スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い

2013/10/18-1

今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。

この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。

インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄くアメリカ的だと思いました。

11枚の紙に印刷して提出

Ladar Levison氏のささやかな抵抗が個人的に面白かったです(映像中23分頃)。 NANOG会場でも笑いが発生していました。

裁判所にSSL秘密鍵を渡すことの意味を説明しても受け入れてもらえず、裁判官に翌日朝にSSL秘密鍵を提出することを命じられたLadar Levison氏は、具体的な提出媒体が指定されていなかったので、11枚の紙にSSL秘密鍵を印刷して提出しました。 そのとき、1文字が8ptと小さく、2カラムにして、各行の先頭に行番号を入れつつ、OCRによる自動的な読み取りが難しそうなフォントで印刷したと言っています。

それで時間を稼いでおいて、物理的に全てを押収される場合に備えて帰宅後に暗号化されたドライブにLavabitの全てのデータをコピーしたようです。 発表中ではなく、最後の質疑応答で答えているのですが、この「暗号化されたドライブにコピーする」というのも大きなポイントだったようです。 全ての削除してサービスをシャットダウンしていると証拠隠滅になってしまいますが、暗号化されていて鍵が無いと読み取れないドライブであってもデータが残っているので「破壊ではない」ようです。

ただし、紙で提出した後にFBIから、CDで電子的にSSL秘密鍵を提出しなければ、24時間ごとに5000ドルずつ罰金を課して行くと言われたと語られています。 告知が行われた日にはFBIが受け取りに行けないとのことだったので最低5000ドルの罰金は確定してしまい、最終的に2日間で1万ドルの罰金が課せられたようです。

発表中で、Lavabitのシャットダウンが行われたのは、その二日の間だったと述べられています。

語る事を禁止されている

この発表で非常に時間を割いて語られているのが、「語る事を禁止されていた」という部分です。 何がどのように起きているのかを外部に語ることが禁止されているので、抵抗するのが難しいとしています。

とはいえ、最終的には公に語ることを勝ち取っているので、それができるという点においては、以前「インターネットの敵」というような報告書で名指しされていたネット検閲が厳しいと言われている国々と多少違うところなのかもとは思いました。

後半の話題

後半は、この問題がアメリカ全体に影響を与えるとLadar Levison氏が主張しています。

SSL秘密鍵を含む全ての情報を国家に提出したり、製品にバックドアを仕込むように命令されるような状況において、どの企業がどのように協力させられているのかが全くわからないような状況であれば、その国内で製品やサービスを作っている企業は信用されなくなってしまう、という主張です。

さらに最後の方で、Diffie-Hellman鍵交換を使うべきだと言っていたのもNANOGっぽいと思いました。 LavabitはDiffie-Hellman鍵交換を使っていなかったので、SSL秘密鍵を提出してしまうと過去の全ての暗号が解かれてしまうのですが、それを有効にしてあれば過去の通信に対する暗号を解くのが困難になっていただろうと主張しています。

911以降、アメリカ国内のインターネット業界での空気感が大きく変わったという話は、良く聞きますが、実際にどのように変わっていたのかが表面化しつつあるように思える今日この頃です。

EFFによるNANOG発表

EFF(Electronic Frontier Foundation)も「Through a PRISM, Darkly」というタイトルで発表を行っています。 興味のある方は、そちらもどうぞ。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!