16:37
3/10/2013

O Lavabicie po raz pierwszy pisaliśmy kilka tygodni temu, w kontekście Edwarda Snowdena. Były analityk NSA korzystał z tego serwisu do bezpiecznej komunikacji e-mailowej. Niestety, po głośnych artykułach dotyczących wycieków Snowdena, właściciel serwisu Lavabit w enigmatycznym oświadczeniu zdecydował się zamknąć swój biznes, tłumacząc tę decyzję dbaniem o bezpieczeństwo swoich użytkowników. Teraz wiemy, co konkretnie było powodem…

Dawaj klucze SSL, Lavabit! — zakrzyknęło NSA

Lavabit

Lavabit

Jak donosi Wired, NSA zażądało od Lavabitu udostępnienia kluczy prywatnych SSL, co pozwoliłoby agencji na podsłuchiwanie ruchu HTTPS kierowanego do serwisu (to, że NSA ma dostęp do zaszfrowanego ruchu internetowego ujawnił sam Snowden).

Zanim NSA poprosiła o klucze SSL, trzeba przyznać lojalnie, że chciała po prostu dostępu do danych na temat Snowdena, ale Lavabit odmówił. Odmówił, bo NSA chciała wszystkich metadanych dotyczących Snowdena; kto pisał, skąd pisał, kiedy pisał, z jakich adresów, itp. — czego, nawet gdyby Lavabit chciał, nie mógł zdobyć bez modyfikacji swojej infrastruktury.

Lavabit dał klucze SSL, ale…

Wykonał przy tym uber-trollerski ruch. Klucze przekazano na wydruku składającym się z 11 stron. Zapisanych czcionką o wielkości 4. NSA uznało wydruki za “nieczytelne” :-)

Kolejnym ruchem rządu USA było wydanie nakazu udostępnienia kluczy w bardziej czytelnym formacie, ale Lavabit odmówił… za co na serwis nałożono karę w wysokości 5 000 dolarów za każdy dzień zwłoki, począwszy od 6 sierpnia 2013. 8 sierpnia Lavabit ogłosił swoje zamknięcie.

Brawo Lavabit! Czapki z głów. Kurtyna.

Przeczytaj także:

78 komentarzy

Dodaj komentarz
  1. bez przesady, przed chwilą wydrukowałem sobie kartkę
    zapisaną czcionką 4 i idzie odczytać, zwykły OCR dałby sobie
    radę

    • Pewnie jeszcze użył comic sans. ;)

    • Może użył Webdings? :P

    • No nie wiem… Wystarczyłaby pomyłka w jednym znaku :-)

    • drukarka miała już swoje lata a przy okazji ostro brudziła wydruk ;)

  2. brawo :D

  3. Numer z czcionką – mega. Ale czy opłaty nie będą rosły po zamknięciu? :P Poza tym, mogli dać SSL w czcionce 4,1 albo 4,01. Większe? Większe. Czytelniejsze? Czytelniejsze. Ale że o jedną setną, nie ich problem ;)

    • Lepiej czcionką 72 :]

    • @Marcin

      Zapomniec ponumerowac stron i przemieszac? :)

      Pozdrawiam.

      Andrzej

    • @AndrzejL
      To by dało tylko 11! kombinacji czyli da się sprawdzić

    • @sojuz – 11 stron było czcionką 4, czcionką 72 byłoby więcej :)

    • @sojuz151 – mowa była o mieszaniu przy czcionce 72… a to już by dało ~4700! (internety twierdzą, że to >15000 cyfr) czyli chyba trochę dużo do sprawdzania ;)

    • sojuz151 11 nieponumerowanych stron, dałoby 11 kombinacji? Ktoś nie uważał na matematyce :).

    • @Szewc

      11! = 39916800 ≠ 11

  4. Korzystałem z Lavabit przez 2 lata i pomimo utrudnień spowodowanych jego zamknięciem (zmienianie adresu kontaktowego w paypalu = maksymalna upierdliwość), z każdym takim newsem jestem coraz bardziej zadowolony z tego, komu wówczas powierzyłem bezpieczeństwo swoich danych.

    • Co teraz?

