1 ポイント 投稿者 GN⁺ 2024-05-14 | 1件のコメント | WhatsAppで共有
  • TelegramはElon Muskの助けを借りてSignalを安全でないメッセンジャーだと印象づけ、活動家たちをデフォルトの暗号化が弱いTelegramへ移行させようとしているとの批判を受けている
  • Signal ProtocolはSignalやWhatsAppなどで使われている公開暗号技術で、オープンソース公開と専門家によるレビューがセキュリティへの信頼の中核となっている
  • Telegramでは、ユーザーが自分で「Secret Chat」を開始しない限り、会話がエンドツーエンド暗号化されず、サーバー上でデータが見える可能性がある
  • Pavel DurovはTelegramの再現可能ビルドを根拠にSignalより安全だと述べているが、iOSでの検証には古い脱獄済みiPhoneが必要で、アプリ全体の検証も不可能である
  • Telegramを使うユーザーは、専門家であっても通信の機密性を保証するのは難しいという前提で、機密性の要件と管轄権リスクを自ら判断する必要がある

SignalとTelegramの暗号化構造の違い

  • Signal ProtocolはSignalの暗号基盤であり、WhatsAppや複数のメッセンジャーでも使われている
    • オープンソースとして公開され、暗号学者による厳しいレビューを受けてきた
    • 公開レビューは暗号学において重要な信頼基準として機能する
  • Signalのクライアントコードもオープンソースであり、Signal-iOSリポジトリでコードと暗号ライブラリを確認できる
    • オープンソースであることがバグの可能性をなくすわけではないが、多くの専門家がコードを確認できる
  • Telegramはデフォルトでは会話をエンドツーエンド暗号化しない
    • ユーザーが自分で暗号化された「Secret Chat」を開始する必要がある
    • Secret Chatでなければ、データがTelegramのサーバー上で見える可能性がある
    • Telegram利用者の特性上、サーバーが情報機関の関心対象になり得るとの懸念がある

再現可能ビルドをめぐる論争と検証の限界

  • Pavel DurovはTelegramがSignalより安全だとして、Signalには再現可能ビルドがなく、Telegramにはあると主張している
  • 再現可能ビルドとは、公開されたソースコードが実際にApp Storeからダウンロードするアプリのビルドに使われたかを確認する方法である
    • ユーザーが自分でコードをビルドしたうえで、ダウンロードしたアプリと比較できる
  • SignalはAndroidで再現可能ビルドを提供しており、Android環境では比較的簡単な手順で検証できる
    • iOSではApple関連の理由で非常に難しく、アプリの暗号化が主な障害となっている
    • Appleがこの問題を修正すべきだとの指摘がある
  • TelegramはiOSで再現可能ビルドを実現するための迂回的な解決策を試みたが、TelegramのiOS再現可能ビルド案内には大きな制約がある
    • 古い脱獄済みiPhoneが必要である
    • 最終的にもアプリ全体を検証できず、一部のファイルは暗号化されたまま残る

ユーザーが実際に引き受けるべきセキュリティリスク

  • Telegramのセキュリティ論争で最大の争点は、ほとんどのユーザーにデフォルトのエンドツーエンド暗号化を提供しないという選択である
    • Telegram利用時には、専門家でも通信の機密性を保証するのは難しいと見られている
    • Secret Chatモードであっても機密性を信頼しないという見解が示されている
    • ユーザーは機密性がどれほど重要か、Telegramのサーバーがどこで運用されているか、どの政府の管轄権の下で動作しているかを判断する必要がある

1件のコメント

 
GN⁺ 2024-05-14
Hacker News の意見
  • Du Rove は「Signal のメッセージが米国の裁判所やメディアで当事者に不利に使われた」と述べたが、誰かが携帯電話を持っているなら、Telegram でも同じ問題が起きる
    Signal はクライアントロックが可能で、データベースも暗号化されているはず
    また Du Rove が触れていないのは、Signal が米国の裁判所に対して勝った点だ。召喚状で全ユーザー情報を要求された際、Signal が提供したのは、アカウント作成時刻の Unix タイムスタンプと、Signal サービスに最後に接続した日付だけだった
    それは 2021 年末の話で、Telegram が FSB に何を提供したのか本当に気になる
    https://signal.org/bigbrother/cd-california-grand-jury/

