メッセージングの相互運用性暗号化の課題が議論されるc

メッセージングの相互運用性暗号化の課題が議論されるc
メッセージングの相互運用性暗号化の課題が議論されるc
メッセージングの相互運用性暗号化の課題

欧州連合がクロスプラットフォーム メッセージング機能を法的要件とすることを決定したことを受けて、メッセージングの相互運用性暗号化の課題がセキュリティ専門家によって議論されています。

デジタル市場法 (DMA) にメッセージングの相互運用性を含めるかどうかについては多くの議論があり、エンドツーエンドの暗号化を維持することの課題が主要な問題の 1 つでした...

背景

この問題の背景については以前次のようにまとめました。

メッセージングの相互運用性とは、インスタントメッセージングがメールのように機能するべきという考え方です。私たちはそれぞれ好みのサービスやアプリを使いながら、お互いにコミュニケーションをとることができます。

例えば、私がTelegramを使っても、あなたはWhatsAppで受け取るかもしれません。お母さんがFacebookメッセージを送っても、あなたはiMessageで受け取るかもしれません。メールと同じように、メッセージは サービスではなく、相手に送られます[…]

EUは長年にわたり、デジタル市場法(DMA)として知られる大規模な反トラスト法の制定に取り組んできました。この法案の主な目的は、テクノロジー系スタートアップ企業が市場参入する際に、支配的プレーヤーによる成長阻害を受けないようにし、消費者が競争の成果、すなわち最低価格で最高のサービスを享受できるようにすることです。 

この法案の適切な適用範囲、特にメッセージングの相互運用性要件を含めるべきかどうかについては、内部で多くの議論が行われてきました。実装が悪夢になるという理由で反対する意見もありました。

メッセージングの相互運用性は、テクノロジー大手にとって実現するのは確かに悪夢だが、消費者にとっては夢である、と私は主張した。しかし、議論のほとんどは悪夢の部分に集中している。

エンドツーエンドの暗号化を実装する方法は多種多様であり、メッセージングプラットフォームごとに異なるプライバシーソリューションが採用されています。しかし、2つのサービスが全く同じ暗号化技術を採用したとしても、同じ個人間の通信には異なる鍵が使用されることになります。つまり、エンドツーエンドで暗号化されたメッセージを一方から他方へ単純に転送するわけにはいきません。より多くの作業が必要になります。

The Vergeは、セキュリティ専門家が表明している様々な懸念について報じています。その一つは、メッセージングサービスがそれぞれのアプローチを大幅に変更する必要があるというものです。

著名なインターネットセキュリティ研究者であり、コロンビア大学のコンピュータサイエンス教授でもあるスティーブン・ベロビン氏は、次のように述べています。「2つの異なる暗号アーキテクチャを調和させることは到底不可能です。どちらか一方が大幅な変更を加える必要があります。双方がオンラインの場合にのみ機能する設計は、保存されたメッセージで動作する設計とは大きく異なります。…どうすれば、この2つのシステムを相互運用できるのでしょうか?」

これは、サービス間の最低共通基準に到達するために機能を削減することを意味する可能性があると彼は主張しています。

2つ目の問題は、あるメッセージングプラットフォームにセキュリティ上の脆弱性が存在すると、実質的にすべてのサービスが同じ脆弱性にさらされる可能性があることです。これに関連して、各サービスは、他のすべてのサービスのユーザーID認証方法を信頼する必要があります。

「携帯電話に誰と話したいのかをどうやって伝え、携帯電話はどうやってその人を見つけるのでしょうか?」と、スタンフォード・インターネット・オブザーバトリーの所長で、Facebookの元最高セキュリティ責任者であるアレックス・スタモス氏は述べた。「すべてのプロバイダーがID管理を担うことを信頼しなければ、エンドツーエンドの暗号化を実現することは不可能です。もしすべてのメッセージングシステムが互いのユーザーを全く同じように扱うことが目標なら、これはプライバシーとセキュリティの悪夢です。」

潜在的な解決策

しかし、オープンソースのE2E非営利団体Matrixは、これらの問題を解決する方法があると述べています。

当然のことながら、Matrix独自のオープンソースソリューションを採用している各プラットフォームは、まさにその一つです。オープンソースコードを使用することで、セキュリティ研究者は誰でも使用されている暗号化システムの整合性を検証できるというメリットがあります。メッセージングの相互運用性を求める声に強く批判的だったWhatsAppのCEO、ウィル・キャサート氏でさえ、この可能性を認めています。

もう 1 つは、途中で復号化して再暗号化することです。これは通常、E2E 暗号化の基礎全体を完全に危険にさらしますが、これをユーザー自身のマシン上で実行します。

ノートパソコンや携帯電話は、あたかもログインしているかのように、iMessage や WhatsApp などへの接続を効果的に維持しますが、その後、メッセージは再暗号化されてから Matrix に中継されます。

侵害されたマシンを持つエンドユーザーがすでにメッセージを公開できるため、これによって追加のリスクが発生することはありません。

結論

最終的に、セキュリティ専門家は次の 2 つの点に同意しています。

  • E2E暗号化を損なうことなくメッセージングの相互運用性を可能にすることは可能である
  • それは非常に困難であり、多大な労力を必要とするだろう

2つ目の点は、それがすぐに実現するわけではないことを意味しており、EUもこれを認識しています。この提供期限は、デジタル市場法の他の要件を遵守する期限よりもはるかに遅くなることが予想されます。

写真:カミロ・ヒメネス/アンスプラッシュ

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。