RFC 9446: スノーデン暴露から10年を振り返る

要旨

本文書には、2013年にエドワード・スノーデンがアメリカ国家安全保障局(NSA)に関する情報を公表した際とその後に起こった出来事についての考えと回想が記されている。情報の取捨選択に携わり、責任を持って情報を公開した人物、IETFのセキュリティ分野の責任者、人権専門家、コンピュータ・サイエンスと関連法の専門家の4人の視点がある。本文書の目的は、歴史的な観点を提供すると同時に、技術コミュニティが考慮すべきセキュリティとプライバシーの課題についての見解を提供することにある。これらのエッセイは、合意された見解を示すものではなく、個々の著者の見解を示すものである。

本文書の位置付け

本文書はインターネット標準化過程の仕様書ではない。情報提供を目的として公開する。

本文書はインターネット・エンジニアリング・タスク・フォース(IETF)の成果物である。IETFコミュニティのコンセンサスを表すものである。文書は公開レビューを受けており、インターネット・エンジニアリング・ステアリング・グループ(IESG)によって公開が承認されている。IESGによって承認されたすべての文書が、あらゆるレベルのインターネット標準の候補となるわけではない。RFC 7841のセクション2を参照のこと。

文書の現在の位置付け、正誤表、フィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc9446 で入手できる。

著作権表示

Copyright (c) 2023 IETFトラストおよび文書の著者として特定された人物。無断転載を禁じる。

本文書は、BCP 78および文書の発行日において有効なIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)に従うものとする。これらの文書には、本文書に関するあなたの権利と制限が記載されているため、注意深く確認して欲しい。

1. はじめに

2013年6月6日、ガーディアンに掲載された記事[Guard2013]は、スノーデン暴露として知られるようになった一連の記事の始まりであり、アメリカ国家安全保障局(NSA)の活動についての内容だった。これらの活動にはとりわけ、秘密の裁判所命令、通信の発信元、宛先、タイミングを含む、いわゆる「メタ情報」の受信に関する秘密協定、そして通信回線の盗聴が含まれていた。 息を呑むような活動の範囲はインターネット技術コミュニティに衝撃を与え、IETF、IAB、他の標準化団体に大きな変化をもたらした。

数年が経過した今、その期間を振り返り、コミュニティの行動がどのような影響をもたらしたのか、セキュリティが改善されたのはどこか、脅威の外見はどのように進化したのか、改善されなかったのはどの領域か、コミュニティは今後どのような取り組みに投資すべきかを検討することが適切であると思われる。

ブルース・シュナイアーは、この個人エッセイの大要を2013年に遡ることから始め、彼や他の人々にとって、何が起こっているのかを報告することがどのようなものであったのか、また関係者の考え方はどのようなものであったかを振り返る。次に、スティーブン・ファレルが技術コミュニティの反応、特にIETFコミュニティの反応、技術の進歩、そして脅威がどこに残っているかを総括する。次にファルザネ・バディが、こうした進歩 ─ あるいはその欠如 ─ が人権に及ぼす影響ついて論じる。最後に、スティーブン・M・ベロビンが、スノーデン暴露を、何世紀にもわたって進化し続ける秘密と秘密窃盗の歴史的文脈の中に置き、IETFに対するいくつかの提案で締めくくっている。

読者には、私たちコミュニティがどのような影響を与えてきたのか、どのような課題が残されているのか、そして技術コミュニティが世界市民のセキュリティとプライバシーに対処するために、どのような積極的な貢献ができるのか、また行うべきかを考えていただきたい。

─ エリオット・リア、RFCシリーズ独立投稿編集者

2. ブルース・シュナイアー: スノーデン10年後

2013年と2014年、私はエドワード・スノーデンが提供した文書に基づき、NSAの監視に関する新たに明らかになった事実について幅広く書いた。しかし、私にはもっと個人的な関わりもあった。

2013年9月に以下のエッセイを書いた。「ニューヨーカー」は掲載に同意したが、「ガーディアン」は私に掲載しないよう求めた。ガーディアンは、イギリスの法執行機関を恐れており、このエッセイが自社の印象を悪くすることを懸念していた。そして、2014年7月にイギリス警察が彼らのオフィスを家宅捜索したことを考えると、心配する正当な理由があった。

それから10年経った今、スノーデン事件の最初の数ヶ月がどのようなものであったかを示すタイムカプセルとして、これを提供する。

---

NSAの極秘文書を何百ページも読み漁るのは、非現実的な体験である。禁断の世界を覗いているようなものである。奇妙で、混乱し、同時に魅了される。

私は8月下旬、グレン・グリーンウォルドの依頼でリオデジャネイロに飛んだ。彼は数か月前からエドワード・スノーデンのアーカイブに取り組んでいたが、より専門的な文書が山ほどあり、その解釈を手伝ってほしいとのことだった。グリーンウォルドによれば、スノーデンも私を引きずり込むのは良い考えだと思っていたと言う。

それは理にかなっていた。私は2人とも知らなかったが、何十年も暗号、セキュリティ、プライバシーについて書いてきた。グリーンウォルドが苦手としていた専門用語も解読できたし、さまざまな文書の文脈や重要性を理解することもできた。そして、私は長い間、NSAの盗聴能力を公然と批判してきた。私の知識と専門知識は、どの記事を報じるべきかを見極めるのに役立つだろう。

承諾する前にいろいろと考えた。グリーンウォルドのパートナーであるデビッド・ミランダがヒースロー空港でイギリス当局によって拘束される前のことだが、それでなくてもリスクがあることは分かっていた。私は年間25万マイルも飛行機に乗るので、TSAのリストに載ったり、アメリカの国境で拘束されて電子機器を押収されたりしたら、大問題だ。FBIが自宅に押し入り、私物の電子機器を押収することも考えられる。しかし最終的には、それが私の決意をさらに固めることになった。

私は、ACLUやEFFが推薦した弁護士と電話で何度か話をした。特に出発の3日前にミランダが拘束されたときは、パートナーともそのことを話した。グリーンウォルドも、彼の雇い主であるガーディアンも、誰に文書を見せるかについては慎重である。彼らは、記事にするために必要な部分のみを掲載する。彼らにとっては、私が情報源ではなく、共著者であることが重要だった。私は法的な根拠は知らなかったが、要するにガーディアンは文書を不特定多数の人に漏らしたくないということである。しかし、公益のために記事を書くのであり、そのプロセスの一環として、私が文書をレビューすることは許されるだろう。そこで、ガーディアンの担当者とSkypeで話し合った後、私は契約書にサインした。

そして、ブラジルに飛んだ。

私が見たのは文書のごく一部で、そのほとんどは驚くほど平凡なものだった。トップシークレットの世界で懸念されるのは、システムのアップグレード、天候による運用上の問題、作業の滞りによる遅れなど、主に戦術的なものである。私は、週報や状況説明会のスライド、訪問者を教育するための一般的なブリーフィングに目を通した。NSAの内部でも、マネジメントはマネジメントである。文書を読んでいると、まるで延々とつづく会議を傍聴しているような気分になった。

会議のプレゼンターは、物事にスパイスを加えようとする。プレゼンでは定期的にインテリジェンスの成功事例が含まれている。何がどのように発見され、どこで役に立ったのかといった内容で、時にはその情報を利用した「顧客」からの賞賛もあった。これらは、NSA職員に自分たちが良いことをしているのだということを思い出させるためのものなのだろう。私には間違いなく効果があった。これらはすべて、私がNSAにやってもらいたいことだった。

