30
NSAが解読できないオープンソースのプライバシーツール:OTR、PGP、RedPhone、Tor、Tails

Torプロジェクトの中核メンバーであり、現在はデア・シュピーゲル誌やローラ・ポイトラス氏とともにスノーデン文書の分析に取り組んでいるジェイコブ・アッペルバウム氏は、カオス・コミュニケーション会議での最近の講演で、NSAが解読できなかったツールを示す文書をいくつか公開した。

OTR

OTR(Off The Record)は、すべてのメッセージを新しい鍵で暗号化する機能(Perfect Forward Secrecyと呼ばれる機能)と、もっともらしい否認性(メッセージを送信したのが自分であると証明できないこと)を備えた暗号プロトコルです。このプロトコルは、デスクトップ版のPidgin、Jitsi、Adium、モバイル版のCryptoCat、ChatSecureなど、複数のクライアントで使用されています。

TextSecureも以前はAxolotlを使用していましたが、より現代的なAxolotlプロトコル(最近Whatsappも採用)に変更しました。Axolotlは非同期通信(相手がオフラインでもメッセージを残すことができる)の利点があります。OTRベースのクライアントでは、ユーザーはメッセージを受信するためにオンラインである必要があります。スノーデン文書にはTextSecureのAxolotlに関する記述はありませんでした。なぜなら、文書は2012年以前のものであり、Axolotlが存在しなかったからです。

PGP

フィル・ジマーマン(現在はサイレントサークルで勤務)が考案したPGP(Pretty Good Privacy)プロトコルは20年以上も前に開発されましたが、時の試練に耐えてきたようです。アペルバウムとローラ・ポイトラスが公開したスノーデン文書は、NSAでさえPGPを解読できないことを示しました。

しかし、PGPには少なくとも2つの大きな弱点があります。1つは技術的な問題で、もう1つはユーザーエクスペリエンスに関するものです。PGPメッセージは「前方秘匿性」が確保できないため、鍵が盗まれると、それ以前のメッセージはすべて復号化されてしまいます。UXの問題については、グレン・グリーンウォルド氏がPGPを正しく設定できなかったために、スノーデン文書に関する報道を危うく見逃しそうになったことは、今や周知の事実です。現状では、ほとんどの人にとって使いこなすのが難しすぎます。

幸いなことに、複数の個人や企業が、より使いやすくするために取り組んでいます。その一つがGoogleで、メール用の「エンドツーエンド」拡張機能を開発しています。しかし、正式リリースまでには少なくとも1年かかると予想されます。また、オリジナルのPGPと同等の安全性を維持できるのか、それとも使い勝手が向上した新しい設計とともに新たな脆弱性が生まれるのか、まだ分かりません。とはいえ、今のところは期待できそうです。

レッドフォン

ジェイコブ・アッペルバウム氏が閲覧した文書では、RedPhoneは、その破られやすさから「壊滅的」と評されています。RedPhoneとiOS版Signalは、Phil Zimmerman氏、Jon Callas氏(ともにSilent Circle所属)をはじめとするセキュリティ研究者によって開発されたZRTPプロトコルを採用した暗号化音声アプリです。Silent Circleの「Silent Phone」もZRTPプロトコルを採用しています。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

トル

Torは、ユーザートラフィックをリダイレクトする5,000以上のリレーネットワークであり、オンラインの匿名性を実現します。TorとTorブラウザはNSAにとって多くの問題を引き起こし、一般的にユーザー追跡を非常に困難にしているようです。しかし、Silk Roadをめぐる最近の摘発事例などから、NSAが特定の標的とした場合、Torユーザーを特定できることが分かっています。

標的がTorブラウザを最新のパッチを適用した最新バージョンにアップデートしていないためにこのような事態が発生する場合もありますが、実名や住所に紐付けられるアカウントでログインするなど、本来は犯してはいけないミスを犯す場合もあります。総じて、Torは依然として大多数の人々にとって、最もプライバシーに配慮し、検閲に強いツールです。

テイルズ

Tailsは、特定の人物の個人情報を盗聴しようとする者がTor経由でのみ動作するようにカスタマイズされたLinuxディストリビューションです。言うまでもなく、Tailsを実行しているマシンをメインマシンとして使用すべきではありません。なぜなら、TailsからFacebookやGmailにログインしてしまうと、システムが提供する匿名性が完全に無意味になってしまうからです。

セキュリティ強化のため、TailsはDVDから使用できます。これにより、ユーザーの個人情報を漏洩させるマルウェアがDVDに書き込まれることはありません。そのため、Tailsを使用するたびに、クリーンインストールした状態と同じ感覚で使用できます。

これらのプロジェクトに共通するのは、いずれも数十億ドルの利益を上げる大企業によって開発・保守されていないという点です。NSAを阻止しているのは、Apple、Google、Microsoft、Facebookといった企業のセキュリティではなく、NSAの大規模監視プログラムにブレーキをかけている個人によって開発された無料のオープンソースツールなのです。

@tomshardware 、  Facebook  、  Google+でフォローしてください 

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Deals
Posted by Lorlink