タグ: encryption

Hillary Clintonがテクノロジー政策の基本方針を発表…教育の重要性を強調

U.S. Democratic presidential candidate Hillary Clinton speaks at Galvanize, a learning community for technology, in Denver, U.S. June 28, 2016. REUTERS/Rick Wilking

接続性*と教育と起業精神、これらが、今日(米国時間6/28)デンバーのスタートアップインキュベーターで披露されたHillary Clintonのテクノロジープラットホーム(technology platform, テクノロジー政策綱領)の原則だ。〔*: connectivity, インターネットの日常利用〕

テクノロジーに関する重要な発表をシリコンバレーの外であえて行うねらいは、テクノロジー産業の成長を国の特定地域に限定せず全国的な展開へと民主化したい、という目的のためだ。

発表の中でClintonはこう述べた: “政策おたくと呼ばれてもいいし、こんな話は退屈かもしれない。しかし未来の経済を築いていくために重要なのは、私たちが実際に何をどうやるかだ”。

Clintonのテクノロジープラットホームは5つの分野に力を入れる:

・教育と研究開発への投資によりテクノロジー産業を拡大
・インフラストラクチャと接続性を全国的にアップグレード
・テクノロジー関連の問題や課題で諸外国との関係を改善
・著作権とネット中立性関連の法整備及び暗号化の研究
・政府データの一般公開

アメリカを再び偉大にしたいと言うことの真意は昔に戻りたいということだ。
— Hillary Clinton

予想されたように、Clintonのプランにはサイバーセキュリティに関する”マンハッタン計画“が含まれている。Clintonは、テクノロジーの関心と、法執行機関をも含むプライバシー勢力とのあいだのバランスを確立するために、全国委員会を作る、という。この民主党指名候補は昨年12月のディベートのときに、そのような委員会の創設に言及した。

そのとき彼女はこう言った: “テクコミュニティが持つ並外れた能力と、法執行機関からのもっともなニーズや疑問を対比すると、マンハッタン計画クラスのプロジェクトが必要ではないか、と思う。そこでは政府とテクコミュニティが敵対せず一体となり、互いにパートナーとして振る舞わなければならない”。〔マンハッタン計画は国と産業界と学術分野が一体となった国家的プロジェクトの例として、言及される。〕

またClintonのプラットホームは、最近FCCが制定してBarack Obama大統領が支持した、ネット中立性規則の支持を継続する。

Clintonは共和党の対立候補Donald Trumpの名前こそ挙げなかったが、彼に有意義なテクノロジー政策がないことを、ちょいとつつきたい、という誘惑には勝てなかったようだ:

“私はアメリカに、未来の仕事を取り戻してほしい。アメリカを再び偉大にしたい*と言うことの真意は昔に戻りたいということだ。それは、われわれアメリカ人が求めることではない。私たちは後戻りはしない。私たちは、前進しなければならない。知性と真の目的意識を持って、前進しなければならない”。

Clintonは彼女のテクノロジープラットホームの中でもとくに、教育と接続性を強調し、アメリカのすべての家庭と企業に高速インターネットを、と呼びかけた。Clintonが主張する高速な接続性の実現日限は2020年の前半だ。“一年を浪費するたびに、置いてきぼりにされる人びとが増えるのだ”、とClintonは述べる。

この元国務長官は、STEM教育をすべての高校で必須にすると主張し、また、若い起業家には奨学金債務の返済条件を緩和する、と語った。

リビアのBenghaziでアメリカ大使館員らが殺害された事件の調査報告書が今朝公表されたが、それに関する質問には、調査は何も新しい情報をもたらしていない、(この件を後にして)“先へ進むべきときだ”、とClintonは答えた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

イラン政府、メッセージングアプリのデータをイランのサーバーへ移動することを強要

whatsappcomplete2

イラン人ユーザーを持つメッセージングアプリは、1年以内にそのデータをイランのサーバーに移す必要がある、とReutersが伝えた。プライバシーの問題が起きることは必至だ。

イラン政府は、メッセージングアプリ上の、プライベートおよび準プライベートな会話を追跡できるようにしたがっている。イランでは多くのソーシャルネットワークが既にブロックされているが、政府はさらに管理を強めたいようだ。

メッセージングアプリの中でもWhatsAppとTelgramがイランでは非常に人気が高く、政府はそこで交わされる会話を監視することができない。ユーザーはTelegramでグループを作って何百という人たちとやりとりできる。

例によって、悪魔は細部に宿っている。サーバーをイランに移すだけでは足りないかもしれない。WhatsAppは最近エンドツーエンド暗号化の展開を完了した。この暗号化によって、WhatsAppは通信される会話を読むことすらできない。暗号化された会話を読めるのは、そこに関わるWhatsAppユーザーだけだ。

AppleのiMessageも、暗号化されたメッセージング手順の一例だ。Appleはメッセージを政府に渡すことができない。

同様に、Telegramはエンドツーエンド暗号化を有効にして、「秘密の会話」を開始できる。イランのTelegramユーザーがこの機能に気付いていれば、イラン政府はその会話を読むことができない。標準では、Telegramの会話はTelegramのサーバー上で暗号化されていない。