たくさんのコードネームがあった。あらゆるプログラム、あらゆる機器、あらゆるソフトウェア、すべてにコードネームがあった。コードネームには独自のコードネームが付いていることもあった。最大の秘密は、MONEYROCKETがどの会社なのか、EGOTISTICALGIRAFFEというソフトウェアの脆弱性は何なのか、TURBINEがどのように機能するのか、といったその根底にある現実世界の情報のようだ。これらの秘密には、まとめてECIというコードネームがあり、例外的に区分された情報という意味で、文書にはほとんど登場しない。スノーデンと暗号化IM接続でチャットをしたとき、私はNSAのカフェテリアのメニューには、おそらくメニューのコードネームがあるのではないかと冗談を言った。彼の反応は、私が「分からないと言ったら信じてください」だった。

これらのコードネームにはすべてロゴが付属しており、そのほとんどは素人っぽく、間抜けなものばかりだ。NSAへの忠告は、「100億ドル以上の年間予算の一部を割いて、デザイン会社を雇いなさい」だ。そうすれば、士気も上がるだろう。

とはいえ、たまに立ち止まったり、立ち上がったり、ぐるぐると歩き回るようなものを目にすることもあった。私が読んだものが、特に刺激的な内容でも、重要な内容でもない。ただ、驚かされたのだ。世界についての考え方が、ほんの少し変わった。

グリーンウォルドは、人がこの文書を読み始めたとき、そのような反応が起こるのは普通だと言った。

インテリジェンスの専門家は、内部で生活することがいかに方向感覚を失わせるかについて語っている。世界の地政学的な出来事に関する機密情報を読み漁り、世界の見方が変わり始める。ニュースメディアの報道は間違っていることが多いため、内部関係者だけが、実際に何が起こっているのかを知っていると思い込むようになる。あなたの家族は無知である。友人も無知である。世界は無知である。あなたを無知から守ってくれる唯一のものは、絶え間なく流れてくる機密の知識だけなのだ。優越感に浸り、「私たちが知っていることをあなたが知れば」などと口にしないようにすることは難しい。NSA長官のキース・アレクサンダーが、なぜあれほど上から目線なのか理解できる。私はその秘密の世界のほんの一部を見ただけで、そう感じ始めた。

ミランダの拘束の影響がまだ残っている中、グリーンウォルドを尋ねるには最悪の週だったことが判明した。「Nation」と「Hindu」という他の2人のジャーナリストも、グリーンウォルドと一緒にこの街で仕事をしていた。私の1週間の大半は、グリーンウォルドが私のホテルの部屋に駆け込んできて、新しい資料の入ったUSBメモリを私に渡し、また急いで部屋から出ていくというものだった。

私が滞在している間に、ガーディアンの技術者が検索機能を使えるようにしてくれたので、それを使ってしばらく過ごした。質問: NSAの秘密のデータベースを検索できるようになったら、まず何を探すのか? 答え: 自分の名前だ。

そこにはなかった。私が知っているアルゴリズムの名前も無かったし、私が知っているアメリカ政府が使っているアルゴリズムさえ無かった。

私はグリーンウォルドに、彼自身の作戦上のセキュリティについて話をしようとした。ミランダがNSAの文書をUSBメモリに入れて旅行していたのは、信じられないほど愚かなことだった。ファイルを電子的に転送するために暗号化が行われる。私はグリーンウォルドに、彼とローラ・ポイトラスはダミー文書の大きな暗号化ファイルを毎日やり取りすべきだと言った。

一度、グリーンウォルドの家で、裏庭に入り、木の間に隠れているTEMPEST受信機を探したことがある。何も見つからなかったが、だからといって、そこになかったことにはならない。グリーンウォルドは犬をたくさん飼っていたが、それがプロの妨げになるとは思えない。グリーンウォルドが持っているものは、主要な政府機関の多くが完全なコピーを持っているはずだ。もしかしたら、最初の数週間、連邦捜査官のチーム同士がぶつかり合っていたかも知れない。

私は、自分のセキュリティ対策に疑問を持つようになった。NSAのハッキング能力について読むと、そうなってしまうのだ。ハードドライブの暗号を破ることができるだろうか? おそらく無理だろう。私の暗号化ソフトウェアを作っている会社は、その実装を意図的に弱めているだろうか? おそらくそうだろう。NSAのエージェントは、私がアメリカに戻る際の通話を盗聴しているだろうか? おそらくそうだろう。エージェントがその気になれば、インターネット経由で私のコンピュータをコントロールできるだろうか? 間違いなくできる。結局、私は心配するのをやめて最善を尽くすことにした。何しろ、政府機関の文書だ。それに、私が取り組んでいることは、数週間後には公になるのだ。

私もよく眠れなかった。その理由の多くは、私が見たものの大きさに圧倒されたからだ。どれも本当に驚きだったというわけではない。私たち情報セキュリティ関係者は、NSAがこのようなことをやっていると長い間考えてきた。しかし、実際に腰を据えて詳細を把握することはなかったし、その詳細を確認できたことは大きな違いだった。例えて言うなら、「死は避けられない」と言うことである。死が避けられないことは誰もが知っている。そのことに何の驚きもない。しかし、私たちは人生の大半をそのことについて考えることを避けて過ごしているため、死は驚きとしてやってくるのだ。NSAの文書もそれに似ている。NSAが世界を盗聴していることは間違いなく事実であり、しかも、その盗聴は組織的かつ強固な方法で行われていると知っていても、それが確かに真実であり、どのように行われているかの詳細に直面するのとでは、まったく違う。

秘密を守るのはとてつもなく難しいことも分かった。ガーディアンのプロセスはゆっくりで、系統立てて行われるが、私はもっと速く動く。私は見つけたものを基にストーリーの草稿を書いた。そして、そのストーリーについてのエッセイを書いた。書くことは癒しであり、早朝に起きてエッセイを書くこともあった。しかし、それは出版されたものよりも少なくとも3段階上のレベルだった。

自分の関与が明らかになり、最初のエッセイが公開された今、私はかなり気分が良くなっている。また、とんでもない事実が発覚し、状況はさらに悪化すると確信している。まだまだ調べなければならない文書が山ほどある。

スノーデンはアメリカにダメージを与えたいのだ、という話を聞いたことがある。私は、彼はそうではないと確信を持って言える。これまでのところ、この事件に関与した誰もが、公開する内容について信じられないほど慎重になっている。アメリカにとって計り知れないほどの損害を与える可能性のある文書が数多くあるが、誰もそれらを公開するつもりはない。記者たちが公開する文書は慎重に編集されている。グリーンウォルドと私は、ガーディアンの編集者と記事のアイデアのニュースバリューについて何度も議論し、単に面白いからという理由だけで政府の機密を暴露することはないと強調した。

NSAは信じられないほど幸運だった。チェルシー・マニングの国務省公電のように、大規模なパブリック・ダンプで終わっていた可能性もあった。今でもその可能性はあるだろう。それにもかかわらず、私はNSAにとってこれがどのように感じられるかは想像がつく。このようなものは、警報装置、武装警備員、安全なドア、軍事レベルの暗号技術を備えたゲートなど、何重ものセキュリティで守られている。秘密にしておくべきかどうかについて、ブラジル、ドイツ、イギリス、アメリカ、その他どこの国か分からない不特定多数の人々の意見によって守られたUSBメモリの束の中にあるはずはないのだ。これは、間違いなく史上最大の諜報活動の失敗と言えるだろう。一人の人間が、これほど多くのアクセス権を持ちながら、説明責任を果たさず、何の警戒心も持たずに、このデータすべてをこっそり持ち出すことができたというのは驚くべきことだ。スノーデンがこのようなことを行った最初の人物である可能性は限りなくゼロに近く、彼は自分がやったことを公表した最初の人物であったに過ぎない。アレクサンダー将軍が辞任に追い込まれなかったのは、彼の力を証明するものだ。

