Telegram、Signalのセキュリティ脆弱性を攻撃する激しいキャンペーンを展開
(twitter.com/matthew_d_green)- TelegramはElon Muskの助けを借りてSignalを安全でないメッセンジャーだと印象づけ、活動家たちをデフォルトの暗号化が弱いTelegramへ移行させようとしているとの批判を受けている
- Signal ProtocolはSignalやWhatsAppなどで使われている公開暗号技術で、オープンソース公開と専門家によるレビューがセキュリティへの信頼の中核となっている
- Telegramでは、ユーザーが自分で「Secret Chat」を開始しない限り、会話がエンドツーエンド暗号化されず、サーバー上でデータが見える可能性がある
- Pavel DurovはTelegramの再現可能ビルドを根拠にSignalより安全だと述べているが、iOSでの検証には古い脱獄済みiPhoneが必要で、アプリ全体の検証も不可能である
- Telegramを使うユーザーは、専門家であっても通信の機密性を保証するのは難しいという前提で、機密性の要件と管轄権リスクを自ら判断する必要がある
SignalとTelegramの暗号化構造の違い
- Signal ProtocolはSignalの暗号基盤であり、WhatsAppや複数のメッセンジャーでも使われている
- オープンソースとして公開され、暗号学者による厳しいレビューを受けてきた
- 公開レビューは暗号学において重要な信頼基準として機能する
- Signalのクライアントコードもオープンソースであり、Signal-iOSリポジトリでコードと暗号ライブラリを確認できる
- オープンソースであることがバグの可能性をなくすわけではないが、多くの専門家がコードを確認できる
- Telegramはデフォルトでは会話をエンドツーエンド暗号化しない
- ユーザーが自分で暗号化された「Secret Chat」を開始する必要がある
- Secret Chatでなければ、データがTelegramのサーバー上で見える可能性がある
- Telegram利用者の特性上、サーバーが情報機関の関心対象になり得るとの懸念がある
再現可能ビルドをめぐる論争と検証の限界
- Pavel DurovはTelegramがSignalより安全だとして、Signalには再現可能ビルドがなく、Telegramにはあると主張している
- 再現可能ビルドとは、公開されたソースコードが実際にApp Storeからダウンロードするアプリのビルドに使われたかを確認する方法である
- ユーザーが自分でコードをビルドしたうえで、ダウンロードしたアプリと比較できる
- SignalはAndroidで再現可能ビルドを提供しており、Android環境では比較的簡単な手順で検証できる
- iOSではApple関連の理由で非常に難しく、アプリの暗号化が主な障害となっている
- Appleがこの問題を修正すべきだとの指摘がある
- TelegramはiOSで再現可能ビルドを実現するための迂回的な解決策を試みたが、TelegramのiOS再現可能ビルド案内には大きな制約がある
- 古い脱獄済みiPhoneが必要である
- 最終的にもアプリ全体を検証できず、一部のファイルは暗号化されたまま残る
ユーザーが実際に引き受けるべきセキュリティリスク
- Telegramのセキュリティ論争で最大の争点は、ほとんどのユーザーにデフォルトのエンドツーエンド暗号化を提供しないという選択である
- Telegram利用時には、専門家でも通信の機密性を保証するのは難しいと見られている
- Secret Chatモードであっても機密性を信頼しないという見解が示されている
- ユーザーは機密性がどれほど重要か、Telegramのサーバーがどこで運用されているか、どの政府の管轄権の下で動作しているかを判断する必要がある
1件のコメント
Hacker News の意見
Du Rove は「Signal のメッセージが米国の裁判所やメディアで当事者に不利に使われた」と述べたが、誰かが携帯電話を持っているなら、Telegram でも同じ問題が起きる
Signal はクライアントロックが可能で、データベースも暗号化されているはず
また Du Rove が触れていないのは、Signal が米国の裁判所に対して勝った点だ。召喚状で全ユーザー情報を要求された際、Signal が提供したのは、アカウント作成時刻の Unix タイムスタンプと、Signal サービスに最後に接続した日付だけだった
それは 2021 年末の話で、Telegram が FSB に何を提供したのか本当に気になる
https://signal.org/bigbrother/cd-california-grand-jury/
より大きな問題は、Telegram がデフォルトで安全ではない暗号化設定を使っていることだ。Signal は暗号化が標準だが、Telegram は手動で有効にする必要があり、すべてのチャットやクライアントで有効にできるわけでもないはず
例えば Tdesktop はまだエンドツーエンド暗号化に対応していないようだ
Telegram は暗号化されていない通信を法執行機関にそのまま渡す形で協力する可能性があり、これはセキュリティを餌にしたダークパターンだと思う。プライバシーを大きな利点として掲げながら、基本の保護は有効にしていない構造だ
Signal は登録に電話番号を要求するので、電話番号も持っており、これが Signal に対する主なプライバシー批判だ
https://nitter.poast.org/matthew_d_green/status/1789687898863792453
選択式のエンドツーエンド暗号化は使い勝手が悪く、すべてのプラットフォームで提供されているわけでもない。例えば Tdesktop はまだエンドツーエンド暗号化をサポートしていないはずだ
オープンソースクライアントで Telegram アカウントを登録することも、もはや不可能になっている。これは議論の余地すらない
他のメッセンジャーが WhatsApp のように Signal の暗号化方式を使っているからといって、それでより信頼できるようになるわけではない
