Snowden-affären skördar nya offer

CryptoSeal, en verksamhet som levererar VPN-tjänster, har lagt ner den VPN-tjänst som riktade sig till konsumenterna – CryptoSeal Privacy. Företaget säger att de har utplånat sina kryptonycklar. Detta hände när jag förra veckan var på plats i Culpeper för ytterligare en nyckelceremoni för DNSSEC i rotzonen och jag kan konstatera att den pågående Snowden-affären påverkar även vår värld.

Amerikanen i allmänhet, åtminstone de jag träffar i Culpeper, präglas av en viss uppgivenhet. Deras glädje över att vi fortfarande kommer till deras hjälp för att höja säkerheten på internet och bistå vid nyckelceremonierna är påtaglig och äkta.

Nyheten om nedläggning av CryptoSeals VPN-tjänst tas emot med förstämning. CryptoSeal, vars VPN-tjänst  i huvudsak skapades och drevs under vissa antaganden och tolkningar rörande amerikansk lagstiftning konstaterar att så kanske inte längre är fallet, och att deras tolkning kanske inte håller.

Då de är ett amerikanskt företag och därmed följer amerikansk lag – men samtidigt vill skydda sina användares integritet på nätet – betraktar de det som omöjligt att fortsätta att erbjuda tjänsten CryptoSeal Privacy VPN.

Så funkar VPN

VPN-tjänster tillåter användare att uppnå högre integritet och säkerhet när de använder internet. Användaren sätter upp en krypterad förbindelse med VPN-tjänsten som dirigerar all internetrafik via den innan det vidarebefordras krypterat till resten av internet, vilket innebär att kommunikationen skyddas från insyn. En smutt liten tjänst som används av alltför få.

Att kunna erbjuda den typen av tjänster och garantera att man kan skydda användarnas information är givetvis avgörande för förtroendet för tjänsterna.

CryptoSeals VPN-tjänst var inte designad för att dölja information från myndigheterna, den var inte något fildelnings-VPN som BitTorrent och tjänsten var inte heller designad för att skapa anonymitet för sina användare som exempelvis Tor-projektet. Tvärtom – de deklarerade att de till fullo uppfyller de lagar och förordningar som krävs av ett företag som är lokaliserat i USA. Men ändå. De törs inte garantera att det inte kan inträffa att amerikanska myndigheter kommer med ett krav om att lämna ut kryptonycklar för avlyssning.

Det kan komma fler

Lavabit-fallet var så vitt jag vet den första tjänsten som stängdes i efterdyningarna av Snowden-affären.

En formulering i ett domstolsbeslut i Lavabit-fallet var det som avgjorde för CryptoSeal. Myndigheterna gör nämligen själva tolkningen att om en leverantör får en ”pen register order” – ett beslut om att göra det möjligt att avlyssna eller övervaka en leverantörs kunder – och den leverantörens system inte till fullo möjliggör övervakning med leverans till myndigheterna i realtid, ja då kan myndigheterna kräva att det skapas en särskild krypteringsnyckel som ger myndigheterna sådan tillgång. Detta kunde inte CryptoSeal acceptera.

CryptoSeal själva skriver:

”Our system does not support recording any of the information commonly requested in a pen register order, and it would be technically infeasible for us to add this in a prompt manner. The consequence, being forced to turn over cryptographic keys to our entire system on the strength of a pen register order, is unreasonable in our opinion and likely unconstitutional. But until this matter is settled, we are unable to proceed with our service.”

Ytterligare en del av underlaget som ledde till beslutet att stänga tjänsten är naturligtvis de finansiella riskerna. Det är inte så att en leverantör av VPN-tjänster tjänar några stora pengar. Risken att fortsätta med tjänsten vore att alla eventuella medel som verksamheten förfogar över måste läggas på advokatkostnader. En annan uppenbar risk enligt en av grundarna vore också att han kan riskera att hamna i fängelse för att inte följa en domstolsorder.

Slutsats: det är bättre att lägga ner.

CryptoSeal varnar andra

CryptoSeals meddelande om att de stänger tjänsten slutar med en skarp varning riktad till företag med liknande tjänster:

”För var och en som driver tjänster som VPN, e-post eller andra kommunikationstjänster i USA, vore det på sin plats att utvärdera om möjligheten finns att de kan drabbas av en så kallad “pen register order” som kan användas för att tvinga dem lämna ut exempelvis SSL-nycklar som används för att skydda meddelandeinnehåll, och om så är fallet, att vidta nödvändiga åtgärder.

Ännu ett offer faller för FISA och för NSA:s aktiviteter alltså. Sannolikt inte det sista.

Etiketter: , , , , , , , , , , , , , , Foto: Tunnel av Michael Caven (CC BY 2.0)

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

  • Kryptera.se 30 oktober 2013, kl 20.55

    Varför inte fortsätta köra tjänsten och friskriva sig? Vilken VPN-tjänst i världen kan skydda mot myndigheter? Det har ju uppdagats att Tor exempelvis kan utnyttjas av myndigheter. Låter mer som PR-kupp

    Svara
    • krypmera.se 31 oktober 2013, kl 11.14

      Hur skulle de friskriva sig om de inte kan uppfylla myndigheternas krav eller inte kan garantera kundernas säkerhet?

      Svara
    • Patrik Wallström 31 oktober 2013, kl 11.26

      Om man säljer en tjänst där man utlovar anonymitet, och som sedan kommer med en garanti om att man blir avlyssnad, så är man inte en särskilt trovärdig försäljare. Så enkelt är det. Har man bara pengarna som intresse kanske man under en viss tid kommer undan med det. Problemet uppstår ju när kunderna börjar förstå att man inte kan lita på tjänsten längre – om det är anonymitet man köpt.

      Problemet med lagstiftningen i USA är att de har en munkavle-lag (national security letter) som säger att man inte ens får berätta att man blivit tvingad att lämna ut trafik eller kryptonycklar, och det är där de grova övertrampen finns, och det är därför Lavabit och sådana tjänster hellre stänger när än att lura användarna.

      Hur kan det bli en PR-kupp av att lägga ner sitt företag?

      Svara
  • Anders S Lindbäck 31 oktober 2013, kl 10.08

    Nu är det inte bara kryptotjänster som stängt. Även nyhetstjänster som Groklaw har stängts ner då den som drev den inte längre kände att hon kunde erbjuda meddelarskydd för de som anonymt kontaktade henne med uppgifter.

    På vilket sätt skulle det vara en PR-kupp att lägga ner en tjänst ? Det är knappast lönsamt för företaget.

    Svara