© filmfoto, 123RF

Der E-Mail haftet kein guter Ruf mehr an: Unsicher, nicht zuverlässig und für jeden lesbar wie eine Postkarte. Eine Initiative rund um den Gründer des ehemaligen E-Mail-Anbieters Lavabit sowie PGP-Urgestein Phil Zimmermann haben sich das Ziel gesetzt, die E-Mail durch ein neues Medium zu ersetzen.

Ladar Levison ist in der Szene nur wenigen Menschen ein Begriff, dafür kennt mittlerweile fast jeder die Ex-Firma des Unternehmers: Lavabit (Abbildung 1). Die Webseite [1] war von 2004 bis 2013 im E-Mail-Hosting-Geschäft aktiv und sah sich selbst als Pionier auf dem Gebiet sicherer und bei Bedarf anonymer Kommunikation. Ihren Ursprung fand die Unternehmensidee in der angeprangerten Schwäche eines Mitbewerbers. Die texanischen Gründer waren nicht damit einverstanden, dass Googles Gmail Werbung auf Grundlage des vorher von den Kaliforniern durchsuchten Inhalts von E-Mails anzeigt, und gründeten den auf Sicherheit ausgerichteten E-Mail-Service.

Abbildung 1: Ladar Levison ist ein Mann mit Mission: Dass er Lavabit auf Druck von US-Behörden schließen musste, brachte ihn weltweit in die Medien, was er auch wirksam auszuschlachten wusste.

Lavabits Schwachpunkt: Die Schlüssel der Kunden

Lavabit setzte damals tatsächlich Maßstäbe: Asynchrone Verschlüsselung gehörte zum Standard, und zwar in einer Qualität, die selbst für Geheimdienste nicht ohne Weiteres zu knacken ist. Doch hatte die Lösung einen Schwachpunkt: Die Schlüssel, die Lavabit für den Krypto-Teil der Installation nutzte, lagen bei Lavabit selbst auf den Servern. Die Kunden von Lavabit mussten dem Unternehmen also vertrauen, denn Lavabit konnte immer die Inhalte der E-Mails lesen, die Kunden über den Dienst verschickten.

Nicht nur sorgte diese Funktionsweise für aufgerollte Fußnägel bei Menschen mit einer Affinität für das Thema Verschlüsselung – sie sollte sich auch als Problem von existenzieller Bedeutung für Lavabit herausstellen.

Snowden und das Ende

Lange Zeit nach seiner Gründung war Lavabit trotzdem nur ein Anbieter von vielen und wirbelte auch nicht viel Staub auf. Mit den Behörden arbeitete man zusammen, wo es nötig war. Vermutlich wäre Lavabit ein Mailanbieter wie viele geblieben, hätte es da nicht diesen einen verflixten Kunden mit der E-Mail-Adresse mailto:edsnowden@lavabit.com gegeben.

Als Snowden (Abbildung 2) erst ins Ausland flüchtete und dann kurzerhand anfing die geheimsten Geheimnisse der Megabehörde NSA auszuplaudern, war der Spaß für Lavabit bald vorbei, das Unternehmen sah sich diversen Gerichtsbeschlüssen (Abbildung 3) und Durchsuchungsbefehlen ausgesetzt.

Abbildung 2: Hätte Ed Snowden nicht Lavabit genutzt, um sichere E-Mails zu verschicken, dann gäbe es den Dienst wahrscheinlich noch.

Abbildung 3: Per Gerichtsbeschluss wollten die US-Behörden erwirken, dass Lavabit alle Daten herausgeben muss.

In denen forderten die Ermittler Lavabit dazu auf, sämtliche Schlüssel zu übergeben, die intern für Kunden in Gebrauch gewesen waren. Effektiv hätten die Behörden damit alle Nachrichten entschlüsseln können, die man jemals weitergeleitet hatte. Lavabit widersetzte sich den Anordnungen zunächst, stellte den IT- und Geschäftsbetrieb aber kurzerhand ein, wohl auch, weil sich Ladar Levison sonst im Knast wiedergefunden hätte (Abbildung 4).

Abbildung 4: Laut eigener Aussage durfte Levison offiziell nicht darüber reden, dass er unter massivem Druck durch Strafverfolgungsbehörden stand.

