Prisbelønnet it-blog lukker efter Snowden-afsløringer: Grundlægger føler sig overvåget

Et følelsesladet afskedsbrev fra Groklaws grundlægger blev det sidste, internettet så til den prisbelønnede it-jurablog. Der findes ikke længere privatliv på internettet, lyder begrundelsen.

»Ejeren af Lavabit fortæller os, at han er stoppet med at bruge e-mail, og at hvis vi vidste de ting, han ved, ville vi gøre det samme.« Sådan indledes det sidste blogindlæg på sitet Groklaw.net.

Lavabit, den sikre e-mail tjeneste, der blandt andet blev anvendt af Edward Snowden, lukkede for nylig ned som følge af pres fra den amerikanske regering. Nu følger bloggen med fokus på it-jura Groklaw.net i samme spor.

Læs også: Sikre e-mailtjenester vælger at lukke frem for at udlevere data til efterretningstjenester

Groklaw.net er en prisbelønnet amerikansk blog, som behandler it-juridiske emner. Sidens grundlægger, Pamela Jones, er advokatfuldmægtig og har siden foråret 2003 skrevet forklarende blogindlæg om komplicerede juridiske it-anliggender. Men efter ti år har hun nu valgt at lukke sitet.

Begrundelsen, som man kan læse i hendes følelsesladede afskedsbrev, er, at der ikke længere findes online privatliv. I hvert fald ikke i USA.

»De siger, at hvis du modtager en e-mail fra udlandet, vil den blive læst. Hvis den er krypteret, beholder de den i fem år - angiveligt i håbet om at teknologiske fremskridt vil have gjort det muligt, mod din villje og uden din viden, at dekryptere den,« skriver hun i blogindlægget.

I indlægget sammenligner Pamela Jones følelsen af e-mailovervågning med den fornemmelse, hun havde efter et indbrud i hendes lejlighed. De meget stærke følelser får hende endda til at afsværge internettet i så vid udstrækning, det er muligt.

»Jeg er blot en almindelig person, men jeg ved, efter al min research og seriøse overvejelser, at at jeg ikke kan forblive online uden at miste min menneskelighed - nu, hvor jeg ved, at det er umuligt at sikre et online privatliv,« skriver hun.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans Schou

Sætningen Lavabit, den sikre e-mail tjeneste holder ikke nogen steder. Beklager. Men du kan ikke få en sikker emailforbindelse, du kan stole på forbliver privat.

Hvis man vil sikre at indholdet af ens mail forbliver fortroligt imellem dig og den anden, så skal indholdet krypteres. Hvis Alice vil sende dig en hemmelig besked (hun er gift med en anden), og hun ikke er interesseret i at andre læser indholdet, så skal hun kryptere indholdet.

Hvis Alice vil kommunikere sammen med en anden, og ikke ønsker at andre skal vide hvem hun kommunkere med, skal det både være krypteret og via noget der ligner TOR.

Lavabit duer ikke til dette, da hverken indhold eller afsender/modtager er krypteret og skjult.

Nu har jeg min egen mailserver, som jeg modtager mail på. Når andre der også har deres egen mailserver sender mig mails, så går trafikken godt nok igennem andres netværk, men den gemmes som udgangspunkt ikke nogen steder. Hvis min mail gik igennem TDC, så kunne der nemt tages en kopi af indholdet, eller blot modtager og afsender. Så hvis man er mindre paranoid, er egen mailserver godt nok.

Hvis PET får en mistanke om noget mail på min server, og får overbevist en dommer om at der er noget at komme efter, så kan PET kræve at få min disk udleveret. Jeg siger selvfølgelig nej.

Herefter kommer PET bare og henter disken, uden at jeg kan gøre noget.

Hvis min disk er krypteret, så får PET ikke noget ud af det.