私たちがセキュリティに注意を払っていなかったわけではなく、その基準があまりにも違っていたということだ。NSAから見れば、私を含め、全員が重大なセキュリティ上のリスクにさらされているのだ。私は機密事項に関するメモを取り、丸めてゴミ箱に捨てていた。ホテルのロビーで、「TOP SECRET/COMINT/NOFORN」と書かれた書類を印刷していた。そして一度だけ、別のUSBメモリを夕食に持参し、極秘文書が詰まった暗号化されていないUSBメモリをホテルの部屋に置き忘れてしまったこともある。うっかりミスで、どちらも大失敗だった。

もし、私がNSAの職員なら、それだけで解雇されるだろう。

常に監視されていることが如何に人を変えるかについて、多くの人が書いている。監視されていることが分かると、自分を検閲するようになる。オープンでなくなり、自発的でなくなる。コンピュータで書き込んだものを見たり、電話で話した内容を思い返したりして、状況を無視して、仮想のオブザーバーから見たら、どう見えるかを考えるようになる。あなたはより順応しやすくなる。自分の個性を抑えてしまうのだ。私は何十年もプライバシーに関わる仕事をしてきて、NSAとその活動についてはすでによく知っていたにもかかわらず、その変化は手に取るように分かった。その感覚は今でも薄れていない。私は今、自分の発言や書き込みにより注意深くなった。通信技術に対する信頼が薄れた。コンピュータ業界を信頼しなくなった。

話し合いを重ねた結果、グリーンウォルドと私は、まず3つのストーリーを一緒に書くことに合意した。それらはすべてまだ進行中である。さらに、最近公開されたスノーデン文書についての解説を2本書いた。グリーンウォルドでさえすべてに目を通したわけではないので、まだまだたくさんある。

(1か月前)のブラジル旅行以来、私は一度アメリに戻り、国内で7回飛行機に乗ったが、すべて無事である。私はまだどのリストにも載っていない。少なくとも、私の知る限りでは。

---

たまたま、私はグリーンウォルドやガーディアンとは、それ以上、一緒に記事を書くことはなかった。二人は仲違いをしていて、すべてが落ち着き、二人が独立して文書について書き始めた頃には、─ グリーンウォルドは新しく設立されたウェブサイト「インターセプト」で ─ どういうわけか私はそのプロセスから外されていた。グリーンウォルドが私に腹を立てていたと聞いた覚えはあるが、その理由は分からなかった。それ以来、私たちは話をしていない。

それでも、私が参加した一つの記事、「NSAがどのようにTorをハッキングしているのか」には満足している。ガーディアンにQUANTUMの詳細を記したNSA文書を掲載するよう働きかけたことは、個人的には成功だったと思っている。他の方法では公表できなかったと思う。そして、ハーバード大学ケネディ・スクールで政策立案者にサイバーセキュリティを教えるとき、私は今でもそのページにある内容を使っている。

他の人たちもスノーデン・ファイルについてたくさん書いている。最初はゆっくりとした流れだったが、次第に一貫した流れになった。グリーンウォルド、バート・ゲルマン、そしてガーディアンの記者たちの間で、着実にニュースの流れができていた。(バートは、アシュカン・ソルタニを技術面でサポートするために連れてきたが、後にアシュカンが政府の仕事を失っても、これは彼の素晴らしい行動であり、決断だった。) さらに多くの記事が他の出版物で取り上げられた。

奇妙なことが始まった。グリーンウォルドもゲルマンも、自分の本で発表できるように文書を持っていた。まだ複数の女性から性的暴行で訴えられていなかったジェイク・アッペルバウムは、ポイトラスと一緒に仕事をしていた。彼はデア・シュピーゲルと組んで、NSAのTailored Access Operationsグループのインプラント・カタログを公開した。今日に至るまで、私はこの文書がスノーデン・アーカイブにはなかったと確信している。つまり、ジェイクが何らかの方法で入手し、エドワード・スノーデンを装って公開したのだ。私はこの文書が重要だと考え、この文書に書かれている各項目について、「今週のNSAエクスプロイト」というタイトルで自分のブログに書き始めた。その結果、私のウェブサイトは国防総省によってブロックされてしまった。私は、検閲官のメッセージを額に入れたプリントを壁に飾っている。

おそらく最もシュールな文書の暴露は、アーティストたちが文書をもとにフィクションを書き始めたことだろう。それは2016年のことで、ローラ・ポイトラスがニューヨークに文書を保管するための安全な部屋を作ったときのことだ。その頃には、文書は何年も前のものだった。今では、10年以上前のものになっている。(流出したのは2013年だが、そのほとんどは2012年かそれ以前のものである。)

結局、私はこの文書の広報大使のような役割を担うことになった。リオから戻ると、ウッズホールのプライベート・カンファレンス、ハーバード大学のバークマン・センター、ジュネーブのプライバシーと監視に関する会議、ワシントンDCのケイトー研究所とニューアメリカの両方でのイベント、ペンシルベニア大学のイベント、EPICでのイベントとDCでの「Stop Watching Us」集会、ロンドンでのRISCS会議、パリでのISF、それから… 2013年11月のバンクーバーで開催されたIETF会議で講演を行った。(私はこのことをほとんど覚えおらず、カレンダーからすべて再構成している。)

IETFで印象に残ったことは、会場内に漂う憤りと行動への呼びかけだった。そして、さまざまな方面から行動が起こった。例えば、私たち技術者はインターネットのセキュリティの確保に多くの貢献をした。

しかし、政府はその役割を果たせなかった。世論の反発、議会による調査、オバマ大統領の声明、連邦裁判所の判決にもかかわらず、あまり変わっていないように思う。NSAは、あちこちのプログラムを中止し、現在は防衛についてより公開するようになった。しかし、大規模監視や標的型監視については、積極的ではなくなったとは思わない。確かに、NSAの政府の権限はいかなる形でも制限されていない。そして、監視資本主義は依然としてインターネットのビジネスモデルであることに変わりはない。

そして、エドワード・スノーデンは? 私たちは、Signalでしばらく連絡を取り合っていた。2016年に一度、モスクワに彼を訪ねたことがある。そして数年間、ハーバード大学の私のクラスで、ジッチ(Jitsi)による遠隔でゲスト講義をしてもらった。その後、私はセッションを開き、彼がはぐらかしたり答えなかったりしたすべての質問に答え、彼が出したすべての答えを説明し、逮捕状が出ている人が絶対にできないような方法で率直に話すことを約束した。時には、私の方がスノーデンよりうまく話せるかも知れないと思ったこともある。

しかし、もう10年の前のことだ。彼が知っていることはすべて古く、時代遅れだ。私たちが知っていることはすべて古く、時代遅れなのだ。NSAは2016年と2017年に、シャドウ・ブローカーズを装ったロシア人による、さらにひどい秘密漏洩に見舞われた。NSAは再建した。NSAは再び、私たちが推測することしかできない能力を持つようになったのだ。

3. スティーブン・ファレル: IETFとインターネット技術コミュニティの反応

2013年、IETF、そしてより広くはインターネット技術、セキュリティ、プライバシーの研究コミュニティは、スノーデン暴露[Timeline]によって発覚した監視と攻撃の取り組みに驚いた。そのような可能性があることは知られていたが、非常に多くのインターネット・エンジニアにとって憂慮すべきことであり、非常に迷惑なものであったと言って差し支えないと思うのは、公開された活動の規模と大きさだった。