インターネットに制約のある他の国々と同じく、FacebookやTwitterのアカウントを作る術はある。VPN(Virtual Private Network)をインストールすれば、イランのISPはあなたがブラウズしているところを見られなくなる。そして今、イラン政府はメッセージングアプリと新たなイタチごっこを始めたがっている。

今日のニュースは、暗号化が表現の自由の基盤を成していることを改めて証明した。FBIが裏口を要求するたびに、世界中の、ただ政府を自由に批判できるようになりたい無数の人々も危険に曝される。

[原文へ]

(翻訳:Nob Takahashi / facebook

デベロッパーが自分のアプリ/アプリケーションのメッセージングの暗号化を数時間で実装できるTwilio/Virgil Securityのパートナーシップ

virgil-twilio

[筆者: Kate Conger]
通信の暗号化を自分でセットアップするのは、かなり難しい。これまで、メール用にPGPをセットアップしたり、オフレコのチャットをPidginで実装したことのある人なら、それが面倒で苦労の多いプロセスであることをご存知だろう。しかし幸いなことに、暗号技術者たちはそれをもっと容易にしようと努力している。そして彼らとのパートナーシップにより、アプリケーション/アプリのデベロッパーは自分のプラットホームに暗号化を、より簡単に組み込めるようになるだろう。今日(米国時間5/3)は、クラウドベースの通信プラットホーム〔通信APIのプロバイダー〕Twilioが、デベロッパーが強力な暗号化を自分のメッセージングサービスに組み込めるために、Virgil Securityとパートナーする、と発表した。

TwilioのAPIを利用すればデベロッパーは自分のアプリケーションにテキストメッセージングや音声通話、音声チャットなどの機能を容易に加えることができるが、それと同じようにVirgil Securityはデベロッパーが、自分のプロダクトにエンドツーエンドの暗号化と暗号鍵の管理機能を加えられるようにする。両社のパートナーシップによってデベロッパーは、自分のチャット機能に暗号化を、ほんの数時間で統合できるようになる。

Virgil SecurityのファウンダーDimtry Dainは曰く、“あらゆるデベロッパーを暗号技術者にしたいんだよ。Twilioはこれまでの努力によって、あらゆるデベロッパーを通信の専門技術者にしてしまった。Virgilはそれと同じことを、セキュリティに関してやってきた”。

悪い人たちや政府機関などによる、セキュリティとプライバシーの侵犯が日常化している今日では、強力に暗号化されたメッセージングアプリへの需要が高まっている。Facebookがオーナーである人気のメッセージングサービスWhatsAppは、エンドツーエンドの暗号化を4月に開始した。同じ月に、Viberもその後を追った。どちらも、暗号化システムの自社開発に数年を要した、と言われている。Twilio-Virgilのパートナーシップにより、スタートアップはほんの数時間で、自分たちのアプリケーション/アプリに暗号化メッセージングの機能を加えられるだろう。

もちろん、Virgil Securityの暗号化プラットホームを数百もの企業が利用するようになれば、同社の主張するセキュリティがますます重要になる。エンドツーエンドの暗号化は、正しく実装されれば、ユーザーのメッセージのコンテンツは、二つの‘エンド’(送信者と受信者)以外の者には解読できなくなる。メッセージングサービスのプロバイダにすら、それは解読できない。そしてこの、セキュリティの重要性があるからこそ、DainはVirgilの暗号化プラットホームをオープンソースにして、誰でもいつでも監査できるようにしているのだ。

Twilioは、同社のクライアントの多くが、同社のIPメッセージングサービスの中で暗号化を実装するものと期待している。Twilioの役員たちによると、とくに最近では医療と金融業界で強力なセキュリティへの需要が増加している、という。どちらも、データのセキュリティを確保することが法的にも要請されている業界だ。

しかしもちろん、Twilioのそのほかの顧客たちも、これからは自分のメッセージングシステムにエンドツーエンドの暗号化を加えることができる。“そのためには、(自分のアプリケーションの)ちょっとした再実装が必要になる”、とTwilioのCarl Olivierは語る。“でもこれは、事後実装できるものの典型だね”。

TwilioはIPメッセージングへの暗号化の導入を重視しているが、今後はIoTデバイスの真正証明という大きな用途があり得る。また今のUberは、運転者から利用客へのテキストメッセージングを暗号化していない。AppleのSMSメッセージングアプリは、デベロッパーが手を加えることができないのだ。

Twilioは、Virgil Securityの暗号化技術をデベロッパーが自分のアプリケーション/アプリに統合するためのチュートリアルを、GitHubから提供している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

HTTPSの証明を無料で発行するLet’s Encryptがベータを終了、年初には同機関自身が悪用を経験

screen-shot-2016-04-12-at-6-00-55-pm

無料のデジタル証明を提供して、より多くのWebサイトが接続を暗号化できるようにしよう、という趣旨のイニシアチブLet’s Encryptが、立ち上げから6か月を過ぎた今日(米国時間4/12)、ベータを終了した。Let’s Encryptの基本的な考え方は、リソースが乏しくて公開鍵の証明を自力でできない小さなサイトに、自動化されたサービスを提供することだ。