    • ja otworzylem konto u ruskich na Yandex, bo chinczycy nie mieli “czytelnego” interfejsu i uwazam, ze ani ruscy, ani chinczycy nie mogliby sie interesowac kims takim jak ja, podczas gdy zachodnie rzady chca wiedziec wszystko o wszystkich.
      nei ma innej alternatywy niz ruski serwis, poki co.

  5. Taka czcionka to jak na sciąge do szkoły

  6. Zapomnieliście o najważniejszym: Źródło:
    http://lavabit.com/ This experience has taught me one very
    important lesson: without congressional action or a strong judicial
    precedent, I would _strongly_ recommend against anyone trusting
    their private data to a company with physical ties to the United
    States. Sincerely, Ladar Levison Owner and Operator, Lavabit
    LLC

    • Nie zapomnieliśmy – pisaliśmy o tym z silnym akcencie w poprzednim tekscie o Lavabit, ktory jest tu silnie linkowany :)

  7. Jakiś ich najniższy rangą pracownik w 2 godziny te 11 stron
    wklepał do komputera. NSA certyfikaty dostała? Dostała. Do tego dał
    im 10,000USD na opłacenie kolejnych operacji, nie widzę gdzie ten
    “uber-trollerski ruch”?

    • Wyssałeś sobie te dwie godziny z palca. Poza tym spróbuj
      przepisać tyle tekstu bez ani jednego znaku pomyłki, bo wtedy klucz
      nie zabangla. A jak już się pomylisz, to znajdź ten błąd.

    • czyli Stefan wydruk danych małą czcionką jest zabezpieczeniem nie do obejścia? Nie da się tego przepisać do kompa już nigdy?

      Prawda jest taka, jak by tego nie wydrukował, dopóki da się odczytać to im ten klucz dał, czy załadują go z pendrive czy ktoś go będzie musiał przepisać jest bez różnicy. Do tego za te 10,000USD mogą wsiąść 100 maszynistek, dać każdej po 100USD dniówki i dzieląc pracę między nimi wklepać to w minutę, a pozostałe 7 godzin i 59minut niech sprawdzają czy dobrze.

      Pomijam takie rzeczy jak ocr.

    • Przecież wyraźnie widać, że grał na zwłokę, postaw się w jego sytuacji.
      Dwa dni później zamknął serwis więc szkody wielkiej to nie wyrządziło.

  8. OCRnąć tego nie mogli?

    • Może użył tej drukarki co myliła cyfry? :)

  9. Coś się hameryka miota wokół szyfrowania:
    http://cryptome.org/2013/09/police-crypto-illegal.htm

  10. Ależ jaki tam trolling, po prostu facet robił swoje. Dbał o
    bezpieczeństwo użytkowników do samego końca :)

  11. Zamiast to dać do NCIS: Kryminalne zagadki czegokolwiek –
    oni tam mają super urządzenia powiększające i wyostrzające to się
    bawią w zastraszanie i kary pieniężne… jak dzieci :)

  12. Ja bym w drugim przypadku wysłał te klucze czcionką Comic Sans 120pt. O wiele większa i czytelniejsza.

  13. Przepiękne :) Tomku – ciekawe, ile razy ten najniższy rangą
    pracownik pomylił się przy przepisywaniu. Na zdrowie, niech sobie
    dziubią do woli.

  14. Podobnej metody użył Zimmermann do wyeksportowania źródeł
    PGP – wydrukował (wydał w formie książki) i legalnie wyeksportował.
    Ale na pewno użył większego fontu :-) Takie luźne
    skojarzenie.

  15. Ciekawe kiedy komuś przytrafi się jakiś wypadek…

  16. Łezka się w oku kręci gdy w dawnych czasach drukowano i
    przemycano za granicę PGP by uniknąć nałożonej blokady -.-

  17. Wystarczyłoby zmienić jakiś znak gdzieś wewnątrz każdego klucza przed wydrukiem, stałyby się bezużyteczne nawet po przepisaniu.
    PS. Ogarnijcie proszę komentarze w wersji mobilnej — brak rozróżnienia na komentarze główne i odpowiedzi do nich mocno utrudnia czytanie.

    • Może NSA używa drukarek Xeroxa?

