Twitterが将来の暗号解読を防ぐため全サイトにわたってPerfect Forward Secrecyを採用

【抄訳】

Twitterが、同社のモバイルサイトとWebサイトとAPIのフィードの全域にわたって、将来の暗号解読からユーザデータを保護するために、Perfect Forward Secrecyを有効にした。このPFSと呼ばれる守秘技術は、Twitterの暗号鍵が将来破られたとしても、それによって、過去に伝送されたデータが解読されることはない、いうものだ。〔*: Forward Secrecy, Perfect Forward Secrecy, PFS; 公式の訳語がまだないようですので、原語そのままとします。〕

Twitterのブログで同社のJacob Hoffman-Andrewsが次のように説明している: “敵が今Twitterの全ユーザの暗号化されているトラフィックを記録して、後日、Twitterの秘密鍵を入手したとしても、記録されたトラフィックをそれらの鍵を使って解読することはできない。Electronic Frontier Foundationが指摘しているように、今日のインターネットにおいては、このタイプの保護がますます重要になっている”。

これは、Twitterがすでに使っているTLSやSSLプロトコルを補強して、同ネットワーク上のログインデータや通常の送信データを保護する仕組みだ。Twitterは2011年にサイトを完全にHTTPS化したが、昨年後半にはログインの欠陥が露呈し、それによりTwitterの特定部分からパスワードがプレーンテキストでしばらく送られていた。あえて単純化して言うと、PFSの施行により、どこかの省庁がTwitterの暗号化されているデータをすべて記録しても、それを一つの鍵で解読することはできなくなる。今後はサーバとクライアント間の各セッションごとに暗号鍵が生成され、その鍵はネットワークに乗って送信されない。だから、万一鍵を一つ盗まれても、それですべてのデータが解読されることはない。データを読むためには、何千何万という鍵が必要になる。

【中略】

The New York Timesに載ったインタビュー記事によると、今回の措置によって最初の接続時には約150ミリ秒の遅延が生ずる。しかし、セキュリティ強化のためなら、致し方あるまい。Googleは2年前にPFSを実装し、また今年の初めの報道では、Facebookもそれに続くようだ。TwitterによるPFSの実装に関する詳細な記事は、同社のブログのここにある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。