Wie wir vor einiger Zeit berichtet haben, hat der auf Nutzer- und Datenschutz ausgelegte amerikanische E-Mail-Provider Lavabit seine Dienste zurückgezogen und Schließung der Plattform vollzogen. Der Firmenchef Ladar Levison konnte und wollte sich nicht genauer zum Vorgehen der Behörden äußern, da er wahrscheinlich stark von diesen Stellen unter Druck gesetzt wurde.
Dem Magazin Ars Technica deutete Levison kürzlich an, dass es Schwachstellen gegeben haben kann und so möglicherweise Daten an die US-Behörden gelangt sein könnten. Frei äußern kann Levison sich jedenfalls nicht, da ihm dies untersagt und mit Strafe gedroht wird. Die Schwachstellen können nach seiner Auffassung entweder mit der Erlangung des „Master-Keys“ oder unmittelbar durch Kompromittierung des Quellcodes erfolgt sein.
Laut seinen eigenen Aussagen sei der Dienst Lavabit so aufgebaut gewesen, dass auch Mitarbeiter keinen Zugriff auf die gesendeten Nachrichten hatten. Damit wäre Zugriff durch die eigene Infrastruktur nicht möglich gewesen. Das staatliche Stellen einen solchen Druck auf ihn und sein Unternehmen ausüben würde hätte Levison niemals für möglich gehalten. Damit Behörden auf die Daten Zugriff bekämen, wären radikale Schritte notwendig gewesen. Nach US-Recht hätte eine Anpassung des Quellcodes erwirkt werden können damit Passwörter vor der Verschlüsslung erfasst werden können. Eine andere Methode ist die Herausgabe des privaten Keyfiles des SSL-Zertifikats, um die Benutzerdaten bei einer Anmeldung im Klartext mitlesen zu können.
Diese theoretischen Schwachstellen blieben für den Plattform-Betreiber gedanklich außen vor. Gesetzliche Grundlagen eines demokratischen Rechtsstaates sollten vor so einem Vorgehen schützen und die Rechte der Nutzer sicherstellen. Nachdem er Gespräche mit Kryptografie-Experten geführt hat, änderte er seine Meinung dies bezüglich. Laut eigenen Aussagen hängt dieses Umdenken nicht unmittelbar mit Lavabit zusammen, da die Regierung nicht an den geheimen SSL-Schlüssel gelangen konnte.
Im gleichen Interview erinnert Ars Technica an den Dienst Hushmail. Dieser bietet dem Nutzer ebenfalls verschlüsselte Kommunikation an, übergab 2007 Nutzerdaten an behördliche Stellen. Dort wurde vermutlich das Key-File herausgegeben und somit Zugriff auf die übermittelten Inhalte gegeben.