セキュリティ
PGP

締め上げ暗号分析による秘密鍵パスフレーズ入手の合法性

More than 1 year has passed since last update.

PGPやPKIでの暗号化や電子署名に使われる公開鍵暗号方式では、暗号文(の鍵)の復号、メッセージダイジェストへの署名、および第三者への信頼の付与に秘密鍵を用いるため、秘密鍵は厳重に管理する必要があります。その一環として、秘密鍵自体を通常パスフレーズによって暗号化し、必要なときだけ、このパスフレーズを入力して秘密鍵を取り出すことになります。

現代では、適切な暗号化方式、パスフレーズを用いている場合、技術的暗号解析は計算量の点から困難です。例えば、2003年にイタリア警察およびFBIが極左テロ組織からPDAを押収したものの、PGPによって暗号化されたファイルを復号することはできなかったそうです。

In 2003 an incident involving seized Psion PDAs belonging to members of the Red Brigade indicated that neither the Italian police nor the FBI were able to decrypt PGP-encrypted files stored on them.
https://en.wikipedia.org/wiki/Pretty_Good_Privacy#Security_quality

そこで、ソーシャルエンジニアリングによる暗号解析が、より現実的な解析手段となります。ここでは、刑罰の示唆による締め上げ暗号分析(Rubber-hose cryptanalysis)が、政府機関によって合法的に行えるのかどうか調べてみました。

Non-violent but highly intimidating methods include such tactics as the threat of harsh legal penalties.
https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis

英国では、"Regulation of Investigatory Powers Act 2000"により、政府機関は暗号化を解除するためのキーを要求でき、これを拒否した人物は実刑判決を受けています。

The Act ... enables certain public bodies to demand that someone hand over keys to protected information
https://en.wikipedia.org/wiki/Regulation_of_Investigatory_Powers_Act_2000#Summary
He was charged with ten offences under section 53 of RIPA Part III, reflecting the multiple passphrases needed to decrypt his various implementations of PGP Whole Disk Encryption and PGP containers.
http://www.theregister.co.uk/2009/11/24/ripa_jfl/page2.html

米国では、United States v. Boucherという裁判で、合衆国憲法修正第5条(Fifth Amendment)に基づく、不利益な供述(self-incrimination)を強要されない権利との兼ね合いが争点となったようです。(なお、米国の刑事ドラマによく出てくるYou have the right to remain silentというセリフは、この修正第5条に基づいています)

当初、下級判事の判断はパスフレーズの提供は不利益な供述の強要にあたるとしました。しかし政府の上告後、連邦判事は、復号化されたデータの提供は、不利益な供述の強要には当たらないとの判断を下し、結局被告はデータを開示し実刑を受けました。

特筆すべき点として、このケースでは、デバイスの押収時には違法なデータが目視確認されていました。ただ、押収後の再起動に伴いパスフレーズが必要となったようです。

Additionally, a judge ruling on the same case in November 2007 has stated that forcing the suspect to reveal his PGP passphrase would violate his Fifth Amendment rights i.e. a suspect's constitutional right not to incriminate himself. The Fifth Amendment issue has been opened again as the case was appealed and the federal judge again ordered the defendant to provide the key.
https://en.wikipedia.org/wiki/Pretty_Good_Privacy#Security_quality

また、秘密鍵パスフレーズに関するケースかどうかは分かりませんが、次のような判決もありました。

前項と同様に、電話傍受によって違法なデータの存在が確認されていた別のケースでも、修正第5条は適用外とされ、復号が命じられました。

“I conclude that the Fifth Amendment is not implicated by requiring production of the unencrypted contents of the Toshiba Satellite M305 laptop computer,”
https://en.wikipedia.org/wiki/Key_disclosure_law#United_States

一方、違法なデータが存在する証拠を検察が得ることができなかったケースでは、復号の強要は、修正第5条違反となるとの判断が下されました。

In United States v. Doe, the United States Court of Appeals for the Eleventh Circuit ruled on 24 February 2012 that forcing the decryption of one's laptop violates the Fifth Amendment
https://en.wikipedia.org/wiki/Key_disclosure_law#United_States

本記事は、ソーシャルエンジニアリングに関する技術的な記事であり、政治的な意図はありません。また、法律用語が不正確かと思いますがご了承ください。