IETFの反応としては、2013年7月にベルリンで開催されたIETF会議での非公式会合で、IETF参加者は、これらの暴露が、IETFプロトコルのセキュリティとプライバシー特性を改善し、すでに存在するセキュリティとプライバシーのメカニズムをより確実に利用するために、さらに努力が必要であることを示していると考えた。8月、IETFは新しいメーリングリスト[Perpass]を立ち上げ、これらのテーマに関する作業提案を選別するための有用な場となった。2013年11月のIETF会議では、このような攻撃に対する「インターネットの堅牢化」に関するプレナリー・セッション[Plenary-video]が活発に行われ、非常に多くの人が参加した。続いて行われた「バーズ・オブ・ア・フェザー」(birds of a feather) [Perpass-BoF]では、問題の改善に役立つ新しいワーキンググループ、プロトコル、現時点のベスト・カレント・プラクティス(BCP)文書といった観点から考えられる行動について、より詳細な議論に充てられた。続いて、2014年2月から3月にかけて、「広範な監視に対するインターネットの強化」に関するIAB/W3C合同ワークショップ[STRINT]がロンドンで開催され、150名のエンジニアが参加した(私の経験では、会場の定員に達した後、キャンセル待ちが必要になった唯一のIABワークショップである!)。STRINTワークショップのレポートは最終的に2015年に[RFC7687]として公開されたが、その間に、IETFコミュニティが「広範な監視は攻撃である」と考えることを成文化したベスト・カレント・プラクティス(BCP)文書[RFC7258] (またの名をBCP 188)の作成が進められた。この短い文書に関するIETFの最終決定の議論では、1,000通を超えるメールが送られ、メッセージ全体については幅広い合意が得られたが、多くのIETF参加者は、RFCシリーズとIETFプロセスにこのメッセージを明記することは議論の余地があると考えた。いずれにせよ、BCPは2014年5月に公開された。大まかな合意が得られた重要な声明はRFC 7258の要約にあり、「広範な監視は技術的な攻撃であり、IETFプロトコルの設計において可能な限り軽減されるべきである」と書かれている。この文書はその後、セキュリティとプライバシーに関する追加作業を正当化するものとして、多くのIETFワーキンググループやRFCで参照されている[Refs-to-7258]。その期間とそれ以降を通じて、スノーデン暴露の影響は、IETFの主要な技術管理機関であるIABとIESG(当時、私はその委員を務めていた)の双方にとって、重要かつ継続的な議題であり続けた。

これまでのところ、IETFが攻撃に対処したプロセスだけを紹介してきたが、もちろん、IETF参加者が少なくとも部分的にはスノーデン暴露を動機として始めた技術的作業もたくさんあった。

2013年11月、アプリケーションでTLSを使用するためのより良い実践方法を文書化するためのワーキンググループが設立された[UTA]。これにより、TLSのストリッピングや、アプリケーションがTLS APIやパラメータを誤用することに関連する攻撃に直面しても、導入のリスクにさらされることが少なくなった。同様の作業が、後に[CURDLE]ワーキンググループで、他のプロトコルにおける暗号の使用に関する推奨事項を更新するために行われた。CURDLEワーキンググループは、IRTF暗号フォーラム研究グループ[CFRG]によって文書化された新しい楕円曲線暗号を使用できるようにするために設立された。この作業は、NISTの乱数生成器がNSAの攻撃に対して脆弱な出力を生成するように意図的に操作されていたというDUAL_EC_DRBG騒動[Dual-EC] (以降で詳しく説明)の後、NIST標準の楕円曲線に対する(おそらく最終的には根拠のない)懸念に突き動かされたものだった。

TLSの新バージョンを開発する作業が2014年に開始されたが、これは主に、TLS 1.2とそれ以前のバージョンの実装が、長年にわたってさまざまな攻撃に対して脆弱であることが示されてきたことを懸念したからである。TLS 1.3[RFC8446]の開発作業も、ネットワーク・オブザーバーに公開する情報を減らすために、ハンドシェイクの多くを暗号化することを目的としており、スノーデン暴露のかなり直接的な結果である。この点でTLSをさらに改善するための取り組みは、いわゆるEncrypted Client Hello (ECH)メカニズム[TLS-ECH]を使用して、現在のTLSに存在する最後のプライバシー漏洩の1つを取り除くために今日も続けられている。

ECHに関する取り組みは、DNS over TCP (DoT)[RFC7858]またはDNS Queries over HTTPS (DoH)[RFC8484]を使用して、DNSトラフィックを暗号化する重要な開発によって実現されたが、これもスノーデン暴露の結果として始まった。それ以前は、DNSデータや(より重要な)DNSデータへのアクセス行為に関して、プライバシーはあまり考慮されていなかった。DNSトラフィックを暗号化する傾向は、平文の減らすという点でも、管理ポイントを移動させるという点でも、インターネットにとって大きな変化を意味する。後者の側面は今もそうではあるが議論の的だったし、IETFはより良いDNSプライバシーを可能にする新しいプロトコルを定義するという役割を果たした。HTTPバージョン2[RFC7540]とQUIC[RFC9000]への取り組みは、少なくともトランスポート層以上では、常に暗号化されたプロトコルを新しい標準とするIETFの姿勢をさらに示している。

もちろん、このような取り組みのすべてが実を結んだわけではない。例えば、新しいMPLS暗号化メカニズム[MPLS-OPPORTUNISTIC-ENCRYPT]を定義する試みは、関心の低さと、すでに展開されている IEEE Media Access Control Security (MACsec)スキームの存在により失敗に終わった。しかし、ネットワーク・オブザーバーを攻撃者と考えた場合、プライバシーを向上させる前段階として、インターネットから平文を取り除こうとする傾向はかなり明確になってきている。

もちろん、IETFはより広範なインターネット技術コミュニティの一部を形成しているに過ぎず、スノーデン暴露をきっかけとしたIETF以外の活動が数多くあり、そのうちのいくつかは、他の場所で開発されたより優れたセキュリティとプライバシー・メカニズムを標準化するための新しいIETFの作業へと最終的につながった。

2013年当時、HTTPSは比較的使いものなるようになったにもかかわらず、ウェブはほとんど暗号化されていなかった。Let’s Encryptイニシアチブ[LE]は、ウェブを完全に暗号化する方向に持っていこうとする狙いの一環として、2015年に最初の証明書を発行し、その目標達成に貢献することで大きな成功を収めた。その後、Let’s Encryptのために開発された自動化プロトコルは、IETFのACMEワーキンググループ[ACME]で標準化された。

2013年当時、メールサーバ間のメール転送のほとんどは平文で、スノーデン文書に記載されたていた攻撃のいくつかは直接可能になっていた。その後、主要なメールサービスとMTAソフトウェア開発者による多大な努力により、メールサーバ間で90%以上のメールが暗号化されるようになり、その状況を改善するために、SMTP MTA Strict Transport Security(MTA-STS)[RFC8461]など、さまざまなIETFプロトコルが規定されている。

最後に、MACアドレスは歴史的にローカル・ネットワーク(およびそれ以外)から見える長期的な固定値であったため、スノーデン文書に記載されていたいくつかの追跡攻撃が可能だった[Toronto]。実装者、ベンダー、IEEE 802標準化グループは、この弱点を認識し、MACアドレスのランダム化に関する作業を開始し、その結果、IETFのMADINASワーキンググループ[MADINAS]につながった。このワーキンググループは、ランダム化されたMACアドレスがインターネット上で意図しない害をもたらすことなく使用できることを保証することを目的としている。また、MACアドレスベースのIPv6インタフェース識別子を廃止し、擬似ランダム識別子と一時アドレスを提唱するIETFの取り組みの歴史もあり、その一部はスノーデン暴露よりも前のものである[RFC7217] [RFC8064] [RFC8981]。

