Ladar Levison ha sempre rassicurato gli utenti sul livello di sicurezza offerto da Lavabit , al punto di scegliere di chiudere il servizio di mail protetta piuttosto che consegnare le “chiavi” (figurate e sostanziali) della privacy degli utenti all’intelligence statunitense al centro dello scandalo Datagate. Ma ora c’è chi quella sicurezza la mette in discussione e accusa: Lavabit è sempre stato molto meno sicuro di quanto sostenuto dal suo fondatore.
A sollevare la polemica è Moxie Marlinspike, esperto di sicurezza e crittografia – nonché ospite fisso della conferenza Black Hat – che ha pubblicato un post tutto incentrato su Lavabit: Levison merita il supporto di tutti nel suo tentativo di contrastare gli abusi di NSA e agenzie sodali in tribunale, sostiene Marlinspike, ma non per questo Lavabit è esente da rilievi critici di un peso certamente non trascurabile.
Il nocciolo della questione esposta dall’hacker è che, diversamente da quanto dichiarato, Lavabit non è mai stato un servizio di posta elettronica particolarmente sicuro: i dati più importanti per la gestione delle email – testo cifrato, chiave privata e password – sono sempre stati archiviati sui server dalla società , quindi alla mercé di eventuali tentativi di abuso da parte di malintenzionati, impiegati con secondi fini e agenti segreti USA.
Marlinspike chiude il suo post con la constatazione di un fatto noto da tempo, e cioè che al momento non esiste alcun modo di avere comunicazioni cifrate end-to-end con i protocolli in uso: l’hacker consiglia un paio di progetti (Mailpile e Leap Encrypted Access Project) per chi necessita di privacy e comunicazioni protette, in alternativa al rilascio e al supporto del codice open source di Lavabit già annunciato da Levison .
Dark Mail Alliance – fondata da Levison assieme al team di Silent Circle – ha in realtà obiettivi ben più ambiziosi, incluso lo sviluppo di nuovi protocolli per comunicazioni elettroniche realmente sicure, e per facilitare il raggiungimento di tali obiettivi (oltre al rilascio del codice di Lavabit sotto licenza FOSS) è stata avviata una campagna di crowdfunding sulla piattaforma Kickstarter .
Il target indicato da Levison è di circa 196mila dollari, mentre il termine per la campagna è fissato per il prossimo 27 novembre. Non ha invece ancora scadenza il processo di revisione appena avviato dal National Institute of Standards and Technology (NIST) statunitense, ennesima vittima – o forse complice – dello scandalo Datagate, che ora intende fugare ogni dubbio sull’effettiva sicurezza e affidabilità degli standard crittografici approvati per l’uso pubblico.
Alfonso Maruccia