+コメントタイで働くオーストラリア人のコンピューター科学者が、パブリック API と JavaScript を使用して 1 日足らずで公開鍵暗号のデモンストレーターを作成し、オーストラリアの暗号に関する議論に貢献しました。
Brandis.io は有用な暗号化実装ではありませんが (サイト自体にその旨が書かれています)、公共教育の実践としては有用です。
著者の Peter Kelly 博士は、WebCryptoAPI を使用して、わずか 445 行の JavaScript コードでエンドツーエンドの暗号を実装しました。
Kelly 氏が GitHub で書いているように、「Brandis 自体は暗号化を実装していません。代わりに、ブラウザが提供する Web Cryptography API に依存しており、この API に非プログラマーでも使用できるユーザー インターフェイスを公開しているだけです。」
そのため、このサイズは小さくなっています。暗号化は、公開 API への直接呼び出しの形ですでに存在しています。公開キーと秘密キーの生成やメッセージの暗号化/復号化よりも、画面の機能に多くの JavaScript が費やされています。
ケリー博士のBrandis.io暗号デモンストレーター
ケリー氏はVulture Southにこう語った。「暗号を使うコードよりも、プレゼンテーションにずっと多くの時間を費やしました。公開鍵と秘密鍵のペアを生成するコードを書くよりも、配色を決める方が時間がかかりました。」
ケリー氏は、サイト訪問者に対し、これをメッセージングプラットフォームとして扱わないよう警告している。「Brandisは主にデモ用として開発されており、1日もかからずに完成しました。実際の使用には、GnuPGなどのより実績のあるソフトウェアをお勧めします。」
ちなみに、Brandis.io を試してみる場合は、現在のメッセージサイズ制限が190文字であることにご注意ください。Kelly がその理由を調査中です。®
+コメント: Vulture Southは、ケリー氏の取り組みは、オーストラリア政府がジョージ・ブランディス司法長官による「CryptoWars 2」と呼ばれる新たな攻撃で巻き起こした議論の一部にしか対処していないと指摘している。残りの半分はデバイスのセキュリティだ。
政府が暗号化を弱体化させるという考え方に抵抗する人々(マルコム・ターンブル首相がオーストラリアの法律は数学の法則に優先すると役に立たないジョークを飛ばしたことで浮き彫りになった、いわゆる「数学に対する戦争」)に対してよく浴びせられる批判は、彼らは誤解しているというものだ。なぜなら、送信中の暗号化メッセージを攻撃するのではなく、メッセージが保存されている間にメッセージを復元できるからだ。たとえば、iPhone や Android などのデバイスに保存されているメッセージを復元するなどだ。
まず、政府自身が、特定のエンドツーエンド暗号化アプリケーションを名指しして苦情を申し立て、プラットフォームメーカー(およびデバイスベンダー)に協力してもらうことを約束することで、強力な暗号化に注目を集めたことに留意する価値がある。
しかし、さらに重要なのは、エンドポイントの侵害は問題ないという主張は歴史を無視しているということです。IoTセキュリティの不備がMiraiボットネットによる大規模サーバーへの攻撃を引き起こした事例、NSAツールの漏洩がランサムウェアの猛威を振るった事例、あるいは2006年に始まったDNSチェンジャーマルウェア攻撃など、安全でないエンドポイントがもたらす危険性を示す証拠は数多く存在します。
「エンドポイントが安全でなければ、セキュリティは確保できない」という言葉は、筆者が1990年代に初めて耳にした言葉であり、今も真実です。「ベンダーが脆弱なデバイスを製造しても、強力な暗号技術は維持できる」と言って、脆弱な暗号技術への懸念を逸らすことはできません。
結局のところ、NSA でさえデバイスの脆弱性を秘密にしておくことはできなかったのです。®