要約すると、スノーデン暴露の結果、IETFやその他の場所で進められた非常に大量の技術的作業は、主に2つな点に焦点を当ててきた。1つはネットワーク・オブザーバーが見えるような平文の量を減らすこと、もう1つはデバイスやユーザの予期しない識別や再識別を可能にする長期的な識別子の数を減らすことである。この作業は決して完全なものではなく、またユニバーサルに展開されているわけでもないが、重要な進展が見られ、攻撃に対する煩わしさのレベルが時間の経過とともに多少薄れてきたにしても、作業は続けられている。

また、セキュリティとプライバシーの改善と、それらがもたらす導入時の変化に対して、反発があることにも注意する必要がある。それは、多かれ少なかれ2つの陣営から来るものである。このような改善によって変化を余儀なくされた人たちは、悪い反応を示す傾向はあるが、後に調整する方法を見つける。また、セキュリティを強化することを好まないように見える人たちもいる。例えば、このような反暗号化アプローチは必ず全体的なセキュリティの低下につながると正しく主張する多くのエンジニアを前にしても、彼らが「可視性」と呼ぶものを実現し続ける人たちである。この種の反発が繰り返される性質は、[RFC1984]によく表れている。この情報文書は、「暗号化は有害である」(encryption is bad)という何度も繰り返されてきた始めの頃の主張に対するIETFの回答として、1996年に発行された。2015年には、根本的な議論が変わっておらず、今後も変わることはないとして、1996年の原本は未修正のまま、ベスト・カレント・プラクティス(BCP 200)にアップグレードされた。

2023年の視点からこれらのことを振り返ってみると、インターネット・エンジニアのコミュニティとして、私たちは多くのことを成し遂げたと思うが、インターネットを利用する人々のセキュリティとプライバシーの防御を堅牢にするために、今日なすべきことがまだたくさんある。特に、ここ10年で爆発的に拡大した監視資本主義[Zubhoff2019]に対抗するために、私たち(技術コミュニティ)は、ほとんどうまくいっていない。その理由の1つは、問題の多くがIETFのような組織の範囲外にあるためでもある。例えば、広告目的で人々のデータをバックエンドで共有する侵襲的行為は、インターネット・プロトコルでは実際に軽減することはできない。

しかし、スノーデン暴露に関して感じられる本当の苛立たしさは、(一般的に)インターネット・エンジニアの主要な雇用主による合法的だが、プライバシーに大きく干渉する活動に関しては、ほとんど感じられないとも思う。

RFC 7258が、悪者が政府に限定されるとは考えていないことは注目に値する。個人的には、データ収集のための広告業界の仕組みの多くは、広範にわたる監視のひどい例であり、それ故に、可能な限り軽減されるべきインターネットに対する攻撃とみなされるべきだと考える。しかし、インターネット技術コミュニティは、この10年間、明らかにそのような行動をとっていない。

おそらくこのことは、インターネット・エンジニアと彼らが集まる組織が、インターネットの最初の半世紀がそうであったように、倫理的行動の基準をはるかに重視する必要があることを示している。そして、インターネット団体の現在のリーダーたちが、この点で前進するよう努力しているのを見るのは良いことだが、この記事の執筆時点では、悲しいかな、政府の規制当局がより良い行動を強制する可能性の方が高いように思われる。もちろん、初期のインターネットの成功の特徴であった自由参加型(permissionless)のイノベーションを阻害するような規制を持つという大きなリスクを伴う。

スノーデン暴露に対する私たちの反応は多くの点で正しかったが、現在のインターネットは「さらに悪い」ものになっている。それにもかかわらず、人々にとっての真のインターネット・セキュリティとプライバシーの重要性が、誰にとっても明白になるにつれ、最も強硬な資本家や政府の諜報機関でさえも、そこに大きな変化が起こることをまだ期待している。それは考えが甘いように見えるかもしれないが、事実に基づいたコミュニティとして、私たち(そして最終的には雇用主)は、現実的に可能な限り最高のセキュリティとプライバシーを提供することを誠実に目指すほうが、リスクが少ないと認識するだろうという楽観的な考えを私は持ち続けている。

4. ファルザネ・バディ: スノーデン暴露は、インターネット上の人権保護に役立ったか?

スノーデン暴露が人権とインターネットに与えた影響を経験的に測定することは非常に難しい。付け加えると、インターネットにおける人権保護の中核をなすテクノロジーやサービスに影響を与える支配的な規制や政策のアプローチを、私たちは目の当たりにしてきた。(欧州連合のさまざまな法律は、ネットの安全性やデータの集中に対処することを目的としている。インターネットに影響を与える規制は他にもたくさんある[Masnick2023]。) 人権を実現するのに役立つ技術的・政策的問題の解決はほとんど進んでいない。スノーデン暴露は、表現の自由、結社と集会の自由、プライバシーといった人権を支援するためのインターネット・ガバナンスや技術的アプローチに革命をもたらすことはなかった。インターネット遮断の数も減らなかったし、インターネットを支配しようとする権威主義的(そして、ある程度は民主的)国家の熱意も減らなかった。場合によっては、政府はデータ主権やインターネット主権をもっと持つべきだと主張した。おそらく、今回の暴露は、いくつかの技術的・政策的側面の進化に役立ったのだろう。

10年前のスノーデン暴露の後、IETFのエンジニアと擁護者はいくつかの方法で対応した。顕著な反応の1つは、ファレルとチューフェニッヒによるBCP文書『広範な監視は攻撃である』[RFC7258]の発行であった。スノーデン暴露に対する反応は、IETFがプライバシーや監視といった問題を見失ったことを意味するものではなかった。過去にはエンジニアによる監視への抵抗の例もあった(それが人権保護にどれほど貢献したかについては掘り下げない)。しかし歴史的に見て、多くのエンジニアは、広範で習慣的な監視はコストがかかり過ぎて現実的ではないと考えていた。今回の暴露は、彼らが間違っていたことを証明した。

権利中心の活動家たちは、暴露以前からIETFにも関与していた。例えば、Center for Democracy and Technology (CDT)のスタッフは、IETFで仕事を請け負い(インターネット・アーキテクチャ委員会のメンバーでもあった)、プライバシー保護のプロトコルやシステムを作る上での課題についてワークショップを開催していた。大規模な監視を行うために国家安全保障局によって悪用された技術的欠陥は、スノーデン暴露以前に IETFによって認識されていた[Garfinkel1995] [RFC6462]。2012年、ジョイ・リディコートとアヴリ・ドリアは、インターネットソサエティのために、人権とインターネット・プロトコルのプロセスと原則について幅広く議論した報告書を執筆した[Doria2012]。

おそらく、スノーデン暴露によって、プライバシーや表現の自由といった重要な問題に関連するIETFとその活動に、さらに注目を集めるようになったのだろう。また、2015年7月にインターネット・リサーチ・タスクフォース(IRTF)の人権プロトコル検討研究グループ(HRPC)の招集を早め、より容易に開催できるようになった可能性がある。HRPC RGはもともと、ニールス・テン・ウフェル(当時、Article 19に勤めていた)とインターネット・ガバナンス活動家のアヴリ・ドリアが共同議長を務めていた。HRPC RGの設立趣意書には、「世界人権宣言(UDHR)や市民的及び政治的権利に関する国際規約(ICCPR)で定義されているように、標準とプロトコルが人権を可能にするか、強化するか、脅かすかを研究するために」、このグループが設立されたと記載されている。