Sichere E-Mails voraus

Seither ist Levison ein Mann mit Mission. Bald nach dem Lavabit-Ende trat er mit der Ankündigung an die Öffentlichkeit, einen Lavabit-Nachfolger gründen zu wollen. Dieser soll nicht weniger tun, als die E-Mail durch eine neue Technologie ersetzen, bei deren Design Sicherheit eine elementare Rolle spielt. Levison hat sich dafür auch ein durchaus schlagkräftiges Team organisiert, das er auf der Webseite ([2], Abbildung 5) vorstellt:

Abbildung 5: Das prominente Team von Darkmail respektive Dime.

• Phil Zimmermann (Abbildung 6, [3]) ist der Erfinder von PGP, also ein Pionier für Sicherheit bei digitaler Kommunikation, und bringt fundiertes Krypto-Wissen mit.

Abbildung 6: Phil Zimmermann – hier rechts auf dem Open Xchange Summit 2013 in Hamburg mit Linux-Magazin-Redakteur Markus Feilner – gehört zum Dime-Team und bringt als Erfinder von PGP viel Erfahrung mit.

• Jon Callas kann auf seine lange Erfahrung bei der Arbeit für Sicherheit im Internet verweisen: Er war unter anderem bei DEC und PGP und einer der Mitbegründer von Silent Circle [4], einem anderen Dienst für sichere Mailkommunikation im Netz nach dem Prinzip von Lavabit.
• Mike Janke, der andere Mitbegründer von Silent Circle und enge Freund von Jon Callas und Phil Zimmermann.

Zusammen bringen die vier Köpfe hinter dem neuen Projekt also einiges an Erfahrung mit, was verschlüsselte Kommunikation betrifft. Und einen Namen haben die vier für ihr Baby auch schon, oder eigentlich eher zwei: Zunächst firmierte das 2013 gestartete Projekt als “Project Darkmail”.

Unter dieser Bezeichnung sammelte Levison auf Kickstarter [5] eine Menge Spenden und Goodwill. Erst vor Kurzem erfolgte dann die Umbenennung in “DIME”, was für Dark Internet Mail Environment steht. Schon aus dieser Bezeichnung allein ist ersichtlich, dass Dime nicht einfach nur ein E-Mail-Aufsatz für mehr Sicherheit sein will, wie Gnu PG es de facto ist.

Viel mehr will Dime die klassische E-Mail durch einen neuen Dienst ersetzen, der so funktioniert wie E-Mail, dabei aber grundlegend sicher ist. Das umfasst mehrere Punkte, die auf der Agenda des Dime-Projekts stehen.

End to End

Der oberste und wichtigste Faktor für Dime ist in den Augen der Gründer die Fähigkeit, echte Ende-zu-Ende-Verschlüsselung zu bieten, bei der Schloss und Schlüssel nur den beiden kommunizierenden Personen bekannt sind. Darin enthalten soll aber nicht nur der eigentliche Inhalt der E-Mail sein – Dime will auch alle Metadaten der E-Mail verschlüsselt und damit sicher übertragen.

Die einzige Information, die ein fiktiver Man-in-the-Middle bei der Kommunikation der gedachten Kommunikationspartner Alice und Bob sehen können soll, ist die Länge der verschlüsselten Nachricht. Darüber hinaus sieht der Angreifer nur Datensalat, der selbst für Megacomputer (fast) unmöglich zu knacken ist.

Der Ansatz schlägt gleich mehrere Fliegen mit einer Klatsche. Wenn Dime für die Kommunikationsteilnehmer nur das Medium bereitstellt, aber die Informationen selbst nicht entschlüsseln kann, bietet die Firma keinen verwertbaren Ansatzpunkt für Strafverfolgungsbehörden. Durch die umfassende Anonymisierung könnte Dime selbst dann keine Daten rausrücken, wenn es wollte oder ein erneuter “National Security Letter” der US-Behörden sie dazu zwingen sollte.

Und weil die digitalen Schlüssel nur bei den Nutzern liegen, hat Dime selbst auch überhaupt keine Chance, echte Nutzdaten beim Nachrichtenversand abzuschnorcheln. Dadurch wäre Dime fein raus und davor geschützt, in eine ähnliche Situation wie Silent Circle oder Lavabit zu kommen, die beide ins Visier der Polizei gerieten.

