注目★★★★★Hacker News
ウェブ暗号化はペテンである——E2E 暗号化の根本的な矛盾
30秒で把握
- 1ウェブベースの E2E 暗号化は配布元 (サーバー) が同時に攻撃対象で、事業者が悪意あるコード推し付け可能なため根本的に破綻している
- 2WhatsApp・Signal 等も同じく実装破綻、企業の採用動機は暗号セキュリティではなく政府令状回避の法的防盾に過ぎないと著者が明示
- 3FBI・Apple・Lavabit 事件から法的防盾は不確実で、裁判で覆される可能性があり長期的な信頼基盤にならないと警告
要約
ウェブアプリケーションが謳う「エンドツーエンド暗号化」は根本的に破綻していると著者は論じた。サーバーが配布する JavaScript で実装された暗号化は、その同じサーバー事業者から保護できない——悪意あるコードを推し付けるだけだからだ。WhatsApp や Signal も同様で、ベンダーが配布可能なクライアント・ソフトを管理する限り、全ての E2E 暗号化はバックドア同然である。企業がこの snake oil 暗号を採用する真の目的は暗号セキュリティではなく、政府の捜査令状に「技術的に対応できない」と言い張るための法的防盾だと指摘した。しかし FBI・Apple 事件や Lavabit 事件など、米国でもこの法的な「魔法」は確たる盾にならず、いつでも新たな判決で無効化される危険性がある。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約