「黄金の鍵」は暗号化の問題を解決する鍵なのか

各国政府は、通信の暗号化が強力すぎて、犯罪捜査などで必要な情報にアクセスできない、と主張しています。企業に対し、いつでも通信を復号できる「黄金の鍵」を提供せよというのです。

golden-key-featured

先日のテロ事件を受け、オンライン通信手段の暗号化を批判する声が再び大きくなりました。しかし、提案されている解決策では、かえって多くの問題が生じる恐れがあります。

ロシアや米国、中国、英国をはじめとした世界各国の政府は、「人々の通信が強力に暗号化されているため、必要な時に政府がアクセスできない」という決まり文句を繰り返しているようです。そのことが小児性愛者やテロリスト絡みの事件において警察の捜査の妨げになっているため、「何らかの手立てを講じる必要がある」というのです。

政府が提案する解決策は基本的に、既存の暗号化システムには多少の脆弱性があり、国家機関が必要に応じて通信内容を傍受する機会があるはずという前提に立っています。

最近のワシントンポスト紙の記事では、このアプローチを「Golden Key(黄金の鍵)」という気の利いた名前で呼びました(英語記事)。記事では、過去に誘拐などの犯罪事件で「黄金の鍵」システムが導入されていないために捜査官が捜索に行き詰った事例をいくつか紹介し、Google、Apple、Facebook、TelegramなどのIT企業はすべてこうした「黄金の鍵」を政府に提供すべきだと述べています。

ここでは倫理的な問題は置いておくとして(そうしないと、いつまでたっても話が終わらないでしょうから)、高潔な警察官が黄金の鍵を持つようになれば、悪人がその鍵にアクセスする可能性も大いにあるのではないでしょうか。

これまでに「黄金の鍵」というアイデアが実用化された例は少なからずあります。最もよく知られているケースは、米国運輸保安局が考案したTSAロックでしょう。TSAロックのコンセプトは単純です。旅行者の荷物をTSA承認済みの錠前で施錠すれば、検査官が荷物検査の必要があると判断したときにその錠前の鍵穴を使って(こじ開けなくても)解錠できる、というものです。大半の種類の錠前に使えるマスターキーが10種類用意されています。このアイデアは、「マスターキーにアクセスできるのはTSAのみであり、スーツケースの中身を盗もうとする犯罪者は何か別の手段で錠前破りをしなければならない」という前提で成り立っています。

ところが先日、すべてのTSAキーの写真が、その後さらに3Dデータがオンラインに流出しました。現在、中国のいくつかのオンライン市場でTSAキーの全セットが販売され、誰でも入手できるようになっています。一体どうすればこうした事態を収拾できるのでしょうか?残念ながら、特に有効な対策はありません。世界中のスーツケースの錠前をすべて交換するなど、できない相談です。

https://twitter.com/J0hnnyXm4s/status/642396940261531648

そのようなシステムはAppleのApp Storeのようなアプリストアでも導入されています。この場合、セキュリティの仕組み全体が、アプリを公開できるのは社員のみという原則に基づいています。社員がまずマルウェアの有無をチェックし、その上でデジタル証明書を使って署名するというやり方です。

Appleのキーが不正アクセスされたのではなく、何者かが厳格なセキュリティチェックを迂回する方法を見つけたに違いありません。それを利用したサイバー犯罪者に一部の開発者が騙され、改竄されたXcode開発フレームワークをそうとは知らずに使用した結果、偽装された悪意あるコードがアプリに挿入されました(英語記事)。Appleのセキュリティエンジニアがこの問題を発見した時には手遅れで、かつては難攻不落の要塞だったApp Storeに、悪意あるアプリが氾濫することになりました。被害に遭ったアプリの中には、かなり人気のあるメッセンジャーもありました。

ここで技術の歴史を振り返り、かつて大々的に宣伝されたDVDの暗号保護技術について考えてみましょう。20世紀後半、DVDには悪名高いCSSに基づく暗号保護が施されていました。CSSは、地域ごとにDVDコンテンツへのアクセスを制限するためのアルゴリズムです。この技術の不名誉な結末をご記憶の方も大勢いることでしょう。デジタル活動家がいくつかの鍵の暗号を解読し、結果を公開して誰でも自由に使えるようにしたのです。今ではDVDはCSSのリージョンコードに関係なくどこでも見ることができます。

4e759eef8e

DVDの保護解除コードがプリントされたTシャツまで出回った

こうした例からは、シンプルな教訓が得られます。善人が必要な情報を持ち、悪人は持たないという前提のシステムは遅かれ早かれ破綻する、という教訓です。悪人が鍵を手にすれば、一般市民のデータをあの手この手で侵害する可能性があり、悪人に対して開かれている可能性は警察や政府の職員が持つ可能性と比べて決して小さくはないのです。

これは実に憂慮すべき結果です。世界中のスマートフォンのファームウェアをすべて交換するのも、スーツケースの錠前をすべて交換するのと同じくらい難しいのですから。「黄金の鍵」への不正アクセスがもたらす損害は、政府が「黄金の鍵」を使うことで得られる利点を相殺して余りあるほど大きいでしょう。

そもそも、この「黄金の鍵」のアイデアがそれほど効果的でない可能性もあります。テロリストや犯罪者は、あまり使用されていないニッチな暗号化システムを使用して、公的機関の職員から自分の存在をまんまと隠し通しているのですから。そのことを踏まえて、政府はもっと市民のためになり、影響も少ない方法で、犯罪者に目を光らせる必要があるでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?