この10年の間に、実装すれば、ユーザのプライバシーを保護し、蔓延する監視を減らすのに役立つプロトコルを作成するための、いくつかの前進があった。これらの取り組みは、RFC 7258に見られるIETFのコンセンサスに沿ったものだった。これらのプロトコルは、時には反検閲的な性質を持つこともある。いくつかの例がすぐに思い浮かぶ。1) DNSクエリの暗号化(例えば、DNS over HTTPS)、2) Let's Encryptイニシアチブを支えるACMEプロトコル、3) レジストレーション・データ・アクセス・プロトコル (RDAP)[RFC7480] [RFC7481] [RFC9082] [RFC9083] [RFC7484] [RFC8056]などである。(RDAPがスノーデン暴露と何らかの関係があったかどうかは議論の余地はあるが、それでも良い例であり、最終的に実装されつつある。)

DNS Queries over HTTPSプロトコルは、DNSクエリを暗号化することを目的としていた。RFC 7258から4年後、DoHはDNSクエリの能動的及び受動的監視に取り組むために開発された。また、検閲に対抗するためのツールでもあった。暴露の前であれば、DNSクエリのプライバシーは、高価であるとか、不要であるといった理由で物議を醸しただろうが、スノーデン暴露によって、その考えがより説得力を持つようになった。Let's Encryptはインターネット・プロトコルではなかったが、ウェブを暗号化することを目指した新たな取り組みで、後に自動化プロトコルの一部がIETF ACMEワーキンググループで標準化された。RDAPは、ドメイン名登録者(およびIPアドレス保有者)の機密性の高い個人データを削除すると同時に、情報への正当なアクセスを可能にするという、長期的な問題を解決することができる。HRPC研究グループの活動としては、これまでにテン・ウフェルとキャスによる[RFC8280]や、多くの情報提供のためのインターネット・ドラフトが発表されている。

インフラ層での人権保護を可能にするすべての活動やプライバシー保護プロトコルや新たな取り組みが、スノーデン暴露にのみ起因している、あるいは直接起因していると主張することはできないが、この暴露は、人権保護を可能にするインターネット・プロトコルの修正に影響を与えた「技術的」な躊躇の解消を早めるのに役立ったと言って差し支えないと思う。

残念ながら、スノーデン暴露は、人権的なアプローチを採用する上で、まだ有意義な助けにはなっていない。私たちがインターネット・コミュニティにおいて人権を優先させることに同意できないのは、さまざまな理由があるからだ。その理由は以下の通りである: 1) 人権は時に互いに対立することがある、2) インターネット・プロトコルを通じて人権侵害を軽減することは単に不可能である、3) インターネット・プロトコルが人権保護を可能にするにはどのように貢献するか、あるいは何をすべきかが、前もってエンジニアにとって明らかではない、4) プロトコルはすでに存在するが、市場、法律、その他多くの社会的・政治的問題が広範な実装を許さない。

IETFは、人権を実現するプロトコルの採択と実装に、意図的に長い時間を費やしたわけではない。技術的、政治的な問題が障壁となっていたからである。例えば、WHOISが階層アクセス・オプションに対応できなかったため、IETFコミュニティは、IP所有者とドメイン名登録者の必要な情報を開示し、同時に彼らのデータを保護するプロトコルを作ろうと、以前から何度も試みていた(Cross Registry Internet Service Protocol (CRISP)と、後のInternet Registry Information Service (IRIS)がその例)。しかし、IRISの実装は技術的に非常に困難だった。RDAPが開発され、一般データ保護規則(GDPR)が制定されるまで、Internet Corporation for Assigned Names and Numbers(ICANN)は、レジストリとレジストラにRDAPを導入するよう指示することを検討しなければならず、そのコミュニティはプライバシーに準拠したポリシーを策定する必要があった。全体として、多くの規制や市場のインセンティブが人権を実現するプロトコルの実装を止めたり遅らせたりする可能性があり、その実装は独自の政治的利害関係者の対立を抱える他の組織に依存する可能性がある。プロトコルが利用可能であっても、規制の枠組みや市場が実装を許さないこともある。周囲の状況には、純粋にエンジニアリングに焦点を当てた議論では見落としがちな、現実的な側面が含まれていることもある。

興味深い例としては、経済的に価値のある資産に関わる取引を対象とした制裁体制が挙げられる。その結果、制裁により、制裁対象国や団体のIPv4リソースへのアクセスが制限されるかもしれない(これらのアドレスの再販市場が存在するため、アドレスを取得することは価値のあるものを購入していると解釈されるため)が、同じ考慮事項はIPv6アドレス・リソースには適用されないかもしれない。しかし、IPv6の採用自体は、IPv4とIPv6の特性の技術的な比較に決して限定されない、多くの複雑な要因に依存している。プロトコルの技術的な特徴のみに焦点を当てる人は、洗練されたソリューションを考案するかもしれないが、導入上の課題と意図しない下流への影響の両方に驚かされるかもしれない。プロトコルの実装をめぐって、表現の自由を守り、監視を減らすことができる一方で、他の人権を阻害する可能性があると考えられているため、議論が起こることがある。例えば、DNS over HTTPSは、検閲を回避できる可能性があり、DNSクエリを暗号化する機能があるにもかかわらず、技術コミュニティや一部のネットワーク事業者は、その実装に依然として疑問を抱いている。DoHの導入に反対する論拠として、ネット上の子どもの保護や法執行機関がデータにアクセスできなくなることなどが挙げられる。

私たちは、ある権利(例えば、プライバシーの権利を保護したり、監視を防ぐための暗号化など)を保護するために用いる技術的ソリューションが、他の人権を保護しようとする技術的及び政策的ソリューションに潜在的に影響を与える可能性があることを認識しなければならない(例えば、暗号化は金融機関が不正行為を発見するために従業員のネットワーク活動を監視することを妨げる可能性がある)。このような矛盾を認識し、特定することは、暗号化などの他の技術的ソリューションを阻害することなく、人権を保護できる代替技術を考え出すのに役立つ。そのような代替技術が不可能な場合、その欠点を認識することで、私たちがインターネット・システムで受け入れてきたトレードオフが明確になり、浮き彫りにすることができる。

皮肉なことに、私たちはコネクティビティを擁護し、インターネット上で自己表現することは人権であると信じているが、戦争が勃発すると、まさにその概念に影響を与えるツールに頼ることになる。例えば、インターネットの重要な性質に制裁を加えることで、戦争の加害者を罰することができると考える人もいる。IPアドレスの登録を担当する地域インターネット・レジストリは、このような要求に対するレジリエンスを示している。しかし、一部のテック企業(例えば、Cogent[Roth2022]など)は、制裁対象国にサービスを提供しないことを決定し、制裁に過剰に応じた。制裁への過剰な遵守は、一般の人々のインターネットへのアクセスを妨げる可能性がある[Badii2023]。

おそらく、インターネット・プロトコルが人権にどのように、そしてなぜ影響を与えるのかを明らかにするために、徹底的な影響評価と文脈分析を行うことで、これらの問題のいくつかを解決することができるかもしれない(フィドラーと私が主張したこと[Badii2021])。文脈分析と影響評価により、インターネット・プロトコルやコードの一行一行が、どのシステムにおいて、誰の人権にどのような影響を与えるかを明らかにすることができる。

HRPC RG(私はその一員である)や、より大きな人権・政策アナリストのコミュニティは、何が影響を与え、何を変えなければならないのかをよく理解するために、プロトコルと並行して法的、社会的、市場的要因を分析することにまだ苦労している。難しいことではあるが、不可能ではない。インターネット・プロトコルのライフサイクルを徹底的に文書化し、研究し、それを文脈化すれば、人権を守るためにプロトコルのどの部分をどのように修正すべきかは、より深く理解できるようになるかもしれない。

