分析1990 年代初頭の米国 Clipper チップの時代以来、暗号化を回避するために政府の命令で設置されたバックドアが政府の間でこれほど流行したことはなかった。
クリッパーは、米国政府がアクセス可能なバックドアを備えた暗号化チップセットで、米国国家安全保障局(NSA)の支援を受けていましたが、フィル・ジマーマンという一人の男が自宅の空き部屋で頑固に抵抗し、専門家でさえ使いこなすのに苦労する自作アプリケーションPGPによって頓挫しました。しかし、当時民間企業に電話やモデムの設計にクリッパーを採用するよう要請していたNSAは、決して希望を捨てませんでした。そして今、再び挑戦の時を迎えているようです。
米英両政府は、かねてよりバックドアの存在を示唆してきたが、楽観論者はこれを政策というよりは願望だと捉えていた。先週、英国、米国、カナダ、ニュージーランドを含むファイブアイズ同盟を代表してオーストラリアが発行した覚書が公表され、バックドアは再び実現可能という領域に足を踏み入れた。
「ファイブアイズ各国政府は、情報通信技術サービスプロバイダーに対し、我々の国々で開発または運営する自社の製品やサービスへの合法的なアクセスソリューションを自主的に確立することを奨励している」と報告書は述べている。
注目すべきは、「バックドア」という言葉が一切出てこないことです。これは、官僚が「合法的なアクセス」という概念を呼ぶ言葉ではありません。しかし、その意図は明確です。「各国政府が、自国民の保護に必要な情報への合法的なアクセスにおいて引き続き障害に遭遇する場合、合法的なアクセスを実現するため、技術的、執行的、立法的、またはその他の手段を講じる場合があります。」
オジーのバックドア
脆弱性データベースを管理する米国立標準技術研究所(NIST)が、米国政府(ひいては米国が支配する業界全体)が使用する暗号方式を承認する権限を独占しているにもかかわらず、暗号が警察にとって問題となっていることは周知の事実です。警察が暗号を全く解読できないというわけではありません。あらゆるシステムには設計上の弱点や脆弱性が存在するからです。しかし、十分な数の標的を監視し、効果を上げるには、十分な速さで解読することができません。
スパイたちは暗号化された通信データにアクセスできないことにまだ激怒している
続きを読む
誰もが、連邦政府やNSAがテロリストのハードドライブに接続されたスーパーコンピューターのある部屋に座っている姿を想像するだろう。しかし、バックドアの仕組みはそうではない。暗号を解読するのではなく、迂回するのだ。ファイブアイズが求めているのは、通信を静かに、そして目立たずに、おそらくリアルタイムで監視する方法だ。クリッパーのような複雑な鍵預託(あるいはレイ・オジーの奇妙なリプライズ)は必要ない。これは諜報員が暗号鍵を借りる手段に過ぎない。
大きなお世話
これが業界標準になれば、本当に危険な人物はインターネット サービスを他の場所で探すだけになりますが、大手 Web 企業は、長期的には自社のビジネスに悪影響を及ぼすリスクのある、盗聴にあたる J エドガー・フーバーの台頭の延長線上にあることを恐れて抵抗するのは当然です。
問題は、法人顧客が法的および概念的なレベルでこれをどう受け止めるかということです。大企業はクラウド上に独自の暗号化技術を重ねることができますが、すべてのサービスがそうできるわけではありません。クラウドの本質はまさにこれです。クラウドが機能を果たすのであって、顧客が機能するのではありません。原則として、これらは同じ監視の対象となるでしょう。
この状況は長くは続かないだろう。組織は、悪意ある人物の侵入を防ぎ、自社の従業員、いわゆる内部脅威を抑制するために多額の投資を行っている。確かに、今日では政府はあらゆる組織のデータへのアクセスを要求できるが、その方法と時期には常に制限がある。懐疑的な人々(ここではサイレント・マジョリティと呼ぶことにしよう)にとって、サービスプロバイダーレベルでの政府によるクラウドデータへのアクセスの義務化は、既存のリスクにさらに重なるリスクのように聞こえるだろう。
内部不正者を見つけるのはすでに大変な作業です。令状付きの行動をとる政府内部不正者を見つけるのは、人気が出ないでしょう。®
