Riseup wechselt zu verschlüsselten E-Mails

Der erste Befehl betraf die öffentliche Adresse eines internationalen DDoS-Erpresserrings. Der zweite richtete sich gegen ein Account, das Ransomware nutzte, um Geld zu erpressen.

Erpressung ist eindeutig ein Verstoss sowohl gegen den Wortlaut als auch den Sinn des sozialen Vertrags[1], den wir mit unseren Nutzer_innen schliessen: Wir halten euch den Rücken frei, solange ihr nicht ausbeuterische, frauenfeindliche, rassistische oder hetzerische Ziele verfolgt.

Es gab eine „gag order“ („Maulkorb-Anordnung“), die es uns bis jetzt verboten hat, auch nur die Existenz der Befehle offenzulegen. Dies ist auch der Grund, weshalb wir unseren „Canary“[2] nicht aktualisieren konnten.

Wir haben Massnahmen ergriffen, um sicherzustellen, dass Riseup nie wieder Zugang zum Klartext von Emails hat, die ein_e Nutzer_in gespeichert hat. Von heute an werden alle neuen Riseup-Email-Accounts mit einem persönlich verschlüsselten Speicher auf unserem Server ausgestattet, der nur für euch zugänglich ist. In der nahen Zukunft werden wir damit beginnen, alle bestehenden Accounts in dieses neue System zu überführen[3].

Um es absolut deutlich zu machen: diese Art der Verschlüsselung ist keine „Ende-zu-Ende“-Verschlüsselung eurer Nachrichten. Mit dem neuen System von Riseup werdet ihr auch weiterhin dem Server vertrauen müssen, wenn ihr eingeloggt seid. Für eine volle „Ende-zu-Ende“-Verschlüsselung müsst ihr, wie zuvor, ein Mailclient nutzen der OpenPGP unterstützt (und nicht webbasiert ist).

Wir arbeiten daran, im kommenden Jahr ein verständlicheres „Ende-zu-Ende“-Verschlüsselungsystem einzuführen, aber bis das fertig ist, setzen wir persönlich verschlüsselten Speicherplatz ein.

Solidarische Grüsse,

Die Riseup Birds

Fragen:

F: Seid ihr von Strafverfolgungsbehörden kompromittiert?

A: Nein. Wir haben niemals die Installation von Hardware- oder Software-Überwachungsystemen in einem der von uns kontrollierten System gestattet; die Strafverfolgungsbehörden haben unsere Server nicht mitgenommen; und hatten niemals Zugriff auf diese. Wir würden eher aufhören Riseup zu sein, bevor wir das zuliessen.

F: Könnte die Regierung euch nicht zwingen, das zu sagen?

A: Erzwungene Aussagen sind im US-Rechssystem sehr selten. Üblicherweise finden sie nur im Bereich des Verbraucherschutz statt, wo die Regierung erfolgreich Aussagen erzwungen hat (z.B. verpflichtende Warnungen vor Zigaretten). Wie dem auch sei, nein, sie zwingen uns nicht, irgendetwas zu sagen.

F: Warum habt ihr euren „Canary“ nicht aktualisiert?

A: Im Winter 2016 wurde der „Canary“ nicht rechtzeitig aktualisiert. Der „Canary“ war so breit angelegt, dass jeder Versuch, einen neuen herauszugeben, ein Verstoss gegen die „Gag-Order“ bzgl. der Ermittlung gegen ein DDoS-Erpresserring und eine Ransomware-Operation gewesen wäre. Dies ist nicht wünschenswert, weil es, wenn eine Reihe von kleineren Dingen passiert, dazu führt, dass die Nutzer_innen annehmen müssen, etwas grosses sei passiert.

F: Warum erwähnt der neue „Canary“ nicht „Gag Order“, FISA-Gerichtsanordnungen, National Security Letters usw.?

A: Unsere ursprüngliche „Canary“-Strategie hat unseren Nutzer_innen geschadet, indem es sie unnötig in Aufruhr versetzt hat, als kleinere Dinge passiert sind. Ein „Canary“ soll den Nutzer_innen ernsthafte Bedrohungen signalisieren, doch es besteht die Gefahr, dass den Nutzer_innen falsche Dinge vermittelt werden oder ohne guten Grund allgemeine Furcht und Verwirrung gestiftet wird. Der aktuelle „Canary“ ist auf bedeutende Ereignisse beschränkt, die die Sicherheit der Nutzer_innen von Riseup gefährden könnten.

Riseup wechselt zu verschlüsselten E-Mails | Untergrund-Blättle

Antwort auf juristische Anordnung Riseup wechselt zu verschlüsselten E-Mails