Torはこれまでずっと、匿名通信の定番的なサービスだった。しかし、だからこそTorは、NSAやFBIにとっておいしいターゲットのひとつだった。でも、今度MITで作られた新しい匿名化プロトコルは、こんな、金も権力もたっぷりある攻撃者に対して、Torよりももっとしなやかで強いかもしれない。
Torの問題は、敵がネットワーク上の十分にたくさんのノードにアクセスできれば、パケットがどこをどう辿って来たかを、調べられることだ。通信の内容は分からなくても、パン屑をたどることによって、最初の送信者を突き止められるだろう。少なくとも、理論的には。
そこでMITの院生Albert Kwonが率いるチームはスイスのEPFL(国立工科大学)と協働して、Torの匿名化技術を跳び越えるためのまったく新しいプラットホームRiffleに取り組んでいる。
Kwonはこう言う: “Torは攻撃の隙(すき)を作らないため、レイテンシーをできるかぎり低くしようとしている。Riffleのねらいは、できるだけ多くのトラフィック分析に対して、抵抗性を持たせることだ”。
Torは”The Onion Router”(玉ねぎルーター(router, 経路作り))の頭字語で、メッセージをまるで玉ねぎのように複数の暗号化層で包む。Riffleはこれに加えて、攻撃者を困らせるための二つの方法を導入している。
まず、受信したメッセージの順序をサーバーが変えて次のノードに渡す。そのようにして、メタデータを利用して入信と送信のパケットを調べようとする行為を、妨害する。
また、本物のメッセージをダミーに置き換え、それを追ってターゲットを捉えようとする悪質なサーバーを、二段階で防ぐ。まずメッセージは、一つではなく複数のサーバーへ送られる。そして、送信メッセージを、そのサーバーが受信したメッセージであることを証明できるための、それ単独で真偽を検証できる数学的証拠で署名する。このようにすると、メッセージに手を加えたサーバーを一度に見抜くことができる。
これらのテクニック…mixnetsとdining-cryptographerネットワーク(DCN)…はどちらも前からあるが、深刻な欠陥が両者の採用を妨げていた。二つを同じシステムで使うなんて、ましてや…である。DCNはスケーラビリティがなくて帯域を大食らいする。mixnetsが必要とする証明は、計算が高価すぎて低いレイテンシーを維持できない。
Kwonらのチームは、これらの弱点を避けることのできる実装方法を考案した。その技術的詳細はこのペーパー(PDF)に載っているが、そのキモは、公開鍵と秘密鍵(対称鍵)を併用することだ。それは、Webで使われているやり方と、あまり変わらない。
古い技術をこのように変えることによって、それらを実装したネットワークはアクティブとパッシブの両方の攻撃に耐性を持つだけでなく、スケーラビリティもよくて、処理時間も多くない。彼ら研究者たちの推計では、数百名のユーザーによるファイル共有が理論値で100KB/s、マイクロブログのように帯域集約的ではない使い方では、10万名のユーザーを10秒未満のレイテンシーで扱える。
Kwonによると、開発と試行に利用したのはギガビットLAN上の3台のサーバーだが、意外にも、サーバーを増やすと、ある面では性能が低下した。
“サーバーが多ければセキュリティは増すが”、とKwonは書いている。“しかしながら、パフォーマンスの点では、すべてのメッセージがすべてのサーバーを経由するのだから、サーバーが少ない方がよい”。
このプロトコルは、普遍的で大きなグローバルネットワークよりも、小さなセキュアなネットワークがねらいだが、でもほとんどの国や地域社会で、匿名ノード10万は十分な数だろう。
Riffleのダウンロード可能なバージョンはまだないが、Kwonによると、現状はプロトタイプだから、公開するためにはまずコードの掃除が必要、ということ。商用化の計画はないし、Torを置換する気もない。もちろん、ある面では、Torよりもずっと優れているのだが。
TorとRiffleの両者について、“設計目標は互いに排他的(両立しない)面もあるが、しかし一方ではそれらは互いに補完的でもあり、Riffleのセキュリティと、Torの大きな匿名集合の両方を利用できる”、とKwonは書いている。
Kwonのサイトをときどき覗いて、今後のアップデートに注目したい。
