Fundador do Lavabit quer tornar o e-mail “escuro” seguro por padrão

Ladar Levison, o fundador do serviço de e-mail seguro Lavabit, foi encerrado em meados de 2013 em um esforço para evitar ser forçado a cumprir uma demanda do governo dos EUA para entregar os e-mails dos usuários.

O mais recente projeto de Ladar Levison tem um escopo maior do que seu serviço de e-mail originalmente hospedado; com a ajuda de alguns desenvolvedores com mentalidade criptográfica, ele quer mudar o e-mail básico e construir um serviço de criptografia automática na natureza fundamental do e-mail.

Ladar Levison, um dos membros do coletivo Darkmail Technical Alliance, incluindo Jon Callas, Mike Janke e o designer de PGP Phil Zimmermann, está atualmente trabalhando em um projeto coletivamente referido como DIME (Dark Internet Mail Environment).

DIME tomará a forma de um substituto para os servidores de e-mail existentes que poderão usar DMTP (Dark Mail Transfer Protocol) e DMAP (Dark Mail Access Protocol) para criptografar e-mails automaticamente por padrão. O DIME aplica múltiplas camadas de criptografia a um e-mail para garantir que cada etapa da jornada do e-mail do remetente ao destinatário veja apenas os dados sobre o e-mail que precisam ver.

Tanto o autor do e-mail quanto o destinatário sabem quem enviou a mensagem e para onde ela estava destinada, mas o servidor de e-mail do autor não sabe e só pode descriptografar a parte da mensagem que contém o servidor de e-mail do destinatário. O servidor de e-mail do destinatário só conhece o servidor de destino e o destinatário, mas não conhece o remetente.

Arranjando esses quatro passos em uma linha da esquerda para a direita; autor, servidor de origem, servidor de destino e destinatário. Cada passo na linha está ciente apenas da identidade da entidade diretamente à sua esquerda ou direita.

Para fazer isso funcionar, um sistema de gerenciamento de chaves federado lida com as camadas de criptografia, porque cada entidade na cadeia DIME precisa ter seu próprio par de chaves pública e privada para criptografar e descriptografar as partes do e-mail que precisa ser capaz de criptografar ou descriptografar.

Isso funcionará da mesma maneira que o DNS, com cada organização que usa DIME sendo a fonte autorizada para chaves de criptografia para seus servidores e endereços de e-mail. O DNSSEC será o método preferido para manter o âncora de confiança de e-mail de um domínio, isso também permitirá o uso de um certificado TLS assinado por uma Autoridade Certificadora raiz para validar chaves.

A implementação inicial do DIME usará um fork do servidor de e-mail Magma do Lavabit, mas se expandirá para ter suporte para DIME no Postfix e outros Agentes de Transferência de Correio comuns. O DIME é um servidor baseado em Magma com funções semelhantes ao Exchange, combinando os papéis de Agente de Transferência de Correio e Agente de Entrega de Correio em um único servidor monolítico. Se o cliente de e-mail de um usuário (o MUA, ou Agente de Usuário de Correio) não suportar DIME, a especificação permite que o servidor DIME gere chaves transparentemente para o usuário e criptografe as mensagens do usuário em seu nome.

De acordo com Ladar Levison

“Você atualiza seu MTA, implanta esse registro no sistema DNS e, no mínimo, todos os seus usuários obtêm criptografia de ponta a ponta onde o ponto final é o servidor. E presumivelmente, mais e mais ao longo do tempo, mais deles atualizam seu software de desktop e você empurra essa criptografia para o desktop.”

Esse modo opcional em que os servidores de e-mail fazem a criptografia do cliente de forma transparente para eles, é chamado de “modo confiável” e pode ser uma ponte para os usuários até que tenham um programa cliente que suporte totalmente o DIME, ou uma maneira para grandes organizações com requisitos legais de descoberta ou regulatórios usarem o DIME, mas ainda terem acesso aos e-mails de seus usuários conforme necessário. Também fornece uma maneira para empresas de hospedagem de e-mail potencialmente implantarem o DIME para contas hospedadas sem ter que se preocupar com quais clientes de e-mail seus clientes estão usando.

Levison observa que o DIME usará para cifras “uma linha de base obrigatória que eu sabia que era segura, mas torná-la fácil de estender.” Feito criptografando os componentes da mensagem com qualquer método de criptografia alternativa que o administrador preferir, e então envolvendo cada componente no esquema de criptografia obrigatório em cima disso.

O DIME ainda não está totalmente disponível ou implementável. Há um repositório no GitHub contendo um “pré-alpha” com bibliotecas para DIME, e a equipe montou um documento de especificações de 109 páginas, mas a tecnologia ainda não está em um estado onde pode ser implantada e auditada de forma independente.