  18. Skan z maksymalna rozdzielczością i pózniej ocr.

  19. Czytając o czcionce kojarzy mi się akcja Samsung vs Apple,
    gdzie samsung zapłacił ~1mld pięciocentówkami = 30 ciężarówek
    pięciocentówek :D Czapki z głów, ruch mega :D

  20. A nie mógł tego zapisać Wingdingsem?

  21. Strasznie zalatuje mi bullshitem. Jeśli NSA ma dane zaszyfrowane, to mniej więcej wie, co siedzi w środku (np. nagłówki SMTP).
    Dostali klucz w którym pewna, raczej niewielka, ilość bitów jest niepewna – z artykułu nie wynika żadna komplikacja poza formą i małym rozmiarem. OCR powinien dać radę, podobnie ręczny wklepywacz.
    Mają więc ten obarczony błędem klucz. Czy to taki problem zbruteforceować transmisję sprawdzając kilka trefnych bitów?
    Czegoś brakuje w artykule, bo albo było dodatkowe utrudnienie dla NSA i brakowało znacznie więcej bitów, albo pracują tam “urzędnicy” rodem z małego miasteczka, a nie agenci, albo ktoś tu sieje dezinformacje.

  22. Przecież z czcionki 4 da się odczytać tekst….

  23. Ej, serio można zażądać od serwisu wydania kluczy prywatnych? Jakim prawem? I do tego jeszcze nałożyć karę? Więc jak założę serwis na którym ktoś będzie trzymał tajne dokumenty, to inna firma (takie np NSA) może żądać ujawnienia tajemnicy korespondencji? A jak nie ujawnię wszystkiego, to jeszcze ktoś na mnie karę nałoży? No śmiechłem…

    • Można i jak widać, można jeszcze kazać serwisowi nic nie mówić na ten temat. Nakazy były objęte klauzulą tajności.

    • Ciekawi mnie jedna rzecz. Skoro “nakazy były objęte klauzulą tajności”, to skąd my o nich w ogóle wiemy? Ktoś sypnął?

    • @Piotr orientujesz się co z apelacją? Może nawet nie da się zaskarżyć nakazu ujawnienia danych, ale co z grzywną?

      Czy jest na sali specjalista od prawa amerykańskiego?

  24. eno Panowie…. ja na studiach miałem ściągi w rozmiarze 3. Odnośnie pomysłu, rewelacja, tyle że w drugim wariancie, zapodziałbym gdzieś jeden znak i potem by się jakoś wyjaśniło. No chyba, że podczas długiego poszukiwania usterki moje serwery by szlag trafił… tyle nieszczęść po ludziach chodzi przecież.

  25. Panowie, piszecie głupoty.

    Po pierwsze nie „11 stron zapisanych czcionką”, bo nie używał kaszty odlewanych z ołowiu liter osadzanych na drewnianych lub metalowych trzpieniach, tylko 11 stron wypełnionych znakami alfanumerycznymi z wykorzystaniem kroju Zapf Dingbats o wysokości 4 punktów. Tu daje o sobie znać krzywda jaką Microsoft wyrządził Polakom wprowadzając polskie wersje językowe swoich programów i brak refleksji tychże w przyjmowaniu wszystkiego jak leci bez krzty krytycyzmu.

    Po wtóre nie podał z jakim odstępem międzywierszowm. A mógł np. takim by kolejne wiersze nachodziły na siebie. Wówczas OCR i przepisywanie odpada bo potencjalnie liczba błędów mogła by być znaczna.

    Po trzecie przy druku tekstu o wysokości 4 punktów znaczenie ma rozdzielczość druku. Mógł wydrukować np. w 300 dpi. Wówczas OCR odpada. Skanowanie w milion dpi nic nie da tak jak żadne wyostrzanie, ani pierdyliard komputerów w klastrze nic nie da. A co dopiero jak wydrukował na igłówce, hę?

