El legendario servidor de correos Lavabit, utilizado por Edward Snowden por su fuerte cifrado y su compromiso con la seguridad, ha vuelto a la vida después de más de 3 años. Lavabit se vio forzado a detener sus operaciones en 2013 cuando el FBI descubrió sus conexiones con Snowden y presionaba para que la compañía le entregara las llaves SSL para acceder a las cuentas de correo de sus clientes.
Lavabit se marchó de la industria de imprevisto y en un momento tumultuoso, en el que por primera vez el debate sobre la privacidad de los ciudadanos en Internet se tomaba en serio y repercutía en los medios y la opinión popular. La empresa prefirió autodestruirse antes que violar la privacidad de sus clientes entregándole al FBI las llaves de acceso a sus cuentas.
Desde entonces se ha esperado su regreso y por fin ha llegado. Ladar Levison, fundador de la compañía, ha anunciado el lanzamiento del servidor de correos “Dark Internet Mail Environment”, o “DIME”. La iniciativa nació en 2014 y se realizó con la ayuda de personas de todo el mundo que apoyaron su proyecto en Kickstarter.
El nuevo servidor mejora las características de seguridad y privacidad del viejo Lavabit y exime a la compañía de futuras situaciones incómodas con el FBI al quitarle por completo el acceso a las llaves de cifrado de las cuentas de sus usuarios: DIME ofrece la opción de almacenar las llaves de cifrado en un dispositivo en vez de en el servidor de la compañía. Un servicio genera de forma automática una contraseña larga a la que la compañía no tiene acceso, la inserta en el dispositivo y destruye la llave. “Una vez que está en el dispositivo, no podemos recuperar la llave SSL”, explicó un desarrollador de DIME.
El servicio también se ofrecerá en tres niveles de protección: “Confiado”, “Cauteloso” y “Paranoico”. La primera opción cifrará los correos electrónicos en el servidor de la compañía. La segunda ofrece cifrado de punta a punta y requiere que se instale un programa especial en los dispositivos para generar una llave de cifrado, pero todavía almacena la información en el servidor de la compañía.
La opción para paranoicos, la más segura, almacena la llave de cifrado en el dispositivo de seguridad. Esta alternativa es la más segura, pero también la más incómoda: el acceso a los datos desde otros dispositivos está restringido y si el usuario pierde la llave SSL no hay forma de recuperar la información de las cuentas.
Por ahora el nuevo servicio está disponible solo para los antiguos clientes de Lavabit. Aunque no se les devuelve el acceso al contenido de sus viejas cuentas, se les dio prioridad por si querían volver a utilizar un servidor caracterizado por su interés por la seguridad. Pero la membresía no se mantendrá exclusiva para ellos: es posible que pronto el servicio acepte nuevos usuarios.
Fuentes
La resurrección de Lavabit, el servidor que se sacrificó por la privacidad de sus usuarios