ハクソク

世界を動かす技術を、日本語で。

フランス、暗号化メッセージングの解読に向けた動き

15時間前原文(reclaimthenet.org)

概要

  • フランス議会の情報機関監督委員会が エンドツーエンド暗号化の弱体化 を正式に支持
  • WhatsApp、Signal、Telegram等の 暗号化メッセージへの「ターゲット型アクセス」 を推奨
  • 技術的課題や プライバシー・市民自由の懸念 が浮上
  • 暗号化保護を法制化する 対立する法案 も存在
  • 暗号化を巡る 技術と政治のせめぎ合い が続く現状

フランス議会、暗号化通信の解読を推進

  • フランス議会の 情報機関監督委員会 (8名構成)がエンドツーエンド暗号化の 弱体化を提言
  • WhatsApp、Signal、Telegram等の 暗号化メッセージに対し、裁判官や情報機関によるターゲット型アクセス を推奨
  • 「暗号化通信の内容にアクセスできないことが、司法・情報機関の業務上の重大な障害」と報告書で指摘
  • 暗号化の 設計思想は「プラットフォームですら内容を読めない」こと であり、これを崩すと 保護機能が崩壊
  • 捜査機関は従来の電話・SMS傍受は可能だが、 暗号化プラットフォームでは不可能

現行の捜査手法とその限界

  • RDI(デジタルデータ収集)と呼ばれる 端末自体を遠隔で侵害し、全データを取得する手法 が既に存在
  • しかし委員会は「 RDIは不十分」と判断
  • Senator Cédric Perrinは、 メッセージプラットフォームに「必要な技術的措置」の実装を義務付ける改正案 を推進
    • 不履行の場合、 全世界売上高の2%の罰金
    • 上院で可決、国民議会で否決

暗号化に対する技術的・倫理的議論

  • 反対派(RN党Aurélien Lopez-Liguori)は「 暗号化の本質的誤解」と指摘
    • 復号鍵は利用者端末にあり、プラットフォーム側で一括管理されていない
    • バックドア導入は全通信の脆弱化 につながり、悪用リスクが高い」
  • Perrinは「 ゴースト参加者方式」を提案
    • プラットフォームが 会話に第三者(諜報機関)を不可視で追加 する仕組み
    • 2018年にGCHQが提案し、 全主要なプライバシー団体・研究者が反対

市民自由と法的対立

  • Perrin「市民自由は 行政・司法のチェックで担保」と主張
  • 委員会報告は「 ターゲット型アクセスの技術的実現は不可能ではない」と結論
    • 欧州委員会の専門家グループも 技術的ロードマップを策定中
  • 暗号化保護を法制化し、バックドア義務を禁止する修正案 (Senator Olivier Cadic)が上院で可決
    • 委員会報告は「 捜査技術の法的枠組みを弱体化する」と批判
    • Cadic「 犯罪追跡には賛成だが、脆弱性を自ら作るべきでない

今後の立法動向と本質的対立

  • 元首相Sébastien Lecornuが 暗号化通信アクセスの法的枠組み見直し をFlorent Boudié議員に依頼
  • 新法案の提出も視野に、 議会内で議論継続中
  • フランスの現状は「 捜査機関の道具を巡る是非」ではなく、「数学的に守られた唯一の通信手段を例外なく国家の手中に収めるべきか」という根本的な対立
  • 暗号技術自体は変わっていないが、政治の意思が変化」という現状

Hackerたちの意見

この記事は、Telegramがエンドツーエンド暗号化されているかのように誤解を招いているね。WhatsAppやSignalと同じラインに置いてるから。Telegramはデフォルトでエンドツーエンド暗号化を試みてすらいないし。WhatsAppはエンドツーエンド暗号化を主張してるけど、オープンソースじゃないし、Signalはちゃんとエンドツーエンド暗号化されてる。

WhatsAppはエンドツーエンド暗号化を主張してるけど、オープンソースじゃないし、メタデータを暗号化していない。 一方で、NSAの高官は「メタデータに基づいて人を殺す」と公言してる。

Telegramはデフォルトではエンドツーエンド暗号化されてないけど、サポートはしてるよね。広い解釈をすれば、その暗号化が使われる場合、破られるべきだってこと。だから、この記事はTelegram全体がエンドツーエンド暗号化されてるとは言ってなくて、サポートしてるってことだけを示唆してると思う。

