Snowden-affären skördar nya offer

CryptoSeal, en verksamhet som levererar VPN-tjänster, har lagt ner den VPN-tjänst som riktade sig till konsumenterna – CryptoSeal Privacy. Företaget säger att de har utplånat sina kryptonycklar. Detta hände när jag förra veckan var på plats i Culpeper för ytterligare en nyckelceremoni för DNSSEC i rotzonen och jag kan konstatera att den pågående Snowden-affären påverkar även vår värld.

Amerikanen i allmänhet, åtminstone de jag träffar i Culpeper, präglas av en viss uppgivenhet. Deras glädje över att vi fortfarande kommer till deras hjälp för att höja säkerheten på internet och bistå vid nyckelceremonierna är påtaglig och äkta.

Nyheten om nedläggning av CryptoSeals VPN-tjänst tas emot med förstämning. CryptoSeal, vars VPN-tjänst  i huvudsak skapades och drevs under vissa antaganden och tolkningar rörande amerikansk lagstiftning konstaterar att så kanske inte längre är fallet, och att deras tolkning kanske inte håller.

Då de är ett amerikanskt företag och därmed följer amerikansk lag – men samtidigt vill skydda sina användares integritet på nätet – betraktar de det som omöjligt att fortsätta att erbjuda tjänsten CryptoSeal Privacy VPN.

Så funkar VPN

VPN-tjänster tillåter användare att uppnå högre integritet och säkerhet när de använder internet. Användaren sätter upp en krypterad förbindelse med VPN-tjänsten som dirigerar all internetrafik via den innan det vidarebefordras krypterat till resten av internet, vilket innebär att kommunikationen skyddas från insyn. En smutt liten tjänst som används av alltför få.

Att kunna erbjuda den typen av tjänster och garantera att man kan skydda användarnas information är givetvis avgörande för förtroendet för tjänsterna.

CryptoSeals VPN-tjänst var inte designad för att dölja information från myndigheterna, den var inte något fildelnings-VPN som BitTorrent och tjänsten var inte heller designad för att skapa anonymitet för sina användare som exempelvis Tor-projektet. Tvärtom – de deklarerade att de till fullo uppfyller de lagar och förordningar som krävs av ett företag som är lokaliserat i USA. Men ändå. De törs inte garantera att det inte kan inträffa att amerikanska myndigheter kommer med ett krav om att lämna ut kryptonycklar för avlyssning.

Det kan komma fler

Lavabit-fallet var så vitt jag vet den första tjänsten som stängdes i efterdyningarna av Snowden-affären.

En formulering i ett domstolsbeslut i Lavabit-fallet var det som avgjorde för CryptoSeal. Myndigheterna gör nämligen själva tolkningen att om en leverantör får en ”pen register order” – ett beslut om att göra det möjligt att avlyssna eller övervaka en leverantörs kunder – och den leverantörens system inte till fullo möjliggör övervakning med leverans till myndigheterna i realtid, ja då kan myndigheterna kräva att det skapas en särskild krypteringsnyckel som ger myndigheterna sådan tillgång. Detta kunde inte CryptoSeal acceptera.

CryptoSeal själva skriver:

”Our system does not support recording any of the information commonly requested in a pen register order, and it would be technically infeasible for us to add this in a prompt manner. The consequence, being forced to turn over cryptographic keys to our entire system on the strength of a pen register order, is unreasonable in our opinion and likely unconstitutional. But until this matter is settled, we are unable to proceed with our service.”

Ytterligare en del av underlaget som ledde till beslutet att stänga tjänsten är naturligtvis de finansiella riskerna. Det är inte så att en leverantör av VPN-tjänster tjänar några stora pengar. Risken att fortsätta med tjänsten vore att alla eventuella medel som verksamheten förfogar över måste läggas på advokatkostnader. En annan uppenbar risk enligt en av grundarna vore också att han kan riskera att hamna i fängelse för att inte följa en domstolsorder.

Slutsats: det är bättre att lägga ner.

CryptoSeal varnar andra

CryptoSeals meddelande om att de stänger tjänsten slutar med en skarp varning riktad till företag med liknande tjänster:

”För var och en som driver tjänster som VPN, e-post eller andra kommunikationstjänster i USA, vore det på sin plats att utvärdera om möjligheten finns att de kan drabbas av en så kallad “pen register order” som kan användas för att tvinga dem lämna ut exempelvis SSL-nycklar som används för att skydda meddelandeinnehåll, och om så är fallet, att vidta nödvändiga åtgärder.

Ännu ett offer faller för FISA och för NSA:s aktiviteter alltså. Sannolikt inte det sista.

Etiketter: , , , , , , , , , , , , , , Foto: Tunnel av Michael Caven (CC BY 2.0)

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.