kenmaroです。
秘密計算、準同型暗号などの記事について投稿しています。
最近格子暗号を理解するためのロードマップを公開しました。
格子暗号に興味のある方、勉強してみようかな、という方はぜひご覧ください。
概要
今回はいつもの秘密計算とは少し離れて、
筆者が使っているチャットアプリSignalについて紹介したいと思います。
なんと、あのエドワード・スノーデンも使っているチャットアプリです。
また、この記事は主に
以下の素晴らしいブログ記事を大いに参考にしています。
興味のある方はぜひご覧ください。
背景:LINEのセキュリティ大丈夫?
日本人が何気なく使っているLINE。
説明する必要もないと思いますが、チャットアプリとして使わない日はないくらい、
当たり前に使っていますよね。
個人情報の管理場所
しかしながら、2021年3月のLINEの個人情報の取り扱いに対するニュースが話題になったのを覚えている人もいるのではないでしょうか。
メッセージなどのチャット情報や、LinePayでの決済情報、口座番号などが
(最初は中国で管理され、関連会社などに流出したというニュースだったが、データの管理が中国でなされていたという点は誤りとされた。)
韓国のサーバで管理されており、データ管理の場所について議論になりました。
LINEの普及が日本では圧倒的(LINEは日本で約9000万人が使用、LINEPayは約4000万人が使用)であり、
- 個人情報(とりわけLinePayなどの情報は決済情報や口座情報など特に機密な情報)が韓国のサーバで管理されても良いのか。
- 行政などもLINEを使って情報をやりとりしており(約900の行政アカウントが存在している)、それらの情報が保管される場所について他国に管理されていてよいのか。
という点について議論されていました。
詳細は以下のリンクに書かれているので、興味のある方はぜひ読んでみてください。
個人情報の運用委託
上の記事では、ニュースに対しては情報流出や不正利用といったものではないため、
個人単位で利用を見直したりする必要はないとしています。
(そもそも、Lineを使わない生活は考えられないですよね。。)
また、中国の関連会社にLINEの運用を一部委託しているのは事実であり、
2017年に成立した「中華人民共和国国家情報法」の関係から、
中国国内にあるサーバのデータは全て中国政府の求めに応じて情報提供する義務を負っていること、
などから本当に大丈夫なのか、という声が上がったとのことでした。
詳細については以下の記事が非常にわかりやすかったのでご覧ください。
LINEの迅速な対応
また、それに関してLINEも対応をし、業務改善を行っていることが公式ニュースよりわかります。
具体的には、例えばLINEPayのデータに関しては管理場所を韓国から日本に移行することなどです。
エンドツーエンドの暗号化
個人情報をやりとりする頻度が非常に高いチャットアプリに対して、
保管されるデータへのアクセスなどが議論の的になっている
ということを理解していただけたのではないでしょうか。
では、保管されるデータや実際にやりとりされているデータの暗号化はどのように行われているのでしょうか。
結論は、
Signalはチャット、通話、画像、動画、スタンプなど全ての送信データに対して
エンドツーエンド(E2E)で暗号化を施しているのに対し、Lineは画像、動画、グループ通話、スタンプなどに対してはエンドツーエンドの暗号化を行っていない
ということです。
もちろん、これらのデータが暗号化なしに保管されていたとしても、
通信自体はhttpsで暗号化されていますし、
保管時もかなり厳しいアクセス制限が引かれており、
セキュリティには最大限配慮している運用となっています。
しかしながら、究極の理想としては全てのデータに対してE2E暗号化が行われているべきであり、
それを実装しているSignalは理想のセキュリティを持ったチャットアプリだと言えるのではないでしょうか。
実装されている暗号化手法
上記のように、LINEもSignalもエンドツーエンドの暗号化を行ってはいるのですが、
LINEはオープンソースではない独自のLetter Sealing暗号化を使用しているのに対し、
SignalはオープンソースであるSignalプロトコルを用い暗号化を実現しています。
基本的に、暗号技術はオープンソースであることが以下の観点から好まれます。
- 誰でもコードにアクセスできるため、多くの人が開発に貢献でき、セキュリティが向上しやすい
- 誰でもコードにアクセスできるため、セキュリティの穴などを発見しやすく、対策も早く行われやすい
- 誰でもコードにアクセスできるため、製作者による意図されたバックドア(仕組まれたセキュリティの穴)を実装しにくい
また、このSignalプロトコルはオープンソースであるため以下の名だたるサービスにも導入されています。
- WhatsApp -> 標準で全ての通信にSignalプロトコルを適用
- Google Allo -> 一部機能にのみSignalプロトコルを適用
- Facebook Messenger -> 一部機能にのみSignalプロトコルを適用
- Skype -> 一部機能にのみSignalプロトコルを適用
詳しくはウィキペディアなどをご覧ください。
この点からオープンソースであるSignalプロトコルを使用したSignalアプリを好む理由もお分かりになるかと思います。
現状
Signalはまだまだ日本では使っている人が多くはなく、
LINEにとって代わるようなことはおそらくないでしょう。
しかしながら、Signalはセキュリティの観点からとてもすばらしいメリットを持ったアプリだということも理解していただけたのではないでしょうか。
言いたいこと
記事の内容は長くなりましたが、
セキュリティと利便性という二律背反的な両者において、どちらをとるかは個人の自由であり、
LINEがダメでSignalを使うべき、というような結論ではありません。
Signalというアプリもあるんだ程度に思っていただければ幸いです。
紹介する記事とはなりましたが、
一番言いたいこととしては、今後より一層
セキュリティに対して配慮をしていくのは企業だけではなく、ユーザである私たちこそが配慮をしていかなければならないということ
自身の使用するツールや、そのツールが使用するセキュリティについてより関心を持ち、セキュリティ意識を徐々に自分で改革していく必要があるのではないかということ
です。
もし読んでいただいた方が、自身のセキュリティ意識について再考してみるきっかけとなったら幸いです。
今回はこの辺で。