NSA-Affäre: Cryptoseal folgt Lavabit und schließt VPN-Angebot
Der Fall Lavabit habe gezeigt, dass die US-Regierung im Geheimen die Verschlüsselung ganzer Dienste kompromittieren kann. Mit dieser Begründung hat Cryptoseal sein VPN-Angebot für Privatkunden geschlossen.
Als Konsequenz aus dem Vorgehen der US-Regierung gegen den E-Mail-Anbieter Lavabit hat mit Cryptoseal nun ein weiterer Dienst, der Sicherheit im Internet verspricht, geschlossen. Das erklärte der VPN-Anbieter und berief sich dabei explizit auf die von Lavabit enthüllten Geheimbefugnisse der US-Regierung. Privatkunden könne man unter dem derzeitigen US-Recht nicht den Schutz ihrer Daten zusichern, den man ihnen versprochen habe. Geschäftskunden dagegen steht der VPN-Service weiterhin zur Verfügung.
In dem Statement erklärt Cryptoseal, aus den Akten des Falles Lavabit gehe hervor, die US-Regierung könne die umgehende Installation eines Geräts zur Überwachung ("pen register") etwa eines Nutzers verlangen. Werde dem nicht Folge geleistet, könne juristisch die Herausgabe von Sicherheitsschlüsseln erzwungen werden. Da das System von Cryptoseal die Informationen die üblicherweise gesammelt werden, nicht liefere, müsste man also in solch einem Fall die Schlüssel herausgeben. Damit wäre die Sicherheit aller Kommunikation kompromittiert. Warum der Dienst Geschäftskunden angesichts dieser Gefahr weiterhin angeboten wird, teilte das Unternehmen nicht mit.
Während Cryptoseal nun zu Spenden an Ladar Levison, den Gründer von Lavabit aufruft, suche man nach technischen Wegen, um Privatkunden einen VPN-Service anbieten zu können. Wann der angeboten werden kann, könne man aber noch nicht nennen. Unterdessen entschuldigt man sich bei den Nutzern und verspricht allen mit einem einem positiven Kontostand bei Cryptoseal die einjährige Zahlung eines VPN-Services ihrer Wahl außerhalb der USA. Allen US-amerikanischen Betreibern eines VPN-Dienstes rät Cryptoseal, ihr Angebot bezüglich der durch den Fall Lavabit aufgeworfenen Fragen zu überprüfen und "angemessene Schritte" einzuleiten.
Lavabit hatte einen sicheren E-Mail-Dienst angeboten und war ins Licht der Öffentlichkeit geraten, als bekannt wurde, dass der NSA-Whistleblower Edward Snowden dort einen Account hatte. Hinter den Kulissen hatte dann eine Auseinandersetzung begonnen, als die US-Regierung versuchte, Snowdens Account zu überwachen. Ladar Levison hatte sich lange gewehrt und schließlich verlangte die Regierung die Herausgabe aller öffentlichen und privaten Schlüssel, die von Lavabit in jeder SSL-Sitzung verwendet werden. Da dies die Sicherheit aller Lavabit-Nutzer betraf, verweigerte Levison dies so lange er konnte und schloss den Dienst, als das nicht mehr möglich war. Da dies alles im Geheimen geschehen konnte, ist unklar, wie weit verbreitet die Praxis ist. US-amerikanischer Verschlüsselung kann damit nicht mehr vertraut werden. (mho)
