米国は今もクリッパーチップの夢を見るか,他
セキュリティ話3題と四方山話。
米国は今もクリッパーチップの夢を見るか
クリッパーチップ(Clipper Chip)をご存じだろうか。 1990年代に米国で発表された暗号機能付きのプロセッサのことだ。 このチップを使えば電話やコンピュータのデータを暗号化できる。 クリッパーチップの暗号鍵はチップ内と捜査機関に保持される。 捜査機関は裁判所の令状があれば暗号データを復号できるという仕組み。 米国政府はこのクリッパーチップを全ての電話とコンピュータに取り付けることを義務付けようとした。
この仕組みは「鍵預託(key escrow)」と呼ばれ批判の的となった(今も「鍵預託」という言葉は stigma として使われることが多い)。 結局クリッパーチップの義務化は(暗号アルゴリズムに脆弱性が発見されたこともあり)実現しなかった。 しかし米国は21世紀になった今もクリッパーチップの夢を捨てきれないようだ。
- ニュース - 米大手IT企業らが大統領に公開書簡、政府用バックドアのポリシーに抗議:ITpro
- ニュース - AppleやGoogleが加盟する業界団体、データ暗号化に関して大統領に公開書簡:ITpro
ロイターの記事によるとオバマ政権は,テロなどを未然に防ぐため,セキュリティーの質を維持したまま,捜査機関が暗号化したデータを解読できるシステムを開発するようハイテク業界に求めている
んだそうで,それに反発する形で業界から相次いで書簡が送られたということらしい。
セキュリティーの質を維持したまま,捜査機関が暗号化したデータを解読できるシステム
が実現不可能なことはちょっと考えれば子供でも分かる。
なぜなら「警察にできることは犯罪者にもできる(逆は必ずしも真ならず)」からだ。
できないのは法に従順な羊おっと一般市民だけである。
一般市民から見て警察も犯罪者も(自分たちのセキュリティやプライバシーを侵す存在としては)大差ないのだ。
夢はいつか覚めるもの。 そろそろ米国は目を覚ましたらどうだろうか。 あと,日本の警察や政府・官僚が「おバカ」の真似をしないことを切に願う。
「モノのインターネット」はちっともスマートじゃない
yomoyomo さんの「IoTを巡る壮大な懐疑論」より。
いわゆる「モノのインターネット」がもたらす未来がどんなものなのかは,現状のスマートフォンのありさまを見れば想像がつく。
今や私たちが手にするコンピュータ(パソコンも含めて)のほとんどは「自分で考える」ことを放棄している。 考えるのは「コンピュータ」ではなく遠隔にある「クラウド」である。 「コンピュータ」は取得したデータをせっせと「クラウド」に送り,返ってきた「答え」を忠実に実行する。 そういう意味では正規のアプリケーションも malware もやってることは同じ(同じことをやってるのだから簡単に置き換えられる)。 違うのは,ユーザがそれを受容できるか否かである。
この辺の話は F-Secure のブログ記事が象徴的である。
スマートデバイスとは、単に悪用可能なデバイスのことだ
エフセキュアブログ : エフセキュアのミッコ・ヒッポネン、インターネットの現状を分析より
自分に関するデータを誰が入手しているのかを調べ始めると、IoTが少し嫌なものに思えてきます。私は多分、医者が私のデータを見ても気になりませんが、マーケティング企業や健康保険会社がデータを見るとしたら抵抗があります。これはプライベートなデータだからです。
エフセキュアブログ : 信頼できるインターネットの簡単な歴史より
一番の問題は、自分達がすでに渡してしまっているものが何であるかを、私たちの多くが認識していないことです。
古いことわざに「if it's free you are the product(無料であるなら、商品はあなた自身である)」というものがあります。これは、広告を見たり聞いたりするのと引き換えに無料コンテンツをやり取りして育った世代には安心できる方法でした。しかし、現在では広告の方が私たちを見ているのです。
エフセキュアブログ : 真のデータプライバシーを実現するには、透明性と暗号化が重要より
安全なネット生活を。
ウイルス活動の痕跡の確認ポイント
今回の年金情報の漏洩事故や東京商工会議所の情報漏えい事故を受けてのものだろうが, IPA からの注意喚起。
この中にウイルス活動の痕跡の確認ポイント
というのがある。
ここでは確認ポイントだけを列挙してみる。
- ファイアウォール、プロキシサーバーの確認
- 業務上想定していない通信の確認
- Active Directoryのログの確認
リンク先を読んでみればわかると思うが,こうした「検知」を効果的に行うには
- 企業・組織内の業務と業務に伴って発生する traffic の把握
- traffic の logging と(リアルタイム)解析
が必要で,これが存外とホネが折れる。 まぁ,大きな企業や組織はセキュリティ対策企業とパートナー契約を結んでいるだろうからいいとして,中小企業や家庭内ネットワークでこれをやれと言われてもなかなか難しい。 たとえば「東京商工会議所」がここまでのセキュリティ対策にコストを掛けられうのかどうか,ということである。
一方で,セキュリティ企業や専門機関に丸投げというのもどうかと思う(セキュリティ企業は「弊社に丸投げで安心」って言うかもしれないけど)。 今回の IPA の注意喚起で示される対策でどこまで「自衛」できるか,というのは割と重要かもしれない。
Jott を導入してみた
なんか,最近は Jott が流行りらしい。
- Jott Messenger - free chat app for iOS and Android
- 中高生に人気爆発のメッセージングアプリJottはデータプラン不要のメッシュネットワーク | TechCrunch Japan
私はミーハーなので早速導入してしまった。 が,よく考えたら相手がいない orz
Jott は Instagram アカウントで認証できるらしい。 Instagram も基盤(infrastructure)として利用されるようになってきたということかねぇ。 まぁ LINE ユーザの友人へのけん制にはなる? (LINE は捨てたけど最近 JK に人気の Jott ならある,とか?)
Jott の特徴のひとつはメッシュ・ネットワークで P2P でやり取りできることのようだ。 日本で「メッシュ・ネットワーク」というと商業まみれの胡散臭い buzzword として理解されているが(笑),実際には ISP に支配された「インターネット」の代替えとなるものだ。
インターネットの「停止スイッチ」に成り果てた ISP を避けて, Bluethooth LE やメッシュ・ネットワークに若い子らが飛びつくというのは(それが金銭的理由だとしても)面白いことである。