Software, Dienste, Protokolle und Clients

Dime will aber noch einen Schritt weiter gehen und die Software öffentlich machen, die im Hintergrund bei Dime läuft. Letztlich soll Dime ein Dienst sein, den Admins auf eigenen Servern betreiben können, wie es die E-Mail schon heute ist. Bei ihrer Fundraising-Kampagne gaben die Entwickler das ausdrücklich als Ziel mit an: Auf Grundlage der Software, die bei Lavabit lief, sollen Daemons für den Empfang und den Versand von Dime-Nachrichten entstehen. Ein DMAP (Darkmail Message Access Protocol) genanntes Protokoll soll ein gleichwertiger Ersatz für IMAP sein, der aber mit Dime funktioniert.

Mittlerweile hat sich das Projekt bereits ein schönes Stück von den Anfängen entfernt; die Lavabit-Komponenten haben viele neue Features erhalten und auch die anderen Bestandteile der Suite sind inzwischen mehr als bloße Ideen. Levison selbst stellte auf der Defcon 22 im Jahr 2014 [6] den Dime-Client Volcano (Abbildung 7) vor, der auf Thunderbird basiert und mit diesem zumindest bisher einige Ähnlichkeit aufweist. Das gilt wenigstens im Hinblick auf die Benutzeroberfläche.

Abbildung 7: Volcano ist ein Thunderbird-Spin-off, das bereits für Dime umgebaut ist, und soll der offizielle Client des Unternehmens werden.

Vertrauensvoll, vorsichtig und paranoid

Volcano stellt den Benutzer vor die Wahl aus drei Betriebsmodi, die mit den englischen Begriffen Trustful (vertrauensvoll), Cautious (vorsichtig) und Paranoid (paranoid) benannt sind. Levison weist ausdrücklich darauf hin, dass lediglich Cautious und Paranoid als sicher gelten können. Denn nur in diesen Betriebsmodi setzt Dime auf die Verschlüsselung von Ende zu Ende, bei der die Keys auf den Computern der User verbleiben.

Apropos Schlüssel: Dime wird eine Verschlüsselung verwenden, die jener mit PGP für E-Mails sehr ähnlich ist. Sie arbeitet ebenfalls mit öffentlichen Keys, die im Dime-Sprech allerdings Signet (Abbildung 8) heißen sollen. Nutzer können sich für ihre Signets gegenseitig das Vertrauen aussprechen, was im PGP-Sprech einer Schlüsselsignatur gleichkäme.

Abbildung 8: Signets sind bei Dime das Substitut für Gnu-PG-Schlüssel bei normalen E-Mails. Mit bis zu 16 MByte Länge sei so ein Signet schwer zu knacken.

Zumindest dieser Teil der Geschichte klingt sehr stark nach Gnu PG mit all seinen Schwachpunkten. Levison verspricht aber hoch und heilig, dass die inhärente Verschlüsselung bei Dime deutlich leichter zu nutzen sein werde, als es bei Gnu PG der Fall ist – eben weil sie Teil des Konzepts ist und nicht angehäkelt.

Eingebaute Anonymisierung wie im Tor-Netzwerk

Das bereits erwähnte Ziel der Verschlüsselung der Metadaten stellt eine weitere hohe Hürde dar, die Dime bereits umschifft zu haben glaubt. Schließlich, so die Entwickler, gäbe es bereits ein Vorbild für ein Netz, bei dem zwei Enden überwachungsfrei und anonym miteinander kommunizieren können: Tor.

Die Dime-Macher rund um Levison bezeichnen den Transportmechanismus von Dime als “Tor-ähnlich” und meinen damit, dass verschiedene Hosts an der Kommunikation beteiligt sind, den eigentlichen Traffic dabei aber nie zu Gesicht bekommen. Denn der ist wie bei einer Zwiebel unter vielen Schichten verborgen.

Das birgt ein Problem für Dime-Anwender, die mit Nicht-Dime-Anwendern kommunizieren und Nachrichten austauschen wollen. Für die steht in Dime konsequent ausschließlich der Modus “Vertrauensvoll” zur Verfügung. Außerdem warnt Volcano ausdrücklich vor eventuell mangelnder Sicherheit, bevor es einen Dime-Anwender eine Nachricht unverschlüsselt an einen normalen E-Mail-Account versenden lässt.

