法庭文件意外揭發︰FBI為調查斯諾登 曾迫加密電郵公司交出密鑰

法庭文件意外揭發︰FBI為調查斯諾登 曾迫加密電郵公司交出密鑰
Photo Credit: Mark Blinch / REUTERS / 達志影像
我們想讓你知道的是

法院近日公開文件時,意外洩露了兩年半前FBI為調查斯諾登,曾以強硬法律手段要求加密電郵服務商Lavabit交出資料。最終Lavabit創辦人利維臣把該公司關閉,至今仍受禁言令限制,無法談論案件詳情。

唸給你聽
powered by Cyberon

Lavabit這家已經關閉的電郵服務公司,相信大部份人也聞所未聞,卻非常重要。最近一份法院文件意外證實一個傳聞︰Lavabit的關閉跟揭發美國國安局(NSA)大規模監控計劃的斯諾登(Edward Snowden)有關。

斯諾登的電郵

在蘋果與FBI就用戶私隱在法院拉鋸的今天,Lavabit創辦人利維臣(Ladar Levison)的類似經歷更值得記住。2004年利維臣因為關注Gmail等免費電郵服務的私隱問題——例如使用電郵內容來安排廣告——而成立Lavabit,提供以保護用戶私隱為主打的電郵服務。

Lavabit提供免費及付款的帳戶,電郵戶口容量由128MB至8GB不等。直到2013年8月前,Lavabit已有約41萬用戶,當中最著名的用戶當數斯諾登。2013年7月,斯諾登揭露NSA監控計劃及身份曝光後約一個月,以電郵邀請人權律師及行動者到他滯留的莫斯科謝列梅傑沃機場出席記者會。當時斯諾登所使用的電郵帳戶,正是「ed_snowden@lavabit.com」。

FBI登門造訪

同年6月28日,就在斯諾登身份曝光後數星期,有FBI探員上門找利維臣,要求他在伺服器中安裝有關設備/程式,收集用戶的後設數據(metadata)——包括電郵的收發對象、登入者的IP地址等不直接顯示電郵內容、使用者身份的數據。

言談間探員更希望利維臣交出Lavabit的SSL密鑰——讓用戶跟伺服器連線時加密通訊的工具——這使FBI有能力得到不只一個用戶,而是所有Lavabit用戶的通訊數據甚至密碼,從而閱讀到電郵內容。

FBI的要求來自「記錄器手令」(pen register order),由於只要求後設資料,不涉及通訊內容及個人身份的數據(但後設資料已包含大量私隱,可以推算出用戶身份),FBI無須證明監控對象涉嫌犯罪已可發出手令。

拒絕服從至「妥協」

與此同時,FBI入稟法院要求Lavabit執行手令,當時法院判決Lavabit若不執行就可能因藐視法庭而面對刑事後果。同年7月9日,當局發出傳票要求利維臣在7月16日於法庭上解釋為何未有執行手令。

兩日後當局發出另一手令,要求利維臣交出Lavabit的SSL密鑰,其後再發出搜查令要求取得密鑰。換言之美國政府在不足一個月內,使用多個方法迫使利維臣交出資料,然而利維臣不像蘋果般有法律團隊及龐大資源去應付訴訟。

在法律要求下,利維臣以4點大小列印出共2560字長的密鑰,使FBI得物無所用。其中兩頁如下(取自法院公開文件)︰

同年8月初,法官下令利維臣必須以標準的電子格式提供密鑰,並由當日開始每天罰款5000美元,直至他交出密鑰為止。兩日後利維臣交出密鑰,同時立即關閉他用10年時間建立的Lavabit。

利維臣在網站上的關閉聲明中提到他會上訴,假如得直的話便可以重開Lavabit。另外他亦提到此案的經驗讓他明白,在國會缺乏相應行動或法院未出現強而有力的判例前,他強烈反對任何人把私隱資料交予跟美國有聯繫的公司處理。

禁止公開案情

2014年4月,利維臣上訴失敗。即使他以關閉Lavabit作為抗議,事件仍未結束。法院禁止利維臣談論此案內容,包括FBI希望取得資料的相關用戶是誰,否則他或會被控藐視法庭而入獄。而此案的法庭文件在公開時,涉案的電郵地址均遭塗黑,這使利維臣難以像蘋果一樣尋求輿論支持。

利維臣。Photo Credit: Gage Skidmore, CC BY-SA 2.0

不少人相信案件跟斯諾登有關,畢竟FBI登門造訪利維臣前不久,斯諾登曾揭發了NSA的大型監控計劃,而且他使用Lavabit的服務也不是甚麼秘密。不過一直未有證據,而利維臣亦守口如瓶。

去年12月,利維臣向法院申請撤銷禁言令,務求可以公開此案詳情。今年1月7日,法院駁回利維臣的申請,但要求當局在遮掩該名用戶的身份及電郵地址後,重新發放此案所有訴狀、抄本及令狀。而在控方要求下,法院同意遮掩其他可能損害調查該名用戶的資訊。

一個錯漏

3月4日,相關文件上載至美國聯邦法院的電子記錄系統PACER,而專門收集關於言論自由、私隱、加密、國家安全等資訊的網站Cryptome,在3月16日把總共560頁、140MB的文件上載至網站。

《Wired》記者Kim Zetter迅速發現,文件中有一個電郵地址未有塗黑︰ed_snowden@lavabit.com。這個錯漏讓公眾能夠確認,FBI的確希望取得斯諾登的電郵資料,不惜以咄咄逼人的法律手段,要求利維臣交出資料。

利維臣在得悉此事前,曾對《Wired》記者說︰「三年後,我仍然無法告訴你他們的目標是誰。我一直被問及此事,而我無法回答」。他的律師透過電郵向《Wired》表示,基於法庭命令,Lavabit對於未有塗黑的電郵沒有任何評論。

相信利維臣再也不用回答這個問題了。

或許你會想看
更多『新聞』文章 更多『新聞』文章 更多『Kayue』文章
Loader