Le fondateur de Lavabit veut rendre le courrier électronique « sombre » sécurisé par défaut

Ladar Levison, le fondateur du service de courrier électronique sécurisé Lavabit, a été fermé à la mi-2013 dans un effort pour éviter d’être contraint de se conformer à une demande du gouvernement américain de remettre les e-mails des utilisateurs.

Le dernier projet de Ladar Levison a une portée plus large que son service de courrier électronique initialement hébergé. Avec l’aide de quelques développeurs partageant les mêmes idées en matière de cryptographie, il souhaite changer le courrier électronique de base et intégrer un service de cryptage automatique dans la nature fondamentale de l’e-mail.

Ladar Levison, l’un des membres du collectif Darkmail Technical Alliance, comprenant Jon Callas, Mike Janke et le concepteur de PGP Phil Zimmermann, travaille actuellement sur un projet collectivement appelé DIME (Dark Internet Mail Environment).

DIME prendra la forme d’un remplacement pour les serveurs de courrier électronique existants qui seront capables d’utiliser DMTP (Dark Mail Transfer Protocol) et DMAP (Dark Mail Access Protocol) pour crypter les e-mails automatiquement par défaut. DIME applique plusieurs couches de cryptage à un e-mail pour s’assurer que chaque étape du voyage de l’e-mail de l’expéditeur au destinataire ne voit que les données sur l’e-mail qu’elle doit voir.

L’auteur de l’e-mail et le destinataire savent tous deux qui a envoyé le message et où il était destiné, mais le serveur de l’expéditeur ne le sait pas et ne peut déchiffrer que la partie du message contenant le serveur de messagerie du destinataire. Le serveur de messagerie du destinataire connaît uniquement le serveur de destination et le destinataire, mais il ne connaît pas l’expéditeur.

En arrangeant ces quatre étapes en ligne de gauche à droite : auteur, serveur d’origine, serveur de destination et destinataire. Chaque étape de la ligne n’est consciente que de l’identité de l’entité directement à sa gauche ou à sa droite.

Pour que cela fonctionne, un système de gestion des clés fédéré gère les couches de cryptage, car chaque entité de la chaîne DIME doit avoir sa propre paire de clés publique et privée pour crypter et déchiffrer les parties de l’e-mail qu’elle doit pouvoir crypter ou déchiffrer.

Cela fonctionnera de la même manière que le DNS, chaque organisation utilisant DIME étant la source autorisée pour les clés de cryptage de ses serveurs et adresses e-mail. DNSSEC sera la méthode préférée pour détenir l’ancre de confiance des e-mails d’un domaine, cela permettra également l’utilisation d’un certificat TLS signé par une autorité de certification racine pour valider les clés.

L’implémentation initiale de DIME utilisera un fork du serveur de messagerie Magma de Lavabit, mais s’étendra pour avoir un support pour DIME dans Postfix et d’autres agents de transfert de courrier courants. Le DIME est un serveur basé sur Magma avec des fonctions similaires à Exchange, combinant les rôles d’agent de transfert de courrier et d’agent de livraison de courrier en un seul serveur monolithique. Si le client de messagerie d’un utilisateur (le MUA, ou Mail User Agent) ne prend pas en charge DIME, la spécification permet au serveur DIME de générer de manière transparente des clés pour l’utilisateur et de crypter les messages de l’utilisateur en son nom.

Selon Ladar Levison

« Vous mettez à jour votre MTA, vous déployez cet enregistrement dans le système DNS, et au minimum, tous vos utilisateurs obtiennent un cryptage de bout en bout où le point final est le serveur. Et probablement de plus en plus au fil du temps, plus d’entre eux mettent à jour leur logiciel de bureau et vous poussez ce cryptage vers le bureau. »

Ce mode optionnel dans lequel les serveurs de messagerie effectuent de manière transparente le cryptage du client pour eux, est appelé « mode de confiance » et peut être un pont pour les utilisateurs jusqu’à ce qu’ils aient un programme client qui prend entièrement en charge DIME, ou un moyen pour de grandes organisations ayant des exigences légales ou réglementaires d’utiliser DIME tout en ayant toujours accès aux e-mails de leurs utilisateurs si nécessaire. Cela fournit également un moyen pour les entreprises d’hébergement d’e-mails de déployer potentiellement DIME pour des comptes hébergés sans avoir à se soucier des clients de messagerie que leurs clients utilisent.

Levison note que DIME utilisera pour les chiffres « une base minimale imposée que je savais sécurisée, mais facilitera l’extension de cela. » Cela se fait en cryptant les composants du message avec la méthode de cryptage alternative que l’administrateur préfère, puis en enveloppant chaque composant dans le schéma de cryptage obligatoire par-dessus.

DIME n’est pas encore entièrement disponible ou implémentable. Il existe un dépôt GitHub contenant une « pré-alpha » avec des bibliothèques pour DIME, et l’équipe a assemblé un document de spécifications de 109 pages, mais la technologie n’est pas encore dans un état où elle peut être déployée et auditée de manière indépendante.