    • Podoba mi się jak ktoś się wymądrza, najczęściej nt.
      języka, bo coś tam usłyszał, ale nie sprawdził, tylko przekazuje
      plotki dalej :) Język jest żywy, a niektóre słowniki notują już
      wyraz “czcionka” w znaczeniu “czcionka komputerowa – zestaw znaków
      pisarskich dla danego urządzenia lub programu; font”. Nawet jeśli
      Microsoft wprowadził coś nieprawidłowo, to staje się to prawidłowe
      przez wprowadzanie do kolejnych słowników, poprzedzone przez uzus.
      Może Ci się nie podobać to znaczenie, możesz go nie używać.
      http://poradnia.pwn.pl/lista.php?id=629 “(…) Możliwe, że taka
      czcionka nie została zainstalowana na Pana komputerze i dlatego nie
      może jej Pan obejrzeć. Mirosław Bańko” Wybitny językoznawca, pan
      Bańko jest dość liberalny językowo, trzeba to przyznać. Jednakże
      różnice w opiniach językoznawców na różne tematy (chociażby
      rzeczony Bańko kontra konserwatywny pan Bralczyk) pokazują, że nie
      ma jakiegoś jednego, jedynego i prawidłowego języka. Podany przeze
      mnie przykład pokazuje, że nie masz racji narzucając swoje
      preferencje jako regułę. 4 pt (4/72 cala) przy 300 dpi będzie
      czytelne dla OCR. Przecież można definiować własne reguły i według
      mnie to jest oczywistość przy takim tekście. Jakby zrobił coś,
      czego się nie da odczytać w żaden sposób, to jaki cel by miało
      robienie tego? Równie dobrze mógł wtedy nic nie wysyłać, a
      konsekwencje by były takie same. Moim zdaniem mogli to odczytać,
      ale woleli pokazać władzę poprzez dowalenie mu kary. PS: W tym
      kontekście moim zdaniem winno się pisać o glifach, nie o “znakach
      alfanumerycznych”, skoro mowa o typografii.

    • @Krzysiu, to że p. Bańko dopuścił się lapsusa językowego
      nie czyni z tego reguły językowej. Jak wiesz nie pierwszy to raz
      gdy to czyni. Sam linkowany słownik PWN podaje właściwą definicję
      czcionki: czcionka, dawniej trzcionka, krotło, rodzaj materiału
      zecerskiego przeznaczonego do ręcznego składania tekstów;
      Bezkrytyczne powielanie błędów jest po prostu głupie. Wg Ciebie
      miliony much przecież nie mogą się mylić… To, że język jest
      żywy jest cenną cechą ale dzięki temu, że możemy te zmiany poddawać
      krytyce, ocenie i weryfikacji unikamy kretyńskich zmian. A ta
      zmiana odnosząca się bezpośrednio do obowiązujących w Polsce norm
      jest krzywdząca i zbędna. Gdybyś nawet się upierał, że
      czcionka komputerowa to uwspółcześniona forma określająca czcionkę
      drukarską to jednak wyrażenie „czcionka komputerowa” odnosi się
      wyłącznie do pojedynczego znaku (glifu). Krój pisma (font) dopiero
      określa pełen garnitur znaków. Wobec tego forma stosowania która
      promujesz jest nie tyle niewłaściwa, bo wynikająca z Twojej
      niewiedzy, braku doświadczenia i kompetencji, co z niechlujstwa
      językowego. Wstyd. Stosowanie pewnych reguł jest wyrazem nie tylko
      szacunku dla języka ale dla własnych wartości i dyskutantów. Ja
      wyrosłem na składaniu książek, szacunku dla liter, typografów i
      redaktorów, tych z prawdziwego zdarzenia. Używanie właściwego dla
      dziedziny zestawu określeń językowych uważam za przejaw szacunku
      dla adwersarzy. Poddawanie się pędowi motłochu lub pozycji
      monopolisty świadczy o braku zasad i wątpliwym kręgosłupie
      moralnym. Odnośnie OCR piszesz kompletne bzdury. W skanowaniu tego
      typu treści istotna jest liczba błędów. Wystarczy jeden i klucz nie
      nadaje się do użycia. A na kilku stronach możesz mieć ich co
      najmniej kilkadziesiąt lub nawet kilkaset. Tak, sprawdziłem
      organoleptycznie. Zrób sobie test OCR 4pt pisma np. odręcznego lub
      szeryfowego i nie pogrążaj się teoretyzując. I na koniec, to nie są
      moje preferencje. To lata doświadczeń zawodowych, szacunku dla
      języka, składu książek, redaktorów, pisarzy i korektorów. To
      zawodowe preferencje obce użytkownikowi Worda ale obowiązujące w
      grafice, projektowaniu, typografii, księgoznawstwie itd.

