Эксперт: Lavabit никогда не был безопасным

Эксперт по безопасности Мокси Марлинспайк (Moxie Marlinspike) подверг сомнению тот, факт, что новый почтовый сервис от владельца Lavabit Ладара Левисона (Ladar Levison) действительно будет защищен от слежения со стороны спецслужб. Более того, зашифрованный сервис электронной почты Lavabit никогда не был безопасным.

«В конце концов, как это возможно, что сервис, у которого не было доступа к пользовательским электронным ящикам, прекратил свою работу, чтобы не предоставлять доступ к содержимому электронных писем в ответ на запросы?», - написал Марлинспайк в блоге.

По словам эксперта, главной проблемой Lavabit было то, что все персональные ключи шифрования пользователей хранились на его сервере. Да, эти ключи, как и пароли, были зашифрованы, однако, каждый раз, когда пользователь хотел прочитать свою электронную почту, пароль передавался на сервер, что само по себе небезопасно.

«В отличие от более защищенных серверов, которые получают и отправляют данные в зашифрованном виде, этот сервер получал и отправлял незашифрованные данные. На сервере хранится пароль пользователя для аутентификации, он же используется и для ключа шифрования», - пояснил Марлинспайк.

Таким образом, для того, чтобы прочитать электронную почту пользователей Lavabit, Левисону было достаточно перехватить пароль, переданный на сервер, затем с его помощью расшифровать персональный ключ, после чего расшифровать электронные сообщения. Даже если утверждения Левисона верны, и он действительно никогда не читал электронную почту своих пользователей, это вполне могли сделать злоумышленники.

«Когда они (сотрудники Lavabit) говорили, что «не могут» читать вашу электронную почту, они имели в виду, что просто не будут», - добавил эксперт. Марлинспайк отметил, что не хочет очернить Левисона, однако опасается, что его усилия над созданием сервиса с открытым исходным кодом приведут лишь к появлению очередной уязвимой службы, претендующей на звание безопасной.