支援組織Internet Security Research Group(ISRG)の一員であるMozillaによると、この6か月で同機関は170万あまりの証明を発行し、およそ240万のドメインネームの、HTTPS接続の確保を助けた。最近の例では、WordPressもそんなサイトのひとつだ

暗号化された接続が数百万増えたといっても、しかしそれは、セキュアでないオンラインコンテンツの大海に落ちた水一滴にすぎない。Mozillaによると、2015年12月では、ページビューのわずか40%が暗号化され、オンライントランザクションの65%がセキュアなインターネットプロトコルであるHTTPSを使った。

ISRGに加わった企業や団体は、Mozillaのほかに、Cisco, Akamai, Electronic Frontier Foundation, IdenTrustなどだ。正規会員のほかに、Chrome、Facebookなどスポンサーも多い。

セキュアでないWeb接続にはプライバシーのリスクが当然あるだけでなく、ハッカーたちや、そのほかのタイプののぞき屋からの被害もありえる。Googleは同社のChromeブラウザーでセキュアでない接続を警告して、ユーザーがなるべくHTTPSでないWebサイトにアクセスしないようにしている。また、Webサイトの多くがセキュアな接続に移行するよう、奨励もしている。後者は、Googleの利益にもかなうことだ。

Let’s Encryptはなるべく多くのインターネット接続に鍵をかけるという、有意義な目標を掲げているが、セキュリティ企業のTrend Microが指摘したように、この機関自身も悪用に対する完全な免疫を持っていない。Trend Microが今年の初めに発見したのは、悪意ある広告主たちが‘domain shadowing’ というテクニックを使って、Let’s Encryptを利用して証明されたドメインのサブドメインを作り、そこに、銀行のトロイの木馬をホストしているサイトへのリダイレクトを挿入した、というものだ。

Trend Microはこう言っている: “善意ある技術でも、サイバー犯罪によって悪用されることがありえる。Let’s Encryptのような機関からのデジタル証明も、その例外ではない。証明を自動的に発行する証明機関が、それらのサブドメインの証明をうかつにも発行したため、サイバー犯罪を助けることになった。ドメインのオーナーはその問題に気づかず、予防もできなかった”。

“ユーザーは、‘セキュアな’サイトが必ずしも安全なサイトではないことに、留意すべきである。われわれの見解としては、悪用に対する最良の防御は、ソフトウェアをつねにアップツーデートに保って、悪用されうる脆弱性の数を最小化することである”、とTrend Microは付け加えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

iMessageの写真、ビデオ、ファイルの暗号化が解読されるセキュリティホールが見つかる

encryption

暗号化は猫と鼠のゲームだ。Johns Hopkins University(ジョンズホプキンス大学)の研究者たちが、そのことを証明するすごい方法を見つけた。彼らが Washington Postにシェアした研究によると、iMessageで送った写真やビデオやファイルの中身を見られてしまう、深刻なセキュリティホールが見つかったのだ。

iMessageは最初から、暗号化されたメッセージングプロトコルだ。ユーザーがiMessageを送ると、デバイスはAppleのサーバーとのセキュアな接続を開く。メッセージはユーザーのスマートフォン上で秘密鍵を用いて暗号化され、Appleのサーバーへ送られ、相手に届く。そして彼/彼女のスマートフォン上で、メッセージは解読される。

したがってユーザーのメッセージはAppleのサーバー上では解読不能な寝言の集まりだ。Apple自身は、メッセージを解読するための鍵を持っていない。

しかしJohns Hopkins Universityの研究者たちは、ホールを見つけた。メッセージは解読できないが、写真やビデオやファイルを横取りする方法を見つけたのだ。

ファイルは、64ビットの暗号鍵による弱い暗号化方法を使ってきた。研究者たちは、Appleのサーバーのふりをして暗号化されているファイルを横取りするサーバーを開発した。そしてAppleは失敗回数を制限していないので、彼らは何千もの鍵を試した。この力づくのやり方で研究者たちは、誰にも気づかれずに、Appleのサーバーからのファイルを解読できた。

Washington Postによると、すでにiOS 9以降では、デバイスから来るファイルを解読することは困難になっている。しかしそれでも、NSAなどなら解読できるだろう。政府機関やハッカーが、この方法を実際に使っているかは、不明だ。

幸いにもAppleはすでに対策を開発し、今日(米国時間3/21)リリースされるiOS 9.3にはそれが実装されている。ハッキングのやり方は公表されていないし、Appleがそのセキュリティホールを閉じたら研究チームはホワイトペーパーを共有する予定だ。

このハックは、暗号化が完全ではありえないことを、あらためて証明している。セキュリティホールはつねにあり、ハッカーたちはそれを見つける。そしてAppleのような大きなソフトウェアメーカーは、ホールを塞いでハッカー鼠たちを追い払おうとする。だから、ご自分のデバイスにパッチをインストールすることは、とても重要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Box KeySafeは、中小企業の暗号鍵管理を容易にする

shutterstock_261743183

Boxは今日(米国時間2/4)、新しいサービスBox KeySafeを発表した。暗号鍵の管理を容易にして、暗号化は必要だが、BoxのハイエンドサービスであるEnterprise Key Managementは複雑すぎる、という中小規模企業(SMB)を対象にしている。

