador de la compañía, decidió cerrar el servicio y poner fin a sus operaciones, además de enfrentarse a un proceso judicial.
El cierre de Lavabit dejó vacío en el segmento de las comunicaciones seguras; precisamente, Ladar Levison puso en marcha un proyecto que pretendía cubrir este vacío: el desarrollo de un protocolo de correo electrónico totalmente seguro que, de verdad, ofreciese comunicaciones cifradas. ¿Su nombre? Dark Mail.
Dark Mail, el protocolo de correo seguro heredero de Lavabit
Lavabit era un servicio de correo electrónico seguro
que cifraba las comunicaciones "extremo a extremo" y almacenaba la
información cifrada en sus servidores. Este servicio, utilizado por más
de 400.000 usuarios desde que arrancó sus operaciones en 2005, era utilizado también por Edward Snowden
y, en medio del escándalo de las revelaciones del exanalista de la NSA,
el servicio tuvo que cerrar para así no tener que abrir sus servidores
(y claves privadas de cifrado) al Gobierno de Estados Unidos.
El 8 de agosto de 2013, Ladar Levison anunció el cierre de Lavabit para así proteger las 410.000 cuentas de correo
electrónico que custodiaban. Qué datos fueron solicitados a Lavabit es
algo que no se conoce. Las peticiones gubernamentales a los servicios de
Internet son secretas y, por tanto, no se pueden revelar a la opinión
pública.
Para intentar suplir el vacío que había
dejado el cierre de Lavabit, Ladar Levison puso en marcha en noviembre
de 2013 un nuevo proyecto que intentaba aplicar todo el know-how adquirido en Lavabit. A partir de una campaña en Kickstarter, Ladar Levison presentó el proyecto Dark Mail, un sistema de correo electrónico seguro que, en gran medida, se apoyaba sobre el código de Lavabit y, de esta forma, lo abría a la comunidad para extender este tipo de servicios seguros.
Con un objetivo de financiación de algo más de 196.000
dólares, la campaña recaudó alrededor de 212.500 dólares para poner en
marcha un proyecto de software libre que
diseñaba un nuevo protocolo de correo electrónico que ofrece
comunicaciones cifradas "extremo a extremo" y que se podría implementar
en cualquier servicio de correo que ya estuviese funcionando.
La idea es que Dark Mail sea implantado en el mayor número de servicios posible
con el objetivo de garantizar el secreto de las comunicaciones. Para
que el envío de un correo electrónico sea seguro, tanto emisor como
receptor deben "hablar" el protocolo Dark Mail; si no fuese así,
solamente serían privadas las comunicaciones de usuarios del servicio
que sí implementase este protocolo (por ello la importancia de que Dark
Mail sea un proyecto en código abierto, para que se pueda extender su
aplicación y, además, pueda ser auditado).
Dark Mail: estado actual
Tras la campaña de Kickstarter, el proyecto se ha establecido bajo la figura de Dark Mail Technical Alliance que está liderada por Jon Callas, Mike Janke y Phil Zimmermann (responsable del diseño de PGP) además de Lavar Levison y el equipo de Lavabit y de Silent Circle.
El nombre oficial del proyecto Dark Mail es Dark Internet Mail Environment
(DIME) y su objetivo es sustituir los servidores actuales de correo
electrónico para ofrecer comunicaciones seguras "extremo a extremo"
gracias a DMTP (Dark Mail Transfer Protocol) y DMAP (Dark Mail Access
Protocol). Gracias a este sistema, a un correo electrónico se le
aplicarían distintas capas de cifrado para que, durante su viaje desde
el remitente al destinatario, el mensaje solamente muestre la
información que se necesita para cursar la comunicación (dejando siempre
oculto el contenido del mensaje).
Básicamente, el
servidor de correo electrónico del remitente del mensaje solamente puede
descifrar la parte del mensaje que contiene la dirección de correo
destino y el servidor del destinatario solamente puede ver la dirección
del destinatario (para entregar el mensaje en su buzón) pero no puede
ver ni el contenido ni tampoco el correo electrónico del remitente
(solamente puede saber del servidor del que procede). Para que este
esquema funcione, DIME se apoya sobre un sistema de claves federado
(algo parecido al funcionamiento de los servidores DNS) dado que cada
sistema que forme parte del proceso de envío y recepción de correos
electrónicos tiene sus propias claves públicas y privadas de cifrado.
Por ahora, DIME se apoya sobre el código fuente de Magma,
el servidor de correo electrónico que usaba Lavabit; sin embargo, la
idea es que esto se pueda extender a los sistemas que se usan
habitualmente (como por ejemplo Postfix). En estos momentos, el sistema sigue siendo experimental; aún no es posible implementar un servicio de correo electrónico basado en DIME, en GitHub existe un repositorio con la versión "pre-alpha" del código y en la web del proyecto hay un documento de especificaciones y arquitectura que se puede consultar libremente pero aún no estamos ante un sistema que se pueda probar o auditar.
Si realmente consiguen llevar el proyecto a buen puerto (y parece que
avanza a buen ritmo), DIME podría ofrecer a Google o Yahoo! (y también a
las grandes empresas) un protocolo que, de manera transparente para el
usuario, ofreciera comunicaciones seguras "extremo a extremo" sin tener
que recurrir a componentes externos (como, por ejemplo, PGP).
Imagen: Richard Elzey (Flickr)
#EmailSelfDefense Defensa personal del correo electrónico
Fuente:
http://www.eldiario.es/turing/vigilancia_y_privacidad/Dark-Mail-protocolo-electronico-Lavabit_0_344365877.html
No hay comentarios:
Publicar un comentario