全体として、今回の暴露はある程度、私たちの考え方や視点の進化に貢献したと言えるだろう。私たちの次のステップは、インターネット・システム (インターネット・プロトコルを含む)が人権に与える影響について研究を行い、政策やアドボカシー活動を通じて人権に配慮したプロトコルの実装を促進し、人権を可能にするインターネット・プロトコルの広範な実装を支援するために、どの技術部分を標準化できるかに焦点を当てることである。

5. スティーブン・M・ベロビン: 政府と暗号: 暗号戦争

5.1. 歴史的背景

これは秘密ではない。世界中の多くの政府は、国民がトラフィックを暗号化することを好まない。より正確に言うと、政府は自分たちに対しては強力な暗号を好むが、他者(民間人であれ他国であれ)に対しては暗号は好まないということだ。しかし、その歴史は長く、複雑である。

文字で書かれた歴史の大半において、政府も個人もメッセージを保護するために暗号を使ってきた。有名な例を1つだけ挙げると、ジュリアス・シーザーはアルファベットの文字を3ずつずらしてメッセージを暗号化したと言われている[Kahn1996]。現代的な言い方をすれば、3が鍵で、各文字は次のように暗号化される。

C[i] = (P[i] + 3)\mod 23

(彼の時代のラテン語のアルファベットは23文字しかなかった。) 知られている暗号解読に関するアラビア語の文献は、少なくとも8世紀にまで遡り、その洗練された内容から、暗号がそれなりに一般的に使われていたことを示している。9世紀には、アブー・ユースフ・ヤアクーブ・イブン・イスハーク・アル＝キンディーが、暗号を解読する方法としての頻度分析を開発し、執筆している[Borda2011] [Kahn1996]。

しかし、識字率の低い時代には、ほとんどの人が読み書きができなかったため、暗号はそれほど使われていなかった。政府は外交メッセージに暗号を使い、暗号分析者もそれに続いた。ルネサンス時代の有名なブラック・チェンバーは、さまざまな政府からのメッセージを読み取り、その一方で初期の暗号学者たちはより強力な暗号を考案していった[Kahn1996]。エリザベス朝時代のイングランドでは、フランシス・ウォルシンガム卿の諜報機関がスコットランドの女王メアリーのメッセージを傍受し、解読した。これらのメッセージはメアリーに不利な証拠となり、最終的に彼女の処刑につながった[Kahn1996]。

このパターンは何世紀にもわたって続いた。アメリカでは、トーマス・ジェファーソンが18世紀後半にいわゆるホイール暗号を発明した。この暗号は約100年後にエティエンヌ・バゼリーズによって再発明され、第二次世界大戦までアメリカの標準的な軍事暗号として使われた[Kahn1996]。ジェファーソンをはじめとする18世紀後半から19世紀初頭の政治家たちは、互いに連絡を取り合う際に暗号を常用していた。暗号化されたメッセージは、1807年のアーロン・バーの反逆罪の裁判で提出された証拠の一部にもなった[Kerr2020] [Kahn1996]。エドガー・アラン・ポーは、自分に送られたメッセージをすべて暗号解読できると主張していた[Kahn1996]。

電信の時代になると、さらにそのレベルが上がった。アメリカでは、サミュエル・モースがボルチモアとワシントンの間に最初の電信回線を敷設した翌年、彼のビジネス・パートナーであったフランシス・スミスは、顧客が詮索好きの目から通信を守るためのコードブックを出版した[Smith1845]。1870年、イギリスは国内の電信網を国有化した。これを受けて、ロバート・スレーターはより洗練されたコードブック[Slater1870]を出版した。政府側では、イギリスは世界の国際電信網の中心的なノードとしての立場を利用して、国内を通過する大量のトラフィックを読み取っていた[Headrick1991] [Kennedy1971]。彼らはこの能力を戦略的にも利用した ─ 1914年に戦争が勃発すると、イギリス海軍はドイツの海底電信ケーブルを切断し、ドイツに無線を使わざるを得なくした。いわゆるツィンマーマン電報の傍受が暗号解読されたことで、アメリカの参戦、ひいてはドイツの敗北につながったことは間違いない。アメリカが戦争に参戦すると、国際電信回線の利用者は、検閲官がメッセージに禁止されている内容が含まれていないかチェックできるように、圧縮に使用するコードブックのコピーを預けるよう義務付けた[Kahn1996]。

ビクトリア朝時代のイギリスでは、私人(多くは恋人同士)が、新聞の個人欄で暗号を使い、親に知られることなくコミュニケーションをとっていた。チャールズ・ホイートストーンとチャールズ・バベッジは、自分たちの娯楽のために、日常的にこれらの初歩的な暗号を解いていた[Kahn1996]。

このパターンは長年続いた。政府は定期的に暗号やコードを使用し、他国はそれを解読しようとした。個人は暗号を使用することもあったが、頻繁ではなく、うまくいくこともほとんどなかった。しかし、二度の世界大戦は大きな変化をもたらし、それはやがて民間の世界にも波及していくことになる。

第一次世界大戦では、すべての当事国が大規模な軍隊を移動させたため、電信や無線による暗号化された大量の通信が必要になった。これらのメッセージは、まとめて簡単に傍受されることが多かった。さらに、大量の平文を暗号化することの難しさから、ドイツの有名なエニグマ機など、さまざまな機械的暗号化装置が開発された。第二次世界大戦は、この2つの流れをさらに加速させた。また、イギリスのボンブ(初期のポーランドの設計に由来)やコロッサスマシン、日本のPURPLEシステムを解読したアメリカの装置など、機械による暗号解読が行われた。また、アメリカはパンチカード式集計装置を用いて、大日本帝国海軍のJN-25などの日本の暗号解読を支援した[Kahn1996] [Rowlett1998]。

これらの開発は、戦後のシギント(SIGINT: Signals Intelligence)環境の舞台となった。政府内のメッセージの多くは無線で送信されるため、傍受が容易で、高度な暗号解読機によって暗号解読が容易になった。しかし、暗号はますます強力になり、政府のシギント機関はデータへのアクセスを手放したくなかった。多くの開発が行われたことは間違いないが、よく知られているものが2つある。

1つ目は、スウェーデン(後にスイス)の暗号機器メーカーのクリプトである。この会社の社長ボリス・ハーゲリンは、アメリカの先駆的な暗号学者であるウィリアム・F・フリードマンの友人だった。1950年代、CryptoAGはその装置を他国政府に販売していた。どうやらフリードマンの命令で、ハーゲリンはNSAがトラフィックを読めるように暗号を弱めていたようだ[Miller2020]。

イギリスにまつわる話は、あまり文書化されておらず、明確ではない。イギリスの旧植民地のいくつかが独立したとき、イギリス政府は自国のトラフィックを守るために、戦争で余ったエニグマ機を彼らに与えた。ある著者は、旧植民地はイギリスがエニグマで守られた通信を読むことができることを知らなかったという点で、これは欺瞞だったと主張する。また、これは明らかだったが、これらの国々は気にしなかったと主張する人もいる。つまり、イギリスはもはや彼らの敵ではなく、彼らが心配していたのは近隣諸国だったのだ。しかし、繰り返すが、これも政府による暗号の使用に関するものである[Kahn1996] [Baldwin2022]。私的利用はまだほとんどなかった。

5.2. 暗号戦争の始まり

1972年頃、プライバシーを求める個人の欲求と、通信を読みたいという政府の欲求が対立する現代の時代は、1972年頃に始まった。ソ連の穀物収穫が不作となり、ソ連とアメリカの関係が一時的に比較的良好になったため、ソ連の穀物会社(もちろんソ連政府の一機関)がアメリカの民間企業と交渉を開始した。当時、アメリカ人は知らなかったが、ソ連の諜報機関はアメリカの交渉チームの電話を傍受していた。つまり、民間企業は国家権力を脅威として取引しなければならなかったのだ。やがて、このことを知ったアメリカの諜報機関は、アメリカの国益を守るためには、民間企業にも強力な暗号が必要だという考えに至った[Broad1982] [Johnson1998]。このことは、アメリカの民間通信を保護するための強力な暗号の必要性を強調した。しかし、シギントの人々は、解読できない暗号がさらに増えると考えて不満を抱いた。

