暗号化されたメッセージングアプリに対するEUの立法E2E暗号化ドライブの意味

16億人のWhatsAppユーザーの1人である場合は、すでにエンドツーエンド暗号化（E2EE）を使用しています。この安全な通信形式は、誰かに送信するメッセージは受信者だけが読むことができることを意味します---そのようなチャットメッセージは、政府や犯罪者を含む第三者によって傍受されることはありません。

残念ながら、犯罪者は暗号化を使用して悪意のあることを行うときに自分の足跡を隠し、安全なメッセージングアプリを政府規制の主要な標的にしています。最近のニュースで、欧州評議会はE2EEを規制する決議を起草しました。これは、最終的な形式を求めて欧州委員会に向かうためです。

問題は、メッセンジャーアプリのプライバシーを失う寸前ですか？

テロスパイクがEUのギアを動かします

フランスとオーストリアでの最近の攻撃を受けて、両国の首相であるエマニュエルマクロンとセバスティアンクルツは、エンドツーエンド暗号化の規制を目的とした欧州連合理事会（CoEU）決議案を11月6日に発表しました。実践。

CoEUは政策の方向性を設定する提案機関であり、欧州委員会はそこから実行可能な法律を起草します。幸いなことに、立法府として、決議案はプライバシーに関して予想されるほど問題ではありません。

• この決議は、E2EE禁止に関する具体的な提案を行っていません。
• 暗号化プロトコルへのバックドアの実装は提案されていません。
• これは、EUが強力な暗号化とプライバシーの権利を順守していることを確認するものです。
• これは、「暗号化にもかかわらずセキュリティ」というフレームワークの下でセキュリティ対策を完全に調査するための専門家への招待として機能します。

ただし、決議は的を絞ったアプローチを提案しています：

「管轄当局は、サイバーセキュリティを維持しながら、基本的権利とデータ保護体制を完全に尊重して、合法かつ的を絞った方法でデータにアクセスできなければなりません。」

政府が有効な目標の範囲を拡大する傾向を考えると、これには合法的な抗議も含まれる可能性があります。フランスの場合、これは黄色いベスト運動である可能性があり、Facebookから安全なTelegramアプリに強制されました。

興味深いことに、Telegramは、開発チームが政府のバックドアを作成することを拒否したため、ロシアが禁止したのと同じアプリでした。 EUの欧州人権裁判所（ECHR）は、言論の自由の明らかな違反としてそのような禁止を裁定しました。ロシアが2年間の電報禁止を解除したとき、判決は実を結びました。

ECHRの電報判決は将来の保護手段として機能しますか？

残念ながら、これは当てはまらないようです。 2019年、ECHRは、ホロコーストのトピックに関する言論の自由は人権を構成しないと判断しました。同時に、裁判所は、アルメニア人虐殺のトピックに関する同じ自由な表現が言論の自由の人権を構成するとの判決を下しました。これらの一貫性のない判決は、ECHRが普遍的な基準を支持していないことを明らかにしています。

EUの決議案はあなたに影響を与えますか？

WhatsApp、Telegram、Viber、およびその他のE2EEアプリが突然ハッカーやデータマイニングにさらされるのではないかと心配している場合は、そうしないでください。 EU内では、法執行機関がプライバシーを侵害する十分な理由を裁判所に提供しなければならないハイブリッドソリューションを扱っている可能性があります。

一方、Five Eyesの領域内では、バックドアをE2EEメッセンジャーアプリに法制化するための大規模な推進が行われているようです。市民や電子フロンティア財団などのNGOからの反発は、暗号化に関するこのような制限的な法律を回避するために重要です。

暗号化を規制する政府の滑りやすい坂道

世界中の国々が、国家安全保障を主張するために市民のプライバシーを弱体化させようとしていることは周知の事実です。この告発は通常、ファイブアイズインテリジェンスアライアンスが主導しています。彼らは最も広範なアプローチを実装しようとしています---ソフトウェア開発者にバックドアをアプリに統合するように義務付けています。これにより、政府やテクノロジー企業は自由に個人データにアクセスできるようになります。

政府は、虐待に対する予防措置を講じていると修辞的に述べていますが、その実績は優れたものではありません。スノーデンのリークが明らかにしたように、彼らはプライバシーと虐待の回避に対する市民の権利をどのように認識しているかについて不謹慎であるように思われます。さらに、バックドアはサイバー犯罪者によって簡単に悪用され、大きな経済的損害と信頼の低下を招きます。

義務付けられたバックドアはまだ現実ではありませんが、政府は犯罪/テロ行為が発生したときにいつでも強力な説得力のある武器を使用することができます。したがって、政府はプライバシー保護を侵食するための着実な勢いを持っており、次のように主張しています。

• テロリスト/犯罪者は、法を遵守する市民と同じように暗号化された通信プロトコルにアクセスできます。
• したがって、法を遵守する市民のために、暗号化された通信プロトコルを弱体化させる必要があります。