Das Problem der sicheren Schlüsselverteilung gelöst?

Levison tingelt dieser Tage rund um den Globus und stellt sein Projekt auf Konferenzen vor, bei denen Sicherheit ein Thema ist. Auch beim Chaos Communication Congress in Berlin Ende 2013 [7] war er anwesend und sprach über die Motive seines Handeln. Wer sich mit ihm unterhält, hat schnell den Eindruck, dass dieser Mann weiß, was er tut. Das manifestiert sich in Details, die bei der Benutzung von Gnu PG oft unter den Tisch fallen.

Erst im Dezember haben etwa Richard Klafter und Eric Swanson eindrücklich unter Beweis gestellt [8], dass die 32-Bit-IDs für Schlüssel in Gnu PG bereits gut voraussagbar sind. Wer es darauf anlegt, kann innerhalb kürzester Zeit ein Key-Set von Tausenden Schlüsseln generieren, die gegenseitig signiert sind und vertrauenerweckende Einträge in den Namens- und E-Mail-Feldern haben.

Anders formuliert: Mit dem beschriebenen Prozedere lassen sich Schlüssel erzeugen, deren ID mit den IDs echter Schlüssel bekannter Persönlichkeiten identisch sind. Das Problem betrifft also gar nicht die Schlüssel jener Persönlichkeiten selbst, denn die sind nach wie vor sicher.

Erkennbar sind solche gefälschten Schlüssel nur dann, wenn sich Anwender die Mühe machen, den Fingerabdruck eines ihnen bekannten Schlüssels mit dem zu vergleichen, den sie für die Verschlüsselung einer Nachricht verwenden. Tun sie das nicht, sind dem Missbrauch Tür und Tor geöffnet. Dramatisch wird dies durch die Tatsache, dass auch Gnu PG seit vielen Jahren die Möglichkeit bietet, 64-bittige Schlüssel-IDs zu verwenden. Die Funktion nutzt allerdings praktisch niemand. Die wenigsten Gnu-PG-Anwender wissen überhaupt von dem Problem oder einer Lösung dafür.

Dime hat Probleme dieser Art auf dem Schirm. Die Key-Distribution innerhalb des Dienstes soll einige Sicherheit ab Werk mitbringen: Die Keyserver, die zum Einsatz kommen, sollen beispielsweise so robust sein, dass missliebige Dienste mit viel Budget sie nicht unterwandern können. Und das System der Schlüsselverwaltung soll so tief in Dime integriert sein, dass der Nutzer von dessen Existenz erst gar nichts merkt.

Dime hat Potenzial, muss aber auch bald liefern

Besonders ergiebig sind die verfügbaren Informationen zu Dime nicht. Dieser Artikel speist sich bereits aus den meisten Quellen, die im Netz zu finden sind. Gut möglich, dass Levison und seine Partner Dime nicht an eine zu große Glocke hängen wollen, bevor der Dienst kann, was er verspricht. Freilich ist auch klar, dass Geheimdienste wie die NSA Dime als Affront auffassen und sich ins Zeug legen werden, um die Nutzung des Dienstes zu unterbinden. Es ist Dime offensichtlich ein großes Anliegen, dafür erst gar keinen Ansatz zu bieten.

Denn um Dime in seinem aktuell bekannten Design zu schaden, müsste ein Staat effektiv verschlüsselte Kommunikation insgesamt verbieten. Das scheint im Augenblick zwar unwahrscheinlich, aber nicht völlig unmöglich – erinnert sei an den Umstand, dass kryptographische Software in den USA lange strengen Regelungen unterlag, gerade im Hinblick auf ihren Export in andere Länder.

Gute Chancen?

Was Dime tatsächlich taugt, müssen handfeste Tests beweisen, wenn Dime den Sprung ins kalte Wasser gewagt hat und verfügbar ist. Gelingt es den Entwicklern, ihren Dienst sinnvoll an den Start zu bringen und die dazu gehörende Software ebenfalls als Open Source zu veröffentlichen, könnte das System an Fahrt aufnehmen. Bombensicher ist bereits jetzt, dass die klassische E-Mail in Sachen IT-Sicherheit am Ende ist.