    • 記憶が正しければ、Telegram は FSB が情報を要求したため中核開発者を Dubai に移したので、その懸念は根拠が弱いとも言える
      より大きな問題は、Telegram がデフォルトで安全ではない暗号化設定を使っていることだ。Signal は暗号化が標準だが、Telegram は手動で有効にする必要があり、すべてのチャットやクライアントで有効にできるわけでもないはず
      例えば Tdesktop はまだエンドツーエンド暗号化に対応していないようだ
      Telegram は暗号化されていない通信を法執行機関にそのまま渡す形で協力する可能性があり、これはセキュリティを餌にしたダークパターンだと思う。プライバシーを大きな利点として掲げながら、基本の保護は有効にしていない構造だ
    • 「勝った」というのは、召喚状に応じなくてよかったという意味であるべきだ
    • 「アカウント作成時刻と最後の接続日だけ渡した」という部分が紛らわしい
      Signal は登録に電話番号を要求するので、電話番号も持っており、これが Signal に対する主なプライバシー批判だ
    • Telegram はかなり前に Dubai に移ったのに、FSB がどうやって強制できると考えるのか分からない
    • データベースは暗号化されているが、パスワードがそのすぐ横の JSON ファイルにある
  • https://nitter.poast.org/matthew_d_green/status/1789687898863792453

    • Signal と Telegram を比べると、Telegram の暗号化はほとんど無効で、サーバー側でメッセージにアクセスできる
      選択式のエンドツーエンド暗号化は使い勝手が悪く、すべてのプラットフォームで提供されているわけでもない。例えば Tdesktop はまだエンドツーエンド暗号化をサポートしていないはずだ
      オープンソースクライアントで Telegram アカウントを登録することも、もはや不可能になっている。これは議論の余地すらない
      他のメッセンジャーが WhatsApp のように Signal の暗号化方式を使っているからといって、それでより信頼できるようになるわけではない
      バイナリから実装が正しいか検証することはできるが、提供元がアップデートチャネルやベータ配信機能を管理していれば、標的型機能を隠しやすい。WhatsApp でも、通常経路ではない方法でチャットを取り出してエンドツーエンド暗号化を回避した事例があった気がする
      Signal は F-Droid にはないが、今では upstream が受け入れたサードパーティ実装がある。ソフトウェア提供者とインフラ提供者を分離することもでき、Molly.im を見ればよい
      技術に詳しくない人なら、同じことをより保護の弱い方法で行う別のメッセンジャーよりも、Signal に連れてくるほうがよいと思う
      Matrix? 笑える
    • Signal はもう Android で再現可能ビルドを提供しているのか? もしそうなら、なぜ F-Droid にもないのか気になる
    • Telegram の再現可能な iOS ビルドがどう可能だったのかは分かった。「脱獄した古い iPhone が必要で、終わってもアプリ全体は検証できず、一部ファイルは暗号化されたまま残る」
      要するに、本当に再現可能か確かめるにはとにかく大変だということだ
  • Telegram は独自暗号を使っていた時代にも、自分たちのほうが安全だと主張していた
    セキュリティは Telegram の強みではなく、最初からそうだったこともない

    • なぜ MTProto は独自暗号と見なされて、Signal Protocol はそう見なされないのか分からない
      どちらもそれぞれのシステム向けに最初から作られたカスタムプロトコルだ
    • 技術的に見れば、Signal も独自暗号を使っていることにならないか?
    • 独自暗号がなぜ本質的に安全でないのか気になる
  • これは感情、特に恐怖やパラノイアを利用して、人々を Telegram という出来の悪いプラットフォームへ移そうとするTelegram の心理戦

  • 「私が話した重要人物のうち驚くほど多くが、自分たちの『非公開』Signal メッセージが米国の裁判所やメディアで不利に使われたと言っていた」という主張について、Signal の競合相手が自分の重要な友人たちの非公開証言を語っている以外に、何か出典はあるのだろうか
    あるいは裁判所やメディアがロック解除された携帯電話を確保しただけなら、Telegram でも保護はできない

    • おそらく携帯電話を押収され、ロックが解除された状態でメッセージにアクセスされたのだと思う
      法務チームが関与したときに、大手 IT 組織がこれをこう処理した例をいくつも知っている。問題の携帯電話にある Signal チャットを、別の携帯電話でそのまま撮影するような形だ
    • https://discuss.techlore.tech/t/tucker-claims-nsa-had-access-to-his-signal-messages/7477
  • TelegramのサーバーがDubaiにあり、政府の性格も中立的な独裁に近く、暗号化も不十分だという点を見れば、基本的な前提はそちらだと思う
    主要な政府にユーザーデータへのアクセス権を売っているだけでなく、入札手続きまで簡素化している可能性が高い