  26. ale bullshit… mam kilkanaście certyfikatów SSL i każdy plik z kluczem prywatnym ma najwyżej po 3kB, to by się zmiesciło na jednej kartce zapisanej czcionką wystarczająco czytelną…

    • @Szwec Ktoś skończył za szybko matematykę. Wykrzyknikiem oznaczamy silnię tak więc 11*10*9*..*1= 39916800
      Co nie zmienia faktu, że poprzednik też liczył źle ;)

  27. Mogli dać czcionkę anty NSA : ) http://www.businessinsider.com/zxx-fonts-that-google-cant-read-2013-9

  28. Dlaczego domniemujecie ze wydruk był na laserowce 1200dpi robiony? Przeciez mogli na starej atramentowce z częściowo pozasychanymi dyszami i na kiepskim rozlewajacym papierze to wydrukować i wtedy toz taka mała czcionka to ani OCR ani 100 maszynistek nie poradzi. Wydruk bedzie nieczytelny i tyle.

  29. Wszyscy zachwycili się świetnym trollowaniem a prawda pewnie jest taka, że po prostu agencja potrzebowała w oficjalny i legalny (mimo, że utajniony) sposób dostać się w posiadanie czegoś co pewnie miała od dawna. A jak ktoś chce z jakąkolwiek agencją “pogrywać” to nie ma takiej możliwości aby nie podchwyciła gry, bo to jej tylko na rękę.

  30. Co prawda jestem laikiem w dziedzinie kryptografii ale czemu mają służyć klucze o długości ponad 200k gdzie 9086 jest już dość dużą wartością (wiedza zaczerpnięta z podręcznika i kilku for gdzie na tamte czasy opisywali 1024 jako klucz “wystarczający” dla szyfrowania asymetrycznego)… I jakich algorytmów kryptograficznych używali że długość klucza nie miała aż tak wielkiego znaczenia podczas szyfrowania?

    Jeśli jestem w błędzie co do długości klucza to chętnie poznam nieco aktualnych danych :)

  31. przy pierwszym znaku ‘duze I’ albo ‘male l’ OCR i lupa nie
    pomoze…

    • Czy przypadkiem nie jest tak, że klucze podane są w formie szesnastkowej (czyli 0-9 oraz A-F), zaś wielkość liter jest zawsze taka sama?

  32. Prawo w USA jak widac jest juz blizsze znienawidzonej przez nich prez lata USSR, dzis w jednym rzadza oligarchowie, w drugim agencje rzadowe, nie objete prawem.

    • Poczytaj Bamforda – 40 lat temu, 30, 10 i teraz jest ciągle ten sam reżim, nie łudźmy się,
      ten kraj to Państwo niewolników!

  33. Przeciętny klucz prywatny 2048 bitowy zwiera jakieś 1615 znaków (nie licząc komentarzy). Skąd zatem wyszło 11 stron? Czy każdy użytkownik posiadał swój klucz i podpisany nim certyfikat?

    Jeśli chodziło im tylko o “Śniegowegodena” mogli zażądać konkretnego klucza. Wystarczy skan o dużej rozdzielczości i nawet tekst czwórką da się rozczytać (pisane Wingdingsem! – trzeba tylko znaczki odpowiednio zmapować).

    • Ale wystarczy czionka w której I, l i 1 wyglądają identycznie. Do tego 0 i O. I już klucz staje się nieczytelny. Bez względu na rozmiar czcionki.

    • Też się zastanawiałem dlaczego aż 11 stron. Czy ktoś wyraźnie zaznaczył, że chodziło _tylko_ o Snowdena? No właśnie. W tym serwisie mieli konta jeszcze inni jego korespondenci. Stąd taka a nie inna ilość stron.

      Udostępnił klucze w formie wydruku, bo nie sprecyzowali jaka to ma być forma… a że drukarka miała mało tonera i papier lichy i dużo do drukowania, a lasy trzeba oszczędzać, to i taki efekt.