規制の厳しい業界では、クラウドへの移行を望みながらも、セキュリティーとガバナンスの要件のために思いとどまる企業が多い。昨年Boxは、Box Enterprise Key Managementを開発してセキュリティー障壁を取り除く第一ステップを進めた。

これによって投資銀行やエネルギー会社、医療組織等の大企業は、Boxのサービスを利用しつつ、暗号鍵を厳密に管理することが可能になる。それは大型のITチームを擁する大型組織にとっては良いソリューションであったが、Amazon Web Server上に専用の暗号鍵管理サーバーを構築するのに何週間もかかるなど、中小企業の手には届かなかった。

Box CEOのAaron Levieによると、同社は法律事務所や銀行等から、同じ機能は欲しいが複雑な管理部分には関わりたくないという声が集まった。

そこで今日発表されたサービス、Box KeySafeの開発に至った。これはエンタープライズ版に似ているが、専用の暗号鍵サーバーを必要としない。代わりにBoxは、その管理コンポーネントをAmazon Web Serviceのクラウドサーヒスとして設定することで、一週間かかっていた設置時間が約1時間に短縮された、とLevieが説明した。

関連記事

Box Introduces New Client-Controlled Encryption Tool To Bring Stragglers To The Cloud
A Year After IPO, Depressed Stock Price Not Bringing Box CEO Down
Box Breaks Out Of Application Box With New Developer Edition
Box's New Platform Product Is Now Generally Available

大企業と同しようにデータを管理したいが、大企業並みの要件を求められて利用をためらってきたSMBが多いことから、これは重要である。Boxのようなクラウドサービスの利用を控えてきた会社も、暗号鍵管理システムがあれば使えるようになる。こうしてBoxサービスの市場を拡大する可能性が生まれることで、同社が低調な株価を取り戻すのを助けることになるかもしれない。

KeySafeのしくみは貸金庫に似ている。開くには2種類の鍵が必要だ。Boxが一つの鍵でファイルを暗号化する。顧客は自ら管理するもう一つの鍵でそれを暗号化する ― 暗号化操作は監査可能なレポートに記録される。Boxがコンテンツを正しく管理している証拠を顧客が要求した場合、このデータポイントを見せればよい。

法律的視点で見ると、もし政府や警察当局がBoxにやってきて、特定のファイルを見せるよう要求した場合、Boxはファイルのオーナーを紹介する。なぜなら暗号鍵を持っていてBoxに保管されているコンテンツへのアクセスを管理しているのはオーナーだからだ。Boxは、銀行が持ち主の鍵がなければ貸金庫を開けられないのと同じように、暗号化されたデータを見ることができない。

また、この暗号鍵管理機能はBoxのデベロッパー版の一サービスとして提供される。そこには様々なBox機能がサービスとしてデベロッパーに提供されているため、Boxのコンテンツ管理やセキュリティー、暗号鍵等を、積極的にBoxを使うことなく自社アプリに組み込むことができる。

[原文へ]

(翻訳:Nob Takahashi / facebook

強力な暗号化は絶対に必要だ

encryption-1

世界には2種類の人間がいる。暗号化する人 、しない人。前者のグループは後者よりはるかに小さい。それは変わるべきなのだが、そうなりそうにない。つまるところ、暗号化の「マンハッタンプロジェクト」と言われているものに関する議論は実に不毛だ。暗号化のマンハッタンプロジェクトは、データをお菓子の箱くらい安全なパッケージに入れて世界中に送って平気な人々にとっては何の意味もないし、少しでも暗号化を理解している人にとってはまさに愚の骨頂だ。

真実はこうだ。人はそれが不便に至るまで暗号化を使う。あなたは私の公開鍵を使っていくらでも私宛にメールを送ることができるがメールの暗号化に関する私のチュートリアルもある)、あなたは強力な暗号化利用者という圧倒的少数派の一人であり、私のメール相手というさらに圧倒的少数派の一人だ。httpsは確かに普及しているが、本誌のサイトではデフォルトになっておらず、われわれの認証は出来が悪いらしいことに気付いた。政府がいかに暗号化を誤解しているかを笑うのは簡単だが、われわれがもし暗号化を使わなければ、政治家たちが揃って唱えるレベルそのものの情報透明化に自らを晒していることになる。

結局、暗号化はどうでもよいのかもしれない。Buckeyeキャンディーのレシピから目をそらす努力は無駄であり、被害妄想にすぎるのかもしれない。隠すものがなければ、ないものを隠す方法に期待すべきではないのかもしれない。

ちなみに私は、もっとずっと注意深くあるべきだ。特に自宅のパソコンやサーバーに関しては、かなり積極的な暗号化基準を適用しようとしているが、重要なものに対して強化していないことはわかっているし、実際これ以上強力にする方法を知らない。端的に言って、私は不便なレベルに至るまで暗号化した。私の場合そのバーは比較的高い。殆どの人たちのバーは不快なほど低い。