この2つのバランスをとろうとすることは継続的なプロセスであり、最近ではEU加盟国によって注目を集めています。

E2E暗号化が重要な理由

人々が監視状態の結果について考えたくないとき、彼らはしばしばベースラインの議論に頼ります：

「隠すものは何もない。」

残念ながら、そのような素朴さを守ることはあなたの人生を虐待から安全にすることにはなりません。 Facebook-Cambridge Analyticaのデータスキャンダルが示したように、個人データは、自宅の資産を保護するのと同じくらい厳密に扱う必要があります。 E2E暗号化プロトコルを取り除くと、次のような環境が生まれます。

• 考え方としての自己検閲。
• ハッキングと恐喝。
• 効果的な政治的反体制派またはジャーナリストになることができない。
• あなたに対してあなたの心理的プロファイルを使用している企業や政府。
• 政府の否定的な政策に対する責任を軽減する。
• 知的財産を効果的に保護できない。

犯罪者が銃器に簡単にアクセスできるように、世界中で銃器が禁止され、厳重に管理されているにもかかわらず、犯罪者も他の通信方法を調達します。同時に、E2EEを弱体化させると、企業や個人の市民がさまざまな虐待に対して脆弱になります。

廃棄時にどのようなE2EEオプションがありますか？

メッセンジャーアプリのバックドアは、次の3つの方法で発生する可能性があります。

1. 誤ってコーディングが不十分であり、後で脆弱性が発見されたときにパッチが適用されます。
2. 企業に内部圧力をかける政府機関によって意図的に。
3. 法律により意図的かつ公然と。

3番目のシナリオにはまだ到達していません。それまでの間、安全なメッセンジャーアプリを選択するときは、次のセキュリティガイドラインに従うようにしてください。

• 圧力に耐える実績があり、ユーザーから高い評価を得ているアプリを選択してください。
• オプションが与えられた場合は、無料のオープンソースソフトウェア—FOSSアプリを選択してください。これらはコミュニティ主導のアプリであるため、バックドアの実装はすぐに明らかになります。これらのアプリは、FLOSSの頭字語であるfree/libreオープンソースソフトウェアの下にある場合もあります。
• 電子メールを使用する場合は、PGPまたはGPG暗号化プロトコルを備えた電子メールプラットフォームを使用してみてください。

これらの要素を考慮に入れて、ここにいくつかの優れたオープンソースE2EEメッセンジャーアプリがあります：

シグナル

Signalは、多くのプライバシー志向のユーザーの間で、そして正当な理由でお気に入りになっています。テキスト、オーディオ、ビデオなど、あらゆる種類のメッセージにPerfect Forward Secrecy（PFS）を採用しています。 Signalは、自己破壊メッセージを送信するオプションを提供しながら、IPアドレスもログに記録しません。 Androidデバイスでは、SMSテキストメッセージのデフォルトアプリにすることもできます。

ただし、Signalは、2要素認証（2FA）を提供しないことに加えて、電話番号のサインアップを必要とします。全体として、すべてのプラットフォームで利用できるこのGDPR準拠のメッセンジャーアプリはまだトップに立っていません。

セッション

Signal（フォーク）から派生したSessionは、Signalよりもさらに強力なセキュリティ機能を持つことを目指しています。そのために、すべてのSignal機能を統合しましたが、サインアップのために電話番号または電子メールを用意する必要はありませんでした。メタデータやIPアドレスはログに記録されませんが、2FAはサポートされていません。

そのオープンソース開発はまだ進行中であるため、バグが発生する可能性があります。さらに、Torブラウザで使用されているオニオンルーティングプロトコルも開発中です。

ブライアー

完全に分散化されたBriarは、E2EEメッセンジャープロトコルを備えた最新のFOSSアプリの1つです。 Androidプラットフォーム専用のBriarは、サーバーがメッセージを保存することを心配している人にとって頼りになるソリューションです。 Briarは、ピアツーピア（P2P）プロトコルを採用することでこれを不可能にします。つまり、メッセージを保存できるのはあなたと受信者だけです。

さらに、Briarは、Onion Protocol（Tor）を使用して保護の層を追加します。 Briarの使用を開始するために、受信者の名前以外の情報を提供する必要はありません。ただし、デバイスを変更すると、すべてのメッセージを取得できなくなります。

ワイヤー

Wireはオープンソースのままですが、グループメッセージングと共有を目的としているため、ビジネス環境に最適です。個人アカウント以外は無料ではありません。 Wireは、E2EEプロトコルに加えて、自己消去メッセージングに加えて、PFSを備えたProteusとWebRTCを採用しています。

Wireは、いくつかの個人データを記録することに加えて、サインアップするために電話番号/電子メールのいずれかを必要とします。また、2FAもサポートしていません。それでも、GDPRへの準拠、オープンソースの性質、および最先端の暗号化アルゴリズムにより、企業組織に最適です。

あなたは変わりゆく潮に対して無防備ではありません

結局、政府がE2EEを完全に禁止したり、バックドアを義務付けたりしたとしても、犯罪者は他の方法を見つけるでしょう。一方、あまり関与していない市民は、単に新しい状況、つまり大量監視を受け入れるでしょう。これが、私たちが注意を怠り、プライバシーに対する基本的人権を維持するために常に押し戻さなければならない理由です。