Dostawca VPN zamyka działalność w obawie przed nakazem przekazania kluczy SSL służbom
Lavabit, usługa pocztowa, z której ponoć korzystał Edward Snowden, została zamknięta w obawie przed nakazem udostępnienia kluczy umożliwiających odszyfrowanie korespondencji użytkowników amerykańskim służbom bezpieczeństwa. Honorowe samobójstwo CEO firmy Lavabit zostało przyjęte w Sieci z szacunkiem i wielu skłoniło do refleksji. Podczas gdy firma dostarczająca bezpieczne skrzynki pocztowe walczy w obronie prywatności użytkowników, dostawca usług VPN ze Stanów Zjednoczonych, CryptoSeal, zawiesił działalność na rynku konsumenckich VPN-ów w obawie, że również będzie zmuszony do naruszenia prywatności użytkowników.
Zarząd CryptoSeal obawia się, że do niego również władze mogą zwrócić się z nakazem przekazania im kluczy pozwalających odszyfrować dane użytkowników. Dostawca VPN twierdzi, że opublikowanie informacji o przebiegu dochodzenia, w które został zaangażowany Lavabit, podkopało wcześniejsze pojęcie o amerykańskim prawie, a jego pozycję uczyniło nie do utrzymania. Baza prawna, na której opierała się ta gałąź działalności firmy, stała krucha i niegodna zaufania. Stąd decyzja o zamknięciu CryptoSeal Privacy.
Konkretnie CryptoSeal obawia się, sytuacji, w której któraś z agencji rządowych odczuje potrzebę podłączenia podsłuchu. Sprawa Lavabit wykazała, że jeśli dostawca usług nie jest w stanie dostarczyć odpowiednich danych w czasie rzeczywistym (na przykład z powodu szyfrowania transmisji), agencja może ubiegać się o nakaz udostępnienia kluczy kryptograficznych na potrzeby podsłuchu. VPN, o którym mowa, nie zapisywał danych, o które zazwyczaj proszą agencje, a dodanie logowania byłoby technicznie niewykonalne. Jest więc pewne, że gdyby ktoś odczuł potrzebę inwigilacji użytkowników CryptoSeal, nie obeszłoby się bez przekazania kluczy. A tego dostawca robić nie chce.
Aby zapewnić maksymalne bezpieczeństwo, firma wyzerowała klucze oraz, mimo że usługi były zaprojektowane tak, aby żadne informacje związane z aktywnością użytkowników nie były zapisywane, wszelkie logi mogące zawierać ślady aktywności klientów również zostały usunięte. CryptoSeal zadbał o to, aby nie było możliwości odczytania ich z dysków najlepiej jak umie.
Zawieszenie działalności jest prawdopodobnie tymczasowe. CryptoSeal czeka na określenie, czy opisane wyżej działania są zgodne z Konstytucją oraz bada możliwości pracy bez narażania prywatności klientów na szwank. Innym firmom, prowadzącym podobną działalność, poleca zrobić to samo.
