Nach dem großen Skandal um Edward Snowden und dem von ihm genutzten E-Mail-Anbieter Lavabit wurde dessen technische Umsetzung durch Sicherheitsexperten überprüft und kritisch bewertet, da dieser einen neuen „sicheren“ E-Mail-Dienst plant.
Es ist noch nicht lange her, dass der Inhaber von dem vermeintlich sicheren E-Mail-Dienst Lavabit durch die Behörden so stark unter Druck gesetzt wurde, dass er sein Angebot aus dem Netz entfernen und zur Herausgabe von SSL-Schlüsseln gezwungen wurde. Dieser plant ein neues Projekt namens „Dark Mail Alliance“, das auf dem alten Quellcode von Lavabit aufsetzen soll.
Der Sicherheitsexperte Moxie Marlinspike unterzog Lavabit einer sorgfältigen Überprüfung mit einem kritischen Auge für die Details. Dabei entdeckte er, dass die Ver- und Entschlüsselung auf dem Server des Betreibers stattfindet. Das Verfahren einen öffentlichen und einen privaten Schlüssel (asymmetrische Verschlüsselung) ist nichts Neues, wird bereits viele Jahre genutzt und gilt mit entsprechender Schlüsselstärke als sicher. Die Kritik Marlinspikes bezieht sich auf die technische Umsetzung, bei der beide Teile des Schlüssels auf dem Server des Anbieters liegen. Würde dieser beschlagnahmt oder gehackt werden, so könnte der Nachrichtenverkehr ohne Weiteres entschlüsselt werden
Generell ist es möglich das Schlüsselpaar mittels eines Passwortes vor Fremdzugriff zu schützen, allerdings sind Passwörter wesentlich einfacher zu bestimmen als der private Teil eines Schlüsselpaares. Ein Szenario könnte auch sein, dass das Passwort bei der Übermittlung an Lavabit abgefangen und dekodiert wird, sodass dann Passwort und Schlüsselpaar dem Angreifer zu Verfügung stehen und ebenfalls eine völlige Transparenz des Mailverkehrs möglich ist.
Unrealistisch ist diese Art des Angriffs nicht, denn das FBI verlangte statt der Herausgabe der Mails von Edward Snowden die Herausgabe des privaten Schlüssels des verwendeten SSL-Zertifikates. Warum dieser Weg beschritten wurde, ist nicht klar, aber es lässt sich vermuten, dass Internet-Verkehr mitgeschnitten wurde und mit dem privaten Schlüssel lediglich entschlüsselt werden musste.
Lavabit versäumte auch die gängigen Sicherheitsstandards zu unterstützen, wie beispielsweise Forward Secrecy, das eine nachträgliche Verschlüsselung des Datenverkehrs verhindert.
Das Verhalten des Lavabit-Gründers Levison die Nutzer über die Kompromittierung zu informieren sei zwar vorbildlich gewesen, allerdings stellt es eine große Kontroverse da Sicherheit zu versprechen, diese aber mangelhaft umzusetzen. Im Rahmen der „Dark Mail Alliance“ will Ladar Levison will zusammen mit PGP-Erfinder Phil Zimmermann einen neuen sicheren E-Mail-Dienst schaffen. Dazu wurde ein Kickstarter-Projekt geschaffen, bei dem bereits 88.742 von 200.000 USD zusammengekommen sind.