しかし心配はいらない。暗号化の世界には儲ける方法がある。政治家たちがマンハッタンプロジェクトに不平を言う間に、われわれは裏庭で原子炉を作って売るなりタダで配るなりすることができる。たとえば私はGPGToolsが大好きだ。私のメールアプリに直接組み込めて、ワンクリックでメールを暗号化できるからだ。Appleはボタン一つでディスク全体を暗号化できるオプションを提供している。Sucuriは私のWordPressインスタンスを無料安全にする方法を提供し、何が間違っているかを正確に教えてくれる。安全にチャットしたい時、私はiMessageの代わりにZendoを立ち上げる。そしてこれはほんの始まりにすぎない。

ウェブメールのメッセージを暗号化する方法が欲しい。FaceTimeやSkypeを暗号化する方法が欲しい。テキスト文書を書いたそばから暗号化する方法が欲しい。ジェイソン・ボーンのように感じられるように、不便さの閾知を高くしてほしい。Twitter上でNSAをあざ笑う代わりに、自分たちのツイートの暗号化を始めるべきかもしれない。Facebookでブライバシーの失敗を面白がるより、Facebookメッセンジャーでメッセージを暗号化する方法が欲しいかもしれない。IRCよりほんの少し安全な二流アプリを作るより、今使っているツールに強力な暗号化機能を組み込んでほしい。オープンでフリーの暗号化は存在するが、複雑で使うのが難しい。しかもわれわれ技術者は、その使い方をみんなに教えようとしない。重要なのは説明ではなく見せることであり、簡単で驚くことをやってくれるツールを提供することが最善の見せ方である。

もしAppleが簡単なやり方を提供していなければ、私は自分のディスクを暗号化しなかっただろう。そのためのボタンがなければメールを暗号化していなかっただろう。自分が悪いインターネット市民であることはわかっている。しかし、他の何億人も同じだ。私は自分のコミュニケーションを暗号化する差し迫った必要を感じたことがない。しかし、この怠慢な態度が後に災いを呼ぶことになるのは間違いないので、実行する準備はできている。あなたの次のスタートアッププロジェクトは、こうしたニーズに答えるものかもしれない。政府がわれわれの裏口から侵入しないことを信じるより、裏口のないものを作ろう。われわれが不便のハードルを上げた時、世界を成長させ、改善し、安全を保つ手助けできる。それはわれわれが市民として暗号家としてできる最低限の仕事だ。インターネットはわれわれを必要としている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Google Compute Engineの上でデベロッパが自前の暗号鍵を使えるようになる…それが必要な業界など向け

5399162987_5d0402e809_o

今日から(米国時間7/28)は、GoogleのIaaS Compute Engineを使っているデベロッパが、このサービスで自分独自のセキュリティキーを使える。この、暗号の鍵を顧客が供給する方式は、目下、公開ベータ中だが、データのセキュリティに関するコントロールをユーザ側に与えるものだ。

デフォルトではGoogleは、そのサービス上のすべてのデータをAES-256ビットの暗号化キーで暗号化し、(a)キー自身も暗号化され、(b)定期的にローテーションされる。今度の新しい(無料の)機能を使うと、ユーザが自分のキーを持ち込み、データの暗号化状態の管理を、そのぶん、より自由に行えるようになる。たとえば、データをいつ静止状態とみなすか、アクティブとみなすか、といった選択もデベロッパの自由になる。Googleはそのキーを保持しないから、同社の中の何人(なんぴと)たりとも、静止状態のデータにアクセスできない。

GoogleのプロダクトマネージャLeonard Lawが、こう言ってる: “セキュリティはデータ保護のイシューであると同時に、コントロールのイシューでもある。暗号鍵を顧客が供給すること(Customer-Supplied Encryption Keys)によって、Google Compute Engineでデータを暗号化するやり方に関するコントロールを、ユーザに与えることになる”。

Lawはさらに、Googleのサービスはすべての形式のデータをカバーする、と強調している。データのボリュームでも、ブートディスクでも、あるいはSSDでも。

しかし現実には、セキュリティキーを自分で扱うのは面倒、という人も多いだろう。鍵を紛失したら、データを回復できない。Googleによれば、この機能を使うのは主に、金融とか保健医療など規制の厳しい業界の、大きな企業・組織・団体だろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、ユーザー宛メールのPGP暗号化をサポート

13334048894_6e8b421c4e_o

近々、Facebookから自分宛に送られてくるメールをすべて暗号化して、誰も ― NSAさえ ― 読めなくできるようになる。やり方はFacebookの設定に公開PGP鍵をインポートするだけだ。

もちろん、問題は殆どの人がメール暗号化における公開鍵/秘密鍵のしくみも、何から始めていいのかも知らないことだ。エドワード・スノーデンのリーク以来、Googleを含む数多くのサービスが、エンドツーエンドメール暗号化の複雑さを一般ユーザーから完全に隠すと約束した。しかし、今のところ実現したサービスは殆どない ― やろうとしていないのではなく、実際これが技術的にもユーザー体験的にも非常に複雑な問題だからだ。