    • その通り。「暗号化をオンにできる」という魔法のような問題は、ほとんどのユーザーが実際にはオンにしないことにある
      「暗号化が必要ならオンにすればいい」と言っても、2つの問題が生じる。突然暗号化をオンにした人として識別されること、そしてもっとありそうなのは、会話相手の誰かが暗号化をオンにするのを忘れて平文ですべて話してしまうことだ
      Signalモデルの核心は、常に暗号化される点にある。Let’s Encryptが重要な理由も同じだ。効果的なセキュリティのためには、群衆の中に紛れられなければならない
      暗号化の利用がまれだと、誰が暗号化を使っているのか、あるいは突然使い始めたのかという事実自体が非常に価値の高いデータになる
      だからTelegramは、どのユーザーアカウントが暗号化チャットの利用頻度を変えたかというタイムライン情報も、きっと売るだろう
    • ロシア人もウクライナ人もTelegramを使っていて、外国領土の工作員と機密メッセージをやり取りするのにも使っている
      だから私には、十分安全だという証拠に見える
  • 傍受が起こり得るレイヤーはいくつもある
    画面キーボードは基本的に入力内容を送信することが多く、出所の怪しいサードパーティ製キーボードがプリインストールされたスマートフォンも多い
    「バックアップを有効化」詐欺もある。Google PhotosやWhatsAppのようなアプリを起動したとき、自分や配偶者がポップアップでうっかり「確認」を押してしまう可能性がある
    ハードウェアドライバはオープンソースではないバイナリブロブで、バックドアがあるかもしれない
    OSについても、どんな情報が記録されてスマートフォンメーカーに送信されているのか、実際のところ分からない

    • 「ほとんどのスマートフォンがデフォルトで入力内容を送信する」が本当なら大変な話だが、根拠があるのか気になる
      GoogleでさえGboardで入力された内容をすべて記録するほど図々しくはなく、連合学習を実装していた
    • 私の夫も、うっかり「確認」を押してしまうかもしれない
  • この記事は、Telegram創業者Durovの次の投稿への反応である
    https://t.me/durov/274

    • 「取締役会メンバーの1人が以前いた組織が気に入らない」という類いの批判は弱い。暗号エコシステムの上級人物で、経歴のどこかでそういう類いの仕事に関わっていない人を見つけるのは難しい
      「資金の出どころが気に入らない」も同様だ。米国政府は、自らの運営にも必要だからこそ、セキュリティソフトウェアにしばしば資金を出す。Torがその例だ
      「驚くほど多くの人がチャットが漏えいしたと思っている」という話は、出典なしでも簡単に言える。驚くほど多くの人が、Facebookがスマートフォンのマイクで自分を盗み聞きしているとも信じている。人々は運用上のセキュリティが苦手で、それ自体は今に始まったことではない
      「再現可能ビルドがなく、コミュニティのGitHubリクエストを閉じた」という主張も誤りだ。Androidは再現可能で、閉じたIssueでもGitHubで機能要望は受け付けていないので、正しいチャンネルに投稿するよう明記していた
      「再現可能ビルドを提供しているのはTelegramだけだ」という話にも大した意味はない。Telegramは暗号化チャット自体が貧弱で、いくら再現してもチャットが安全になるわけではない
      Signalはエンドツーエンド暗号化とAndroidの検証可能ビルドを備えているので、セキュリティ上の立ち位置は明らかにより良い
  • Signalは、クライアント全体の完成度と洗練度、特にデスクトップアプリの優先順位を上げるか、あるいはそうした点を重視するサードパーティ製クライアントを許可すれば、人気を得る余地がある
    iMessage、Telegram、Signalをすべて使っているが、利用の大半は最初の2つに偏っている。周囲の人たちがそこに多いからだ
    3つのサービスのユーザー体験を比べれば、その理由は簡単に分かる

    • 本人確認署名を提供するサードパーティ製クライアントを許可するなら、本当に素晴らしく、支持に値すると思っていた
      Signalは現在、電話番号を直接検証してこれを実現しているため、中央で処理し続ける必要がある。「クライアントを決して信頼するな」という原則はSignal自身のクライアントにも同様に当てはまり、「未検証のユーザーが知らない相手に先に連絡できるよう許可する」方式は、現代の電話網全体を汚染したスパム経路だ。だからSTIR/SHAKENがある
      この必要性が解決されたとしても、サードパーティ製クライアントの最大の危険は、魅力的な外見の中に意図的に破損したコードが入っていることだ。これを防ぐ唯一の方法は、サードパーティ製クライアントを最初から許可しないことだけだ
      こうした予想される流れを検討した結果、結局サードパーティ製クライアントをこれ以上支持しないようになった
  • https://nitter.poast.org/matthew_d_green/status/1789687898863792453