バイナリから実装が正しいか検証することはできるが、提供元がアップデートチャネルやベータ配信機能を管理していれば、標的型機能を隠しやすい。WhatsApp でも、通常経路ではない方法でチャットを取り出してエンドツーエンド暗号化を回避した事例があった気がする
Signal は F-Droid にはないが、今では upstream が受け入れたサードパーティ実装がある。ソフトウェア提供者とインフラ提供者を分離することもでき、Molly.im を見ればよい
技術に詳しくない人なら、同じことをより保護の弱い方法で行う別のメッセンジャーよりも、Signal に連れてくるほうがよいと思う
Matrix? 笑える
要するに、本当に再現可能か確かめるにはとにかく大変だということだ
Telegram は独自暗号を使っていた時代にも、自分たちのほうが安全だと主張していた
セキュリティは Telegram の強みではなく、最初からそうだったこともない
どちらもそれぞれのシステム向けに最初から作られたカスタムプロトコルだ
これは感情、特に恐怖やパラノイアを利用して、人々を Telegram という出来の悪いプラットフォームへ移そうとするTelegram の心理戦だ
https://www.bugeyedandshameless.com/p/chris-rufo-katherine-maher-signal
「私が話した重要人物のうち驚くほど多くが、自分たちの『非公開』Signal メッセージが米国の裁判所やメディアで不利に使われたと言っていた」という主張について、Signal の競合相手が自分の重要な友人たちの非公開証言を語っている以外に、何か出典はあるのだろうか
あるいは裁判所やメディアがロック解除された携帯電話を確保しただけなら、Telegram でも保護はできない
法務チームが関与したときに、大手 IT 組織がこれをこう処理した例をいくつも知っている。問題の携帯電話にある Signal チャットを、別の携帯電話でそのまま撮影するような形だ
TelegramのサーバーがDubaiにあり、政府の性格も中立的な独裁に近く、暗号化も不十分だという点を見れば、基本的な前提はそちらだと思う
主要な政府にユーザーデータへのアクセス権を売っているだけでなく、入札手続きまで簡素化している可能性が高い
「暗号化が必要ならオンにすればいい」と言っても、2つの問題が生じる。突然暗号化をオンにした人として識別されること、そしてもっとありそうなのは、会話相手の誰かが暗号化をオンにするのを忘れて平文ですべて話してしまうことだ
Signalモデルの核心は、常に暗号化される点にある。Let’s Encryptが重要な理由も同じだ。効果的なセキュリティのためには、群衆の中に紛れられなければならない
暗号化の利用がまれだと、誰が暗号化を使っているのか、あるいは突然使い始めたのかという事実自体が非常に価値の高いデータになる
だからTelegramは、どのユーザーアカウントが暗号化チャットの利用頻度を変えたかというタイムライン情報も、きっと売るだろう
だから私には、十分安全だという証拠に見える
傍受が起こり得るレイヤーはいくつもある
画面キーボードは基本的に入力内容を送信することが多く、出所の怪しいサードパーティ製キーボードがプリインストールされたスマートフォンも多い
「バックアップを有効化」詐欺もある。Google PhotosやWhatsAppのようなアプリを起動したとき、自分や配偶者がポップアップでうっかり「確認」を押してしまう可能性がある
ハードウェアドライバはオープンソースではないバイナリブロブで、バックドアがあるかもしれない
OSについても、どんな情報が記録されてスマートフォンメーカーに送信されているのか、実際のところ分からない
GoogleでさえGboardで入力された内容をすべて記録するほど図々しくはなく、連合学習を実装していた
この記事は、Telegram創業者Durovの次の投稿への反応である
https://t.me/durov/274
「資金の出どころが気に入らない」も同様だ。米国政府は、自らの運営にも必要だからこそ、セキュリティソフトウェアにしばしば資金を出す。Torがその例だ
「驚くほど多くの人がチャットが漏えいしたと思っている」という話は、出典なしでも簡単に言える。驚くほど多くの人が、Facebookがスマートフォンのマイクで自分を盗み聞きしているとも信じている。人々は運用上のセキュリティが苦手で、それ自体は今に始まったことではない
「再現可能ビルドがなく、コミュニティのGitHubリクエストを閉じた」という主張も誤りだ。Androidは再現可能で、閉じたIssueでもGitHubで機能要望は受け付けていないので、正しいチャンネルに投稿するよう明記していた
「再現可能ビルドを提供しているのはTelegramだけだ」という話にも大した意味はない。Telegramは暗号化チャット自体が貧弱で、いくら再現してもチャットが安全になるわけではない
Signalはエンドツーエンド暗号化とAndroidの検証可能ビルドを備えているので、セキュリティ上の立ち位置は明らかにより良い
Signalは、クライアント全体の完成度と洗練度、特にデスクトップアプリの優先順位を上げるか、あるいはそうした点を重視するサードパーティ製クライアントを許可すれば、人気を得る余地がある
iMessage、Telegram、Signalをすべて使っているが、利用の大半は最初の2つに偏っている。周囲の人たちがそこに多いからだ
3つのサービスのユーザー体験を比べれば、その理由は簡単に分かる
Signalは現在、電話番号を直接検証してこれを実現しているため、中央で処理し続ける必要がある。「クライアントを決して信頼するな」という原則はSignal自身のクライアントにも同様に当てはまり、「未検証のユーザーが知らない相手に先に連絡できるよう許可する」方式は、現代の電話網全体を汚染したスパム経路だ。だからSTIR/SHAKENがある
この必要性が解決されたとしても、サードパーティ製クライアントの最大の危険は、魅力的な外見の中に意図的に破損したコードが入っていることだ。これを防ぐ唯一の方法は、サードパーティ製クライアントを最初から許可しないことだけだ
こうした予想される流れを検討した結果、結局サードパーティ製クライアントをこれ以上支持しないようになった
https://nitter.poast.org/matthew_d_green/status/1789687898863792453