DEF CON Infosec のスーパーバンドである Cult of the Dead Cow は、クライアントを接続し、ピアツーピアの分散型方式で情報を転送するためにアプリケーションが使用できるオープン ソース プロジェクト Veilid (発音は vay-lid) をリリースしました。
ここでの考え方は、モバイル、デスクトップ、ウェブ、ヘッドレスなど、あらゆるアプリが、中央集権化された、多くの場合企業所有のシステムを経由することなく、インターネットを介してプライベートかつ安全に互いを見つけ、通信できるようにすることです。Veilidは、アプリ開発者がソフトウェアに組み込むコードを提供することで、クライアントがピアツーピアコミュニティに参加し、通信できるようにします。
本日の DEF CON プレゼンテーションでは、Katelyn "medus4" Bowden 氏と Christien "DilDog" Rioux 氏が、開発に 3 年かかったと思われるプロジェクトの技術的詳細を説明しました。
インターネットを再び分散化すべき時が来た。分散されていたものが、GoogleやFacebookなどによって集中化されている。
続きを読む
このシステムは主にRustで書かれており、DartとPythonも少し使用しています。Tor匿名化サービスとピアツーピアの惑星間ファイルシステム(IPFS)の要素を取り入れています。あるデバイス上のアプリがVeilidを介して別のデバイス上のアプリに接続した場合、どちらのクライアントもその接続から相手のIPアドレスや位置情報を知ることはできません。これは例えばプライバシー保護に役立ちます。アプリ開発者もこれらの情報を取得できません。
Veilid の設計については、こちらで文書化されており、そのソース コードは、こちらで、Mozilla パブリック ライセンス バージョン 2.0 に基づいて入手できます。
「IPFSはプライバシーを考慮して設計されていません」とリオ氏はDEF CONの聴衆に語った。「Torはプライバシーを考慮して設計されていましたが、パフォーマンスを考慮して構築されていませんでした。NSAが100個の[Tor]出口ノードを運用すれば、機能不全に陥る可能性があります。」
Torとは異なり、Veilidは出口ノードを運用しません。Veilidネットワーク内の各ノードは同等であり、NSAがTorユーザーと同様にVeilidユーザーを監視しようとする場合、連邦政府はネットワーク全体を監視する必要がありますが、NSAでさえもそれが実現不可能であることを願います。Rioux氏はこれを「まるでTorとIPFSがセックスしてこのものを生み出したかのようだ」と表現しました。
「ここには無限の可能性があります」とボウデン氏は付け加えた。「すべてのアプリは平等であり、私たちの強さは最も弱いノードの強さに左右されます。そして、すべてのノードは平等です。皆さんがこれを活用して発展していくことを願っています。」
盛大なローンチ…DEF CON での medus4 (左) と DilDog
Veilidコアライブラリを使用するアプリの各コピーはネットワークノードとして機能し、他のノードと通信し、256ビットの公開鍵をID番号として使用します。特別なノードはなく、単一障害点もありません。このプロジェクトは、Linux、macOS、Windows、Android、iOS、ウェブアプリをサポートしています。
VeilidはUDPとTCPで通信でき、接続は認証、タイムスタンプ付与、強力なエンドツーエンド暗号化、デジタル署名によって盗聴、改ざん、なりすましを防止します。Veilidで使用されている暗号化はVLD0と名付けられており、プロジェクトが「独自のものを開発」することで脆弱性が生じるリスクを避けたため、既存のアルゴリズムを使用しているとRioux氏は述べています。
つまり、暗号化にはXChaCha20-Poly1305、公開鍵・秘密鍵認証と署名にはElliptic Curve25519、DH鍵交換にはx25519、暗号ハッシュにはBLAKE3、パスワードハッシュ生成にはArgon2を使用します。これらは、将来必要に応じて、より強力なメカニズムに変更される可能性があります。
Veilidによってローカルストレージに書き込まれるファイルは完全に暗号化されており、開発者は暗号化されたテーブルストアAPIを利用できます。デバイスデータを暗号化するためのキーはパスワードで保護できます。
- 30万人以上のユーザーを抱えるChrome拡張機能の開発者が、売り切れへの絶え間ないプレッシャーを語る
- Microsoft 365 ゲスト アカウント + Power Apps = セキュリティの悪夢
- 伝説のハッカーでありL0phtのメンバーでもあるPeiter ZatkoがTwitterのセキュリティ責任者に就任
- 今年もこの時期がやってきました: 情報セキュリティカンファレンスの三位一体
「このシステムでは、IPアドレスも追跡もデータ収集も追跡も行われない。これが、インターネット利用から収益を得るための最大の方法だ」とボウデン氏は語った。
「億万長者たちはこうした接続を収益化しようとしており、多くの人がそれに騙されています。私たちは、この仕組みを確実に利用できるようにしなければなりません」とボウデン氏は続けた。Veilidを組み込んだアプリケーションが通信に利用されるようになることを期待している。そうすれば、ユーザーは上記の技術的な知識を一切持たなくても、ネットワークの恩恵を受けることができる。つまり、ただ機能するはずだ。
システムの機能を実証するために、チームはFlutterフレームワークを使用して、Signalに似たVeilidベースの安全なインスタントメッセージングアプリ「VeilidChat」を構築しました。さらに多くのアプリが必要です。
もしヴェイリッドが本格的に普及すれば、監視資本主義経済に大きな風穴を開ける可能性がある。これまでにも試みられてきたが、結果はまちまち、あるいは芳しくなかった。しかし、このカルトは物事をきちんと実行するという評判がある。®
