Baldanders.info

安全なメッセージング・アプリ(ちょびっと改訂)

EFF の “Secure Messaging Scorecard”がアップデートされている。 以下に差分のみ抽出してみる。 以前書いた「安全なメッセージング・アプリとは」と併せてどうぞ。

 要件1要件2要件3要件4要件5要件6要件7
QQ
Telegram
Telegram (secret chats)
Secure Messaging Scorecard (licensed under Attribution License by Electronic Frontier Foundation, 2014-11-04)

ちなみに7つの要件を再掲載しておくと

  1. Encrypted in transit? (メッセージは暗号化して送られているか)
  2. Encrypted so the provider can't read it? (プロバイダーに読まれないように暗号化されているか)
  3. Can you verify contacts' identities? (連絡先の確認が可能か)
  4. Are past comms secure if your keys are stolen? (キーが盗まれた場合でも過去の通信が安全といえるか)
  5. Is the code open to independent review? (コードが開示されているか)
  6. Is security design properly documented? (セキュリティ・デザインは正しく文書化されているか)
  7. Has there been any recent code audit? (コードがしっかりと監査されているか)

である。(日本語訳は ASCII.jp の記事を拝借した)

まぁ QQ を使う日本ユーザは多くあるまい。 TelegramPerfect Forward Secrecy をサポートし始めたのは朗報だろう。 Telegram は複数のプラットフォームに対応しているのが特徴。 iOS や Windows Phone にも対応している。

うん,まぁその通り。 しかし PIN コードを(「証明(certification)」ではなく)「認証(authentication)」として使うことに誰もツッコミを入れないのだろうか。 個人的には(パスワードより弱い PIN コードを認証に使う時点で)アウト! なのだが。

(てな話を Facebook でしてたら,ユーザ層の広い LINE では TOTP のような仕組みを入れても騙される人は騙されるかも,という意見があって,それはそれでなるほどと思ったのだが)

Peerio というツールが登場したらしい。

今ひとつよく分かってないのだが,何処にも鍵を保持しないということは,鍵の強度は(鍵自身の強度ではなく)パスフレーズの強度で決定してしまう(パスフレーズが第3者に漏洩しないという前提で)のだが,それって「使える」の?

PGPと比較してPeerioの大変便利な点は、「プライヴェート・キー」と呼ばれるユーザー固有の暗号キーの存在だ。Peerioではユーザーがログインするたびに、そのユーザーが設定した「パスフレーズ」(パスワードではなく“フレーズ”だ)からプライヴェート・キーを生成する。アプリケーションが閉じられると、そのキーも消えてしまう。つまり理論上は、ユーザーはプライヴェート・キーをコピー&ペーストしたり保管する必要はなく、どの機器からでもログインして暗号化された自分のファイルにアクセスできる。
この方法の欠点は、Peerioユーザーのパスフレーズ(パスワード)を把握していれば、誰でもそのユーザーのキーを生成できるということだ。しかしナディムによれば、パスフレーズを30字もの長さにしたり、多くのランダムな数字と文字を含むことを必須としたりするように設計されており、破ることはほぼ不可能だという。
世界は簡単な暗号化ツールを求めている:PeerioはGmail、Dropbox、Slackを代替するかより

いや,これって「サービス間で同じパスワードを使いまわす人」や「パスワードに 123456 と入れる面倒くさがり」がターゲットなんでしょ。 ダメなんじゃないの?

(そもそも OpenPGP を「少々使いづらい」とか言ってる時点でダメダメだと思うけど。 ちなみに GnuPG にもパスフレーズから生成した暗号鍵で暗号化するオプション(-c または --symmetric)がある。 単独ではあまりお勧めではないけど,通常の OpenPGP 暗号処理(--sign--encrypt)と組み合わせて使えるのが利点)

これなら XMPP/OTR のほうが全然マシだと思うのだが,どうだろう。 まぁ Peerio はしばらく様子見かなぁ。