      Inna sprawa że chłopcy mogli rozłożyć te 11 stron na parkingu przed firmą i zrobić skan którymś ze swoich satelitów, a na wyjściu dostaliby zapewne bezbłędny wynik z OCR. ;)

  34. Etam. Teraz mają i klucze, bo technologię która to przeczyta bezbłędnie, pewnie już mają od lat 70tych. A jak nie to za 5000 dolarów dziennie znajdzie się kilkadziesiąt osób (w stanach), a ze dwie setki osób w Polsce,które to przepiszą.
    ONI zawsze dadzą sobie radę ze zwykłym śmiertelnikiem. ZAWSZE.

  35. Tutaj jest zestaw dokumentów dotyczących tej sprawy https://www.documentcloud.org/documents/801182-redacted-pleadings-exhibits-1-23.html

  36. trolling level master :D

  37. Mógł drugim razem wydrukować drukowanymi literami. ;)

  38. A czy przypadkiem NSA nie jest w stanie szybko faktoryzować kluczy ? Agencja z takim budżetem na 100% jest w stanie to wykonać. Skoro łamią wojskowe szyfry które są bardziej złożone i skomplikowane. Więc szyfry dla mas nie stanowią dla nich tajemnicy. Prawdopodobnie NSA nie chce się oficjalnie przyznać że już dawno wszystko rozkodowała. Tylko urządza taki teatrzyk z żądaniem klucza.

    • Założę się że mają odpowiednio “mocny” komputer kwantowy tylko siedzą cicho :) USA sporo wydaje na wojsko.

  39. Mógł za drugim razem wysłać im tekst większa czcionką, ale inna mniej czytelną ;D

  40. […] NSA wymusza żądania do konkretnych serwisów przekierowując połączenie wychodzące z exit-node’a (NSA w końcu sniffuje ruch w różnych punktach na świecie i równie dobrze może tam wstrzykiwać w połączenia swoje treści, ang. packet-injection). Na pewno pomoże odwiedzanie stron po HTTPS i zwracanie uwagi na wszelkie problemy z certyfikatami (chyba, że NSA ma klucz prywatny…). […]

  41. Niebezpiecznik zapomniał o jednej, istotnej informacji:

    “The court ordered a $5,000-a-day fine and on Aug. 7, Levison finally relented, handing over digital copies of the keys.”

    Natomiast z tekstu Niebezpiecznika można wnioskować, że NSA nie weszło w posiadanie kluczy, więc korespondencja na serwerach Lavabit jest bezpieczna. Nie jest.

  42. Może wreszcie czas na pokazanie personelowi dyplomatycznemu USA w Polsce otwartego semafora?

  43. Bym zapomniał – oprócz otwartego semafora sygnał Rd1 –
    Nakaz jazdy. Ewentualnie, jak tego nie zrozumieją, to gwizdek (choć
    w Polsce gwizdkiem sygnał podaje kierownik pociągu, a w krajach
    anglosaskich – dyżurny peronowy)

  44. Ja tam drukowałem ściągi do szkoły czcionką nawet 2,5, beznadziejną drukarką HP z tanimi zamiennikami tuszy. I powiem szczerze ciężko było, ale na kartkówkach dało się to z długopisu odczytać :p Ale gdyby było jakimiś wymyślnymi czcionkami zapisane to byłoby znacznie gorzej… więc to jest jedyne usprawiedliwienie dla NSA ;)

  45. Ja tam nie widzę problemu z przepisywaniem. Wystarczy że
    ktoś usiądzie, wklepie (albo potraktuje OCRem), następnie
    sformatować jak oryginały, wydrukować, zeskanować (albo wykruk do
    pliku graficznego), wrzucić do programu graficznego jako 2 warstwy
    – oryginał i na to przepisane z filtrem różnicowym i ewentualne
    błędy widoczne jak na dłoni. Ewentualnie powtórzyć po skorygowaniu
    (jeśli było pominięcie jakiegoś znaku).

  46. […] nie mają i wnioskować o niego? Przypomnijmy, że właśnie o klucz prywatny do certyfikatu SSL NSA prosiła właściciela serwisu Lavabit, na którym skrzynkę miał Edward Snowden. Dlaczego nie skorzystali z Heartbleedu do wycągnięcia klucza? A może jednak skorzystali i […]

Odpowiadasz na komentarz Pimpek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.