Hvis min disk er krypteret, og jeg servicere mails for andre, og det er disse personer der er tiltalt som i Snowden sagen, så kan jeg få isolationsfængsles op til 11 måneder for ikke at give kodeordet fra mig. Altså hvis en disk kun indeholder information om en selv, så kan du ikke tvinges til at udlevere indholdet, og dermed inkriminere dig selv. Men hvis den indeholder andres information, så kan du godt tvinges med isolationsfængsel (hvilket kan betegnes som tortur, se fx elitesvømmer Peter Rohde).

  • 2
  • 2
#2 Jan Andersen

Nu har Lavabit aldrig påstået, at de løser alverdens problemer omkring privacy, men de løser som udgangspunkt det meget væsentlige problem, at de ikke kan udlevere noget, som de ikke selv har adgang til. Og hvis både afsender og modtager bruger en Lavabit-konto, så er der heller ikke noget der kan opsnappes undervejs.

  • 3
  • 0
#3 ab ab

Nu har jeg min egen mailserver, som jeg modtager mail på. Når andre der også har deres egen mailserver sender mig mails, så går trafikken godt nok igennem andres netværk, men den gemmes som udgangspunkt ikke nogen steder. Hvis min mail gik igennem TDC, så kunne der nemt tages en kopi af indholdet, eller blot modtager og afsender. Så hvis man er mindre paranoid, er egen mailserver godt nok.

At drive sin egen mailserver og sende krypterede mails er ikke noget værn imod, at NSA og vennerne opsnapper metadata fra headerne i dine mails - d.v.s. hvem du sender mange mails til i en given periode eksempelvis. Alene disse oplysninger kan i mange tilfælde være tilstrækkelige til at kompromittere ens sikkerhed.

Vi må indse, at mail-overførselsprotokoller på internettet er 'broken by design' og begynde at se nærmere på eksempelvis steganografiske meddelelsesformer eller en mere udviklet understøttelse af engangs-pseudonymer til angivelse af modtagere og afsendere.

  • 0
  • 0
#5 John Laustsen

Tænker lige på om sikkerheden omkring E-boks er tilstrækkleig, specielt hvis du sidder i udlandet. Hvordan kan vi sikres samme eller bedre brevhemmelighed som med gammeldags papir post? Bryder myndighederne ikke grundloven ved at tvinge os over på elektronisk post?

  • 0
  • 0
#6 Lasse Hillerøe Petersen

Findes der (er der skrevet noget om) bevisligt sikre mail-arkitekturer? Altså mailsystemer, hvor afsenderen fx placerer en krypteret meddelelse, inklusive krypterede "kuvert"-oplysninger, som ikke kan skelnes fra tilfældige data, på et offentligt sted (i en pool med tusinder eller millioner af andre tilsvarende meddelelser), således at kun modtageren kan identificere at dette er en meddelelse til ham?

Jeg formoder at det vil forudsætte et shared secret, som kan bruges til at identificere "kuverten", så modtageren forholdsvis hurtigt kan finde netop de meddelelser i poolen som er beregnet på ham. (Men han kan downloade mange flere, så selv download-handlingen ikke kan identificere hvilken meddelelse modtageren faktisk er interesseret i.)

  • 0
  • 0
#8 ab ab

Tænker lige på om sikkerheden omkring E-boks er tilstrækkleig, specielt hvis du sidder i udlandet.

Sikkerheden i den bagvedliggende indsendelse af dokumenter fra myndigheder til e-boks er ikke afhængig af, om du sidder i udlandet eller ej. Jeg kender ikke nok til de i den forbindelse anvendte overførselsprotokoller til at kunne vurdere, om de kan gøres til genstand for uautoriseret overvågning.

Når du logger ind på e-boks fra udlandet skal du være opmærksom på, at din browser bruger en tilstrækkeligt sikker krypteret forbindelse. Her er det værd at være opmærksom på to forhold:

1) E-boks' TLS/SSL-opsætning understøtter ikke forward secrecy, hvilket betyder, at du bruger den samme krypteringsnøgle hver eneste gang, du logger ind på e-boks. Det betyder potentielt, at en 'angriber' kan gemme kopier af al din kommunikation med e-boks med henblik på at dekryptere det hele, når de en dag får adgang til den anvendte nøgle. Hvis E-boks havde været sat op til at understøtte forward secrecy som eksempelvis gmail.com er det, ville hver eneste session til e-boks være krypteret med en ny nøgle.