一方、アメリカは機密扱いではないデータを保護することに懸念を抱いていた[Landau2014]。1973年と1974年、国家標準局(NBS)は強力で最新の暗号アルゴリズムの公募を行なった。IBMはが提出したLuciferは、16ラウンドのフェイステル・ネットワークとして知られるようになったものをベースとする社内で開発されたアルゴリズムである。オリジナルのバージョンは長い鍵を使用していた。かなり強力に思えたので、NBSはこれをNSAに送り、彼らの意見を聞くことにした。1976年にデータ暗号化標準(DES)として採用された最終的な設計は、Luciferとはいくつかの重要な点で異なっていた。まず、DESの暗号強度の源であるいわゆるSボックスが変更され、乱数整数で構成されていないことが明らかになった。多くの研究者が、SボックスにはNSAのバックドアが隠されていると主張した。真実が明らかになるまでに20年近くかかった。Sボックスは実際には弱体化されたのではなく、強化されていた。現在、差分暗号解読として知られている攻撃は、IBMが独自に発見したと考えられているが、NSAが教えたのではないかと疑う学者もいる。ランダムではないSボックスはこの攻撃から守ることができた。しかし、もう1つの変更は明らかにNSAが主張したもので、鍵のサイズがLuciferの112ビットからDESの56ビットに短くされたのだ。NSAは48ビットの鍵サイズを望んでいたのに対し、IBMは64ビットを望んでいたことが今になって分かっている。彼らは56ビットで妥協した。

スタンフォード大学のホイットフィールド・ディフィーとマーティン・ヘルマンは、56ビットの鍵に疑問を持った。1979年、彼らは、アメリカ政府(他にはほとんどないが)がブルートフォース・クラッキング・マシン(メッセージを解読するために2^{56}の可能なすべての鍵を試すことができるマシン)を作る余裕があることを示す論文を発表した。NSAは設計の改ざんを否定し、上院の調査委員会はこの主張が正しいことを認めたが、鍵の長さが短くなった問題については議論しなかった。

しかし、これはディフィーとヘルマンの暗号学への最大の貢献はではない。その数年前、彼らは現在公開鍵暗号として知られているものを発明した論文を発表していた。(実際には、公開鍵暗号はイギリス政府通信本部(GCHQ)で数年前に発明されていたが、その発見は1997年まで機密扱いにしていた。) 1978年に、ロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマンがRSAアルゴリズムを考案し、これを実用化した。(NSA職員が独断で、暗号に関する学術会議が米国の輸出法に抵触する恐れがあると警告する書簡を送った。)

同じ頃、ウィスコンシン大学のジョージ・ダヴィダはストリーム暗号の特許を申請した。NSAはこの申請に秘密保持命令を出した。これにより、ダヴィダは自分の発明について話すことさえできなくなった。世評は壊滅的だった。NSAは手を引かざるを得なくなった。

こうして暗号戦争が始まった。民間人が強力な暗号システムを発明し、NSAはそれを改ざんしたり、抑圧しようとしたりしていた。当時のNSA長官だったボビー・インマンは、学術論文の自主的な審査プロセスを作ろうとしたが、参加することに興味を持った研究者はほとんどいなかった[Landau1988]。

1980年代には、民間暗号の新しい主要な使用例がほとんどなかったため、公の場での大きな戦いはほとんどなかった。しかし、1つだけ注目すべき出来事があった。シャミア、アモス・フィアット、ウリエル・フェイジの3人がゼロ知識証明を発明し、米国特許を申請した。これに対し、米軍はこの特許に秘密保持命令を出した。世論の大きな反発と、あらゆる組織の中でも特にNSAによる介入を受けた後、発明者たちはアメリカ人ではなく、世界中で自分たちの研究について議論していたからという非常に限られた理由で、この命令は解除された[Landau1988]。

しかし、1990年代になるとすべてが変わった。

5.3. 戦いに参加

1990年代初頭、暗号技術には3つの大きな進展があった。まず、フィル・ジマーマンが電子メール・メッセージを暗号化するパッケージ「PGP (Pretty Good Privacy)」をリリースした。1993年には、AT&Tは出張者向けの使いやすい電話暗号装置TSD-3600の発売を計画した。その直後には、ネットスケープ・コミュニケーションズは、自社のブラウザとウェブサーバを使ったウェブベースの商取引を可能にする方法として、SSL(Secure Socket Layer)をリリースした。これらはすべて、NSAとFBIによって脅威とみなされた。

PGPは、少なくとも間違いなく、ITARと呼ばれる国際武器取引規制の対象だった ─ アメリカの法律では、暗号ソフトウェアは武器とみなされていたため、輸出にはライセンスが必要だった。また、RSAアルゴリズムの特許を侵害しているとの疑いもあった。言うまでもなく、この2つの問題は、オープンソース・ソフトウェアと意図されていたものにとっては問題だった。最終的に、PGPの海外普及に果たしたジマーマンの役割に関する刑事捜査は取り下げられたが、このような捜査の脅威は、他者を抑止するために残った[Levy2001]。

TSD-3600は別の問題だった。AT&Tは大企業で、アメリカ政府と争うようなことはしたくなかったが、海外出張者はこのデバイスの主要市場と見られていた。政府の「要請」により、DESチップはクリッパーチップと呼ばれるものに置き換えられた。クリッパーチップは、スキップジャックという80ビットの鍵を持つ暗号を使用していたため、ブルートフォース攻撃に対してDESよりもはるかに強かった。しかし、「キーエスクロー」(鍵の預け入れ)という機能が備わっていた。詳細は省くが、このキーエスクローの仕組みにより、アメリカ政府の盗聴者は一対の(おそらく安全な)内部データベースを参照し、チップで保護されたすべての通信を解読することができた。AT&Tのベル研究所のマット・ブレイズが、キーエスクロー機能なしでスキップジャックを使うことができる設計上の弱点[Blaze1994]を発見したことは、その評判を下げることになった。

3つ目の大きな開発であるSSLはさらに厄介だった。SSLは電子商取引を対象としており、当然ネットスケープはアメリカ国外で製品を販売できるようにしたいと考えた。それには輸出許可が必要だったため、彼らは政府と交渉をした。アメリカ以外のユーザには、NSAが20年前に合意したものよりはるかに短い40ビットの鍵を使用するバージョンを提供することになった。(話を先に進めると、輸出グレードのブラウザが金融機関と通信するときに強力な暗号を使用できるという妥協的な動作モードもあった。このハイブリッド・モードは、約20年後に発見された暗号の弱点につながった[Adrian2015])。

技術者とアメリカの産業界は、これに反発した。IETFは、[RFC3365]に記述されている「ダンバーズ・ドクトリン」を採用した:

---

1995年4月にマサチューセッツ州ダンバーズで開催された第32回IETFで、IESGはIETF標準が提供すべきセキュリティの強度についてのコンセンサスを本会議に求めた。IETFの当面の課題は、「輸出」グレードのセキュリティ(つまり弱いセキュリティ)を標準規格でサポートするかどうかだったが、この問題はセキュリティ全般に関する一般的な問題を提起した。

圧倒的なコンセンサスは、IETFは国の政策に関係なく、利用可能な最高のセキュリティの使用を標準化すべきであるというものだった。このコンセンサスはしばしば「ダンバーズ・ドクトリン」と呼ばれる。

---