うん、Telegramの秘密のチャットはすごく使いにくいよ。両方の当事者が同時にオンラインじゃないと鍵の交換ができないし、各側で一つのデバイスでしか動かない。知ってる人の中で使ってる人はいないよ。パスワードリセットを送ったこともあるけど、半分はそれを理解できなかった。だから、秘密のチャットはあるけど、全然役に立たないね。

オープンソースは、Signalの再現可能なビルドがなければ役に立たないよ(各リリースで誰がそれをチェックしてるんだろう?)。それに、MollyのようなビルドはGoogleのバイナリブロブを含んでいないから、少なくともメタデータを抽出するのに使えるかもしれないと思う。OS自体はリスクのままだし、MollyやMatrixクライアントでも同じだよ。リンクされたデバイスについての透明性があっても、静かにリンクされたデバイスに気づく人は少ないと思う。最も簡単な方法は、最近ドイツの政治家のSignalメッセンジャーに対する協調攻撃で起きたソーシャルエンジニアリングだと思う(こういう人たちのために、リンクされたデバイスをサポートしない公式のSignalアプリ版が必要だと思う)[2]。

断られても引き下がらない人がいるよね。ちょっと常識外れな感じ。でも逆に、法医学的分析が役立つのか説明が欲しいな。たぶん、メッセージは電話に残っていて、復元できるんじゃないかな。それなら、犯罪と戦うには十分だと思う。つまり、デバイスにアクセスするための令状を取れば、メッセージにアクセスできるし、多くの人がそれはいいって思うはず。

暗号化を保護されたクラスにする必要があるかも。そうすれば、暗号化に反対する発言をヘイトスピーチとしてラベル付けできる。バカな政治家を刑務所にぶち込むべきだね。

それなら、バカな政治家には投票しないってのはどう?

反暗号化の人たちが好き勝手やるのを見守るしかない気がする—大きな問題が起こるまで。専門家のアドバイスなんて、彼らが暗号化を弱めたことの悪影響を目の当たりにしない限り、説得できないよね。その後、子供の誘拐や有名政治家の政治的スキャンダルみたいな大ニュースが起こって、一般の人たちが「弱い暗号化は実質的に暗号化されてない」ってことに気づくんだろうね。その間、犯罪者たちはステガノグラフィーみたいなもっと洗練されたメッセージングを早く取り入れるだろう。

いいね、でも彼らは自分たちのために例外を作るか、結果なしで「無許可」のメッセージチャンネルを使うに決まってる。政治家っていつも「お前にはルール、俺にはルールなし」だよね。

俺たちは、何か大きな問題が起こるまで、反暗号化の連中に好き勝手させることになると思う。そういうのは見たことあるから。パキスタンが核爆弾を手に入れたのもそんな感じだし、フランスはただ友達を作ってただけ。

大抵の場合、高名な政治家に関するスキャンダルが明るみに出るのは良いことだと思う。(つまり、秘密のままよりはマシ。)

彼らが暗号化の弱体化による悪影響を直接目の当たりにするまでは、影響を受けないだろうね。今まで見えなかったけど、実際には存在する社会階級の壁が、「先進国」の市民にとっては、すでに「劣った」国々で何十年も続いてきたように、もっと見えるようになるだけだよ。実際の「犯罪者」は、文明の夜明け以来、設けられたすべての制限を回避してきたんだから、普通の人々だけが踏みにじられて、彼らの場所に留められているんだ。

公平に言うと、EUの政府はTETRAや壊れたTEA1暗号スキームで暗号化されていない未来への道を切り開いたんだ。今は人々に自由とオープンさを返しているだけだよ。/s

これは、懸念されるトレンドに対する加速主義についての私の意見だよ: https://thebad.website/comic/accelerationism

議員の視点から見ても、影響を受けたことはないと思う。もし誰かが目立つハッキングをしたら、それはもっと法律が増えて、警察の権限が強化されるだけだろうね。

こういう法律に関しては、もう後戻りはできないと思う。失ったものは失ったままだよね。最近フランスでは、たくさんの公的データベースが漏れたし、もう取り返しがつかないよ。

どうやって何が暗号化されてるか分かるんだろう?もしかしたら、ただランダムなバイト列を送るのが好きなだけかも。

裁判官は君の説明を気に入るだろうね。

ランダムである必要もないよね。もし独自のファイル形式のインスタンスを送ったらどうなるの?企業は政府がそれが(おそらく)暗号化されたメッセージじゃないと確認できるように、仕様やツールチェーンを共有する必要があるの?