11391717_1612770812296397_2216033484062464781_n

Facebookは、十分確立しているPGP方式(正確にはGNU Privacy GuardによるOpenPGPの実装)を使用してメッセージを暗号化する。Gmailユーザー向けのMailvelope等のツールは、多少直感的に鍵を生成、管理して暗号化メールを読み書きできるようにしている。それでもまだ完全に自明な手順と言うにはほど遠く、自分のやっていることの基本的認識が必要だ。

Facebookもその点を十分認めており、ユーザー候補には電子フロンティア財団のPGP入門を案内している。残念ながら、FacebookはPGP利用の複雑さを全く隠そうとしていないので、実際に多くの一般ユーザーが登録する可能性は低い。

Facebookは、新機能を徐々に展開現在同機能は全世界で利用可能と言っている。自分のアカウントで使えるかどうかは、Facebook設定の連絡先と基本データセクションへ行き、「公開鍵の追加」メニューがあるかどうかを見ればわかる。

[原文へ]

(翻訳:Nob Takahashi / facebook

Yahoo、パスワード無しログインを導入 ― 携帯電話は失くさないように

Yahooは、ユーザーがパスワードを覚えているどうか、あるいは簡単に予測されたりハックされたりするパスワードを作ってしまうかどうかに依存するしくみを終らせるべく、必要な時にワンタイムパスワードを送る新しい「オンデマンド」システムを導入する。

新しいアプローチはセキュリティーを高め、ユーザーのYahooアカウントをハックされにくくすることが目的だ。ある意味でそれは達成されている。無数の人々が覚えやすいパスワードを様々なサービスで再利用しており、メールアカウントも例外ではない。これはその性質上ハックされやすい(ランダムなパスワードの方が望ましい)だけでなく、本質的に危険である。もし破られると、その人のデジタル個人情報の大きな部分、あるいはオンラインでの存在〈全体〉がオープンになるからだ。

オンデマンド・パスワードは、1度ログインすると使えなくなり、そのYahooアカウント専用なので、パスワード破りの連鎖が起きにくくなる。しかし、そこにはかなり大きな落とし穴がある。つまり、もし携帯電話を落としたら、拾った人物は持ち主のメールへの侵入チケットを手に入れることになる。

もしSMS通知がロック画面に表示さる設定になっていると、携帯電話がロックされる前に、オンデマンド・パスワードが表示されることもある。もし携帯電話を落とすと、それを拾った者はパスワードを知らなくてもIDがわかればあなたのYahooアカウントに入れてしまう。

メインパスワードを入力するとSMS経由で一時パスワードが送られてくる「2段階パスワード」の方が安全なアプローチの方かもしれない。YahooはCNETに対して、これは「パスワードを排除する第一歩」だと言っているので、今後も続いて出て来ることを期待している。

Yahooがモバイルのセキュリティーに焦点を当てたことは正しい。平均的インターネットユーザーが慢性的にベストプラクティスを実行していないからだ。ITに強い人でさえ該当する。最良のアプローチは、やはり1PasswordまたはLastPass等のパスワードマネージャーを使い、リスクを認識しておくことだ。

関連したニュースとして、同社はエンドツーエンド暗号化プラグインを垣間見せた。South by SouthwestでGoogleと共同で取り組んでいるものだ

下のビデオ(via via The Verge)は、Yahooのソリーションが一般的な暗号化オプションと比べてどんなに簡単か見せることが目的だ。この機能はユーザーが設定しないと有効にならない。有効化されるとメール本文が暗号化され、タイムスタンプや題名などの基本的事項は平文のまま送られる。Yahooは今年中の公開を目標にしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleのエンド・ツー・エンド暗号化プラグイン開発、一歩前進―鍵サーバーはGoogleが運営

1年半ほど前、Googleは誰でも手軽にメールを暗号化できるよう、メール暗号化プラグインを開発中だと発表した。 そのツールのリリースが近づいてきたらしい。

まだ一般公開の段階には至っていないものの、今週、GoogleはEnd-to-End暗号化プラグインをGitHubに登録し、デベロッパーが実際に安全であるかテストできるようにした。またこのツールの仕組みについてもいくつか新しい情報が発表された。

メール暗号化というのは長い間頭痛のタネとなっている。公開鍵暗号自体はそう複雑なものではない(「公開鍵」というコンセプトは理解するのが最初は少し難しいかもしれないが)。 最大のハードルは、公開鍵暗号を技術的知識のない一般ユーザーが簡単に使えるようにする点にあった。現在利用可能なツールとしてはMailvelopeというChromeプラグインがいちばん使いやすいだろう。しかしそれでも公開鍵暗号の仕組みについて基本的な知識を必要とする。

End-to-Endプラグインはまだ開発途中だが、Googleの説明によると、「誰でも使える」ことをデザインの主眼としているらしい。たとえば暗号化キーのサーバーはGoogle自身が運営する。他のOpenPGPベースのシステムでは特定の暗号化キーが特定のユーザーに対応していることを保証するために web of trustという保証の連鎖を用いる方法を採用している。「この方法で暗号化キーの正統性を認証するにはユーザー側で相当の作業が必要になるうえ、一般ユーザーにはその概念の理解が難しい」とGoogleのEnd-to-Endチームはドキュメンテーション中で述べている。

これに対してGoogleはもっと中央集権的なアプローチを採る。ユーザーの公開鍵はGoogleのサーバー内に自動的に登録され、キー・ディレクトリとして公開される。あるEnd-to-Endユーザーが別のユーザーに暗号化メールを送りたい場合、システムはキー・ディレクトリをチェックし、正しい鍵を選んで暗号化する。鍵配布の正確なメカニズムについてはこちらを読んでもらうとして、重要な点は、Googleが鍵サーバーを運用することによって公開鍵システムの一般への普及を阻んできたハードルの非常に大きな部分が除去されるという点だ。

このEnd-to-EndプラグインはGmail以外のウェブアプリにも暗号化サービスを提供できるという。これは朗報だ。Gmailの暗号化専用ツールというにとどまらず、他のメールやサービス、たとえば各種のインスタント・メッセージも暗号化できるとなればその影響はきわめて大きい。Yahooはすでにこのプロジェクトに協力しているというので、他のメジャーなウェブメールやメッセージ・サービスのベンダーも加わるかもしれない。

Googleによれば、鍵配布とUIに関する問題点が完全に解決されるまではアルファ版の公開は行わないという。しかしいろいろな情報を総合すると、2015年にはなんらかの形でローンチが行われるものと期待してよさそうだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Yahoo、Googleと協働してエンドツーエンドのメール暗号化実現へ

YahooはGoogleと協働して、電子メールにてエンドツーエンドの暗号化を実現する予定であるとのことだ。政府やハッカーたちによる覗き見の危険性を気にすることなく、プライベートな通信が行えるようになる。このアナウンスはBlack Hatセキュリティカンファレンスの壇上で行われたものだ。

Yahooの情報セキュリティ部門チーフのAlex Stamosによると、Yahooは今年末あたりにも、暗号化の仕組みに用いるソースコードを公開したいとのこと。曰く「Googleとも密接に連携しながら、双方のエンドツーエンドの暗号化に互換性をもたせるべく作業を続けているところです」とのことだ。

Googleも6月にメールにおけるエンドツーエンドの暗号化を構築中である旨をアナウンスしていた。このYahoo-Googleの共同歩調が他のプロバイダにも波及して欲しいところだ。メジャーなメールサービスが相互に流通するメッセージを暗号化してやりとりするようになれば、利用者はより多くの利用者がセキュアな環境を利用できるようになる。

もちろんこうした動きはスノーデンによる情報収集活動についての暴露に端を発するものだ。以来、情報をよりセキュアなものとするための動きがあちこちで繰り広げられている。YahooおよびGoogleの両者は、NSAがデータセンター間の通信ケーブルの情報を傍受していることを明らかにしてから、データセンター間の通信の機密性を強化する旨をアナウンスしていた。

ネットワーク上では、一般の利用者でも簡単に用いることのできる暗号化技法が必要とされている。Yahooもそうしたニーズに真摯に応対しようとしているわけだ。

原文へ

(翻訳:Maeda, H


Google、簡単に使えるメール暗号化用Chromeプラグインの開発を準備中

Googleが本日アナウンスしたところによれば、ウェブベースのメールサービスで利用できる、簡単なエンドツーエンドな暗号化プラグインのリリースに向けて準備中であるようだ。暗号化技術としては、標準のOpenPGPを用いるとのこと。

Googleの狙いは、テック系以外の人も簡単にメールの暗号化を行えるようにしようとすることだ。現在もMailvelopeなどの拡張機能もあるが、Gmailや一般的なメールサービスを使いながら、メールの暗号化を行うのはなかなかとっつきにくいものとなっている。使い勝手の悪さやわかりにくさのせいもあって、現在のところはメールの暗号化を行っている人はあまりいないという状況だ。

ちなみに、Googleはプロジェクトが進行中である旨をアナウンスはしたが、プラグインのリリースはまだ行っていない。ソースコードを公開してテストを行い、広く意見を求めているところだ。OpenSLLライブラリではHeartbleedバグもあったことであり、より慎重な姿勢をとっているということなのだろう。「不完全な状態で世に出せば、さまざまな亜種が生まれてしまうことにもつながります」ということも懸念しているようだ。これもまた正しいスタンスだろう。

このプラグインはVulnerability Reward Programに属する。したがって、問題点を発見した人には報奨金が支払われることになる。

アナウンスによると「ウェブベースのメール」を使っている人は「誰でも」利用できるようになるとのこと。すなわちGmailだけでなく、他のメールサービスでも利用できるようになるということだ。メールというのは送信人がいれば受取人もいるわけで、Gmail以外でも利用できるようにするというのは、当然の選択肢だろう。

プラグインがどのようなものになり、どの程度簡単に利用できるようになるのかについてはまだわからない(まだ多くのテストを経てさまざまな改良がなされることになるのだろう)。利用する公開鍵方式の暗号化技術を使うには、なかなか複雑な手順が必要となるのがこれまでの常だった。これを広く一般の人にも使ってもらえるシステムにしようというのが、なかなか難しいものであることは否めない。