2) E-boks foretrækker at bruge RC4-kryptering, som er en relativt svag algoritme, der allerede ved flere lejligheder har fået påvist matematiske sårbarheder. Hvis du vil have adgang til det højest opnåelige sikkerhedsniveau i kommunikationen med E-boks skal du altså manuelt gå ind i din browsers about:config opsætning og slå RC4-kryptering fra som en mulighed, hvorefter den vil eskalere til 128-bit AES-kryptering. Slår du også denne mulighed fra i din browser, får du adgang til 256-bit AES-kryptering. Ulempen ved denne løsning er imidlertid, at visse hjemmesider alene understøtter RC4-kryptering, hvorfor du altså manuelt skal gå ind og slå denne til og fra efter behov. Stærkt irriterende, at Firefox og andre browsere ikke understøtter en mere granuleret, site-specifik eller regel-baseret aktivering af krypterings-protokoller.

  • 1
  • 0
#9 Frithiof Andreas Jensen

Sikkerheden i den bagvedliggende indsendelse af dokumenter fra myndigheder til e-boks er ikke afhængig af, om du sidder i udlandet eller ej.

Jeg har truffet det bevidste valg slet ikke bekymre mig om IT-sikkerhed längere: "Worry about what you control".

KMD er ejet af Advent International, Boston, USA. Opbevaringen af data må derfor kunne väre omfattet af Amerikansk lovgivning, som der står på hjemmesiden:

Sådan opbevarer vi dine dokumenter

Data opbevares i et sikkert datacenter hos KMD, som lever op til de strengeste sikkerhedsstandarder.

Der henvises ikke til Hvilke sikkerhedsstandarder eller Hvor "hos KMD" rent praktisk er ;-)

Formodentligt har ALLE "relevante myndigheder" i Danmark fuld plain-text adgang til alles e-Boks om nödvendigt og med NemID sikkert placeret som "stedforträder med fuldmagt" for alle "digitaliserede" Danskere, kan man reelt INTET göre andet end at väre ganske ligeglad med hvem som snager i papirerne.

Når NemID en skönne dag bliver hacket, overtaget af en Fremmed Magt, eller Kommanderet af Det Nationale Raad for Forbrug, Väkst og Stabilitet, så er det "Game Over" for hele butikken alligevel. I de to förste tilfälde må man regne med at "Samfundet" nogenlunde kan samle stumperne op, i det sidste kan det väre lige meget.

  • 2
  • 0
#10 Maciej Szeliga
  • 0
  • 0
#12 Jesper Lund

KMD er ejet af Advent International, Boston, USA. Opbevaringen af data må derfor kunne väre omfattet af Amerikansk lovgivning, som der står på hjemmesiden:

NSA kan blot bruge FISA 702 til at få udlevere de ønskede data. En FISA kendelse kan godt dække et helt land, for eksempel alle danskere. De amerikanske ejere af KMD kan ikke nægte at efterkomme dette krav, og de må ikke orientere nogen, inklusive danske myndigheder eller de berørte danske borgere om dette.

De amerikanske ejere af KMD vil næppe gøre som Ladar Levinson (Lavabit), hvis en sådan situation opstår.

Levinson har sagt det meget præcist med disse "famous last words" på lavabit.com

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would strongly recommend against anyone trusting their private data to a company with physical ties to the United States.

Det er et kæmpe problem at e-Boks driftes at et amerikansk IT-selskab. Jeg kan fravælge Gmail, men jeg kan ikke fravælge Offentlig Digital Post.

  • 6
  • 0
Log ind eller Opret konto for at kommentere