まだ、企業がE2E暗号化でメッセージを解読できないっていうメモが理解できないんだけど。ユーザーが「foo」なら、デバイスの鍵をどこかに送るっていうソフトウェアのアップデートで済むんじゃないの?それとも、その鍵がTPMの一部なら、解読されたメッセージを送るように頼むアップデートでいいのかな?裁判官は今はこれを命じられないけど、鍵が中央に保存されている場合は解読を命じられるの?

もちろん、アプリがキーや復号化されたコンテンツを第三者に送信するのを魔法のように防ぐことはできないよ。だから、もし本気でエンドツーエンド暗号化を考えてるなら、ソースからアプリをインストールしなきゃね。

これを何度でも繰り返すけど、ほとんどのEUの政治家は、今後10〜20年間は人気がない立場からリードしなきゃいけないことを理解してる。彼らは反対意見を抑えるための道具を整えようとしてるんだ。暗号化の次は、抗議の権利が減ると思うよ(イギリスが繰り返し「混乱を引き起こす」抗議を禁止しようとしてるのを見て)。

EUの政治家は、ロシアの政治家よりもまだ人気があるよ。

そうそう、メルツやマクロン、スターマー、そして選挙で選ばれてないブリュッセルの連中の支持率は公式に10〜20%くらいだよ。これは本当に驚くべきことで、どうしてこんなことが可能なのかまだ不思議に思ってる。私の推測では、ポジティブな支持はテレビを見ている団塊世代が多くて、彼らは自分の家を持っていて年金も受け取ってるから、政策の影響をあまり受けていないんだ。だから、現状を維持しようとするインセンティブが強いんだろうね。あるいは、彼らの政策から直接利益を得ている人たち。まだ説明できないのは、トランプが約束したこととは真逆のことをやっても、同じような人口構成の国でずっと高い支持率を維持していること。だから、ヨーロッパの現行システムとそれを運営している人たちへの支持は、今後10〜20年の間に残る人口の中で5%未満だと思う。今の政治システムは、年々約10%の割合で消えていく高齢者の雲の上に浮かんでいるようなものだ。だから、どちらにせよ、これは醜いことになるだろうね。

笑い話を思い出したんだけど、ある男がプライベートメッセージで冗談を送ったら、習近平が笑ったってやつ。政府の考え方はどこでも同じみたいだね。

フランスでは、友達にあなたと友達だけが理解できる意味不明なテキストを送ることができなくなるんだね。新しい言語を作ることも禁止されるのかな?それとも、ささやくことも禁止されるの?

もちろん、子供たちを守るためだよね。

でも、どうやってテロリストじゃないって確信できるの? ニューラリンクしか選択肢がないよ!

もし友達との間で、国家が理解できないような意味不明な会話をしてたら、君は静かに、そして継続的に予防犯罪ユニットに調査されることになるかもね。君と友達は「思想犯罪」を犯しているかもしれないよ。

もう宗教や文化の自由を禁止してるんだから、次はこれでしょ?

ログランとロジバンが禁止されると、アウトローだけがログランとロジバンを使うことになる。そしてクリンゴンもね。

それとも、君がhttps://github.com/filosottile/ageみたいなものを使って、暗号化してテキストを送るのを禁止するのかな? echo "フランス、私は何か違法なことをしてる?" | age -e -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p -a - -----BEGIN AGE ENCRYPTED FILE----- YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBjTVQ5VTdMaTlnRkEyT1BY MHZPc0lncHFvbS9FMTlDa2FkK3JQZy9sQnprClRFN3lNQUtnNzJWK0RxQVlYNE1q NCtlNFJTUWpwZExJSDMvSGlRL2VHc1EKLS0tIC95bEErRU9NNERJRVVuYlMwUFg4 WUx1R0IyTHd1d2dxQTdqU0NJWlF0MXMKL1x9fz+ZVObYrn3bY/IdVBsd4KYxn78P aWePVjaRUityGTkndNSy6gg1meVky22iv4rxd9MZ4XYnsGJDfRUmkVZhQcCxag== -----END AGE ENCRYPTED FILE-----

記事はタイトルやコメントで話されている内容よりもずっと複雑だよ。フランスでは、政治家が両方の方向に投票していて、今のところ「暗号化を維持して法律に盛り込む」側が少しリードしてる。 > 中道連合のオリヴィエ・カディック上院議員が、重要インフラのレジリエンスとサイバーセキュリティに関する別の法案に修正案を通して、フランスの法律に暗号化保護を盛り込み、メッセージサービスにバックドアを設置する義務を禁止する内容を提案した。上院は2025年3月にこれを採択した。