エンドツーエンド暗号化チャットアプリケーション「Signal」を開発する非営利団体 Open Whisper Systems は、同アプリに待望の新機能「Snapchat のような消えるメッセージ」が追加されたと発表した。
Signalアプリは、当初「Axolotl」という名称だったエンドツーエンド暗号化(E2EE)プロトコルを導入しました。これは後に「Signal」プロトコルに改名されました。これは、以前から人気があった「OTR」(Off The Record)と呼ばれるE2EEプロトコルからの大幅なアップグレードでした。
SignalはOTRと同様に、前方秘匿性(鍵ローテーション)をサポートしています。ただし、OTRとは異なり、非同期メッセージ(メッセージの受信にオンラインである必要はありません)もサポートしており、グループメッセージもエンドツーエンドで暗号化されます。
このプロトコルは、セキュリティや暗号化の専門家から最先端のものとみなされており、そのため、Silent Circleの「Silent Phone」、WhatsApp、GoogleのAllo、Facebook Messenger(ただし、後者2つでは会話ごとに手動で有効にする必要がある)などのアプリや、一部の大統領候補者によってすでに採用されている。
E2EE 対自己破壊メッセージ
長い間、メッセージが消えたり自動消滅したりするチャットアプリは、多くの一般ユーザーの間では「プライバシーに配慮している」と考えられてきました。自動消滅メッセージのアイデアは、様々なスパイ映画によって広く知られるようになりました。
このため、強力な E2EE を備えながらも消えるメッセージがない Signal のようなアプリは、エンドツーエンドの暗号化をまったく使用せず、デフォルトで自己消滅メッセージをサポートする Snapchat などのアプリよりもプライバシーに配慮しているのではないかと多くの人が疑問を抱いています。
そのうち 1 つだけを選択しなければならない場合、E2EE を備えたアプリがほぼ必ず勝つはずです。少なくとも、嫉妬深いガールフレンドやボーイフレンドが電話を覗き見することではなく、巧妙な攻撃者が私たちの通信をスパイしようとする場合です (ただし、Signal 自体はパスワード ロックを使用してこれを防御することもできます)。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Snapchatなどのアプリでは、消えるメッセージはネットワークを介して他のユーザーに届くまで、自動的に自動消去シーケンスが開始されません。高度な技術を持つ攻撃者がMITM(中間者)攻撃によってメッセージを傍受できれば、メッセージは攻撃者の手に渡ります。このような攻撃は数百万人規模のユーザーに対して大規模に実行することも可能ですが、エンドツーエンドで暗号化されたメッセージは、各デバイスをハッキングすることによってのみ復元可能です。
シグナルの「消えるメッセージ」
消えるメッセージは、「スパイ映画レベルの極秘」メッセージとして認識されている価値を超えて、実際に提供されるセキュリティとプライバシーの点でかなりの実質的な価値があります。
保存場所を問わず、メッセージは最低限の「データ衛生」さえ確保されていなければ、盗難や漏洩のリスクにさらされます。しかし、たとえ自分の保存メッセージを定期的に削除していたとしても、会話に参加している他のメンバーのデバイスにはメッセージが残ります。Signalの消えるメッセージ機能を使えば、会話に参加しているいずれかの人がタイマーを有効にすると、会話に参加しているすべてのデバイスからメッセージが削除されます。タイマーはデフォルトで無効になっていますが、アプリの設定で5秒から1週間まで有効にすることができます。
その後、タイマーの影響を受けるメッセージには「満杯」の砂時計アイコンが表示され、指定された時間が経過するにつれて徐々に空になっていきます。完全に空になると、メッセージはすべてのパーティのデバイスから消えます。
セキュリティコードの検証が簡単になりました
Signalは、暗号によるユーザー認証の新しい形式を導入しました。最近まで、アプリは16進数形式を使用していましたが、これは電話で読み上げるのが困難でした。今回の変更ではQRコードもサポートされ、ユーザーが対面で確認する際にも認証が容易になります。これらの認証機能は、今年初めにWhatsAppにも実装されました。
暗号検証は、真のプライバシーとメッセージのセキュリティを確保するために不可欠です。なぜなら、中間者攻撃(MITM)攻撃を実行できる高度な攻撃者は、あなたが連絡しようとしている相手になりすまそうとする可能性があるからです。その場合、メッセージは暗号化されたままですが、誤った相手に届けられてしまう可能性があります。
消えるメッセージと「安全番号」機能は、Android、iOS、デスクトップのすべての Signal ユーザーが利用できるようになりました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