ちなみに、暗号化用拡張機能の話のみでなく、Googleは「送信中メールの暗号化」と題した「透明性レポート」も公開した。送信者受信者間でメールが流れていく際に、どの程度の暗号化が行われているのかということを検討したものだ。現在のところはGmailから送信する場合は65%ほどが暗号化されるようになっているとのこと。他サービスからの受信メールについてみると割合は低下し、暗号化率は50%ほどになるとのことだ。ドメイン毎の暗号化率などについても「送信中メールの暗号化」のページで確認することができる。

原文へ

(翻訳:Maeda, H


クラウドストレージサービスを完全暗号化で使えるnCrypted Cloudのサービス

DropboxやGoogle Driveなど、広く使われているファイル共有サービスを企業が利用するときには、万が一ハッカーにやられたときの、ファイルの盗難や改竄が心配になる。そこでこのたび登場したnCrypted Cloudは、あらゆる場所で、あらゆるものを暗号化すると同時に、誰がいつどのファイルにアクセスしたかという完全な記録(audit trail, 監査証跡, 追跡記録, オーディットトレイル)をつける。

このnCryptedサービス経由でDropboxやGoogle Drive、SkyDrive、Boxなどを利用すると、ファイルは暗号化されてから保存される。すでに保存されているファイルを暗号化することもできる。ベテランの起業家Nicholas Stamosと暗号技術の名人Igor Odnovorovが創ったnCryptedは、すでにMicrosoftやCisco、Reveal Imaging、Broadcomなどから計300万ドルのシード資金を獲得している。今は、早くもシリーズAを模索しているところだ。

Stamosはこう説明する: “nCrypted Cloudは、その実装にPCSモデルを採用しているので、企業のIT部門はクラウド上で共有されるデータの保護責任をエンドユーザに委譲できる。しかし責任には説明責任も伴うからnCrypted Cloudは、どんなネットワーク、どんなデバイス、どんなクラウドストレージサービスにおいても、、データの利用やアクセスに関する監査記録をつけ、ユーザのアクティビティを一望にできるようにしている”。

“これまでユーザが生成した監査イベントは累計で1億を超えている。また、弊社が暗号化したファイルの数は1000万を超えている。大企業の顧客が多いが、セキュリティ上の理由から、その名を明かすことはできない”。

小企業や個人も、このサービスを利用できる。そのレベルの利用プランは無料である。大企業向けの有料プランについてはここをお読みいただきたい。Stamosいわく、このアプリケーションはあくまでも各個人の説明責任が主であり、トップダウンの上意下達形のツールではない:

“わが社のサービスによって企業のIT部門は初めて、データの所在や移動に関する総合的な姿見(すがたみ)を入手したことになる。企業の外部や、企業のものではないデバイスに関しても、ファイルの所在・移動をチェックできるのだ。しかもオーディエットトレイルにより、異状を早期に発見修復できる。弊社が採用している説明責任を核とするモデルは、これこそが唯一の、スケーラビリティのあるモデルであり、われわれの一般社会の原理原則でもある(一点・上部管理型はスケールしない)。分かりやすい例が、各州が採用している65mphのスピード制限だ。でもそれは、車に対する速度制限ではない。なぜなら、車が時速何mphで走るかは、ドライバー自身の説明責任に属するからだ。その方が、道路上の車の流れも良い。弊社のサービスでも、個々のエンドユーザは迅速に効率的にファイルアクセスやファイルの移動・保存ができ、しかもそれと同時に、データの保護という企業の要件も満たされる。nCrypted Cloudは、この相(あい)対立する二項の均衡を実現している”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


GoogleのCloud Storage, これからは全データを自動的に暗号化

今日を皮切りに、GoogleのCloud Platform上のユーザデータはすべて自動的に暗号化される。同社のCompute EnginePersistent DisksScratch Disksはすでにデータがすべて暗号化されていたが、同社の今日の発表ではGoogle Cloud Storageのデータもすべて、128ビットのAdvanced Encryption Standardで暗号化される。

今日の発表でGoogleは、次のように説明している: “各オブジェクトのキーも、そのオブジェクトのオーナーに結びつくユニークなキーで暗号化される。さらにこれらのキーは、定期的にローテーションされるマスターキーの集合のどれかを使ってさらに暗号化される”。デフォルトでは、データのキーをGoogleがユーザに代わって管理するが、ユーザはデータをCloud Storageに書き出す前に独自に暗号化してもよい。暗号のセキュリティについて神経質な人は、Googleにキーの保存と管理を任せるのは不安だろう。しかしGoogleは曰く、“Googleが自社の暗号化データに対して用いているものと同じ、強化されたキー管理システムを使って、厳しいキーアクセスコントロールと監査を行う”。

この暗号化は新たに書き込まれるデータに対しては今日から有効だが、前からあるオブジェクトに関しては“今後数か月内に”暗号化を行う、という。

なおAWSのクラウドストレージS3は、2011年ごろから256ビットのAdvanced Encryptionによるサーバサイドの暗号化を提供している。またセキュリティ基準がより厳しい企業や政府機関など向けにAmazonは最近、専用ハードウェア(高価!)によるHardware Security Moduleを導入して、Amazonのクラウドにおける機密データや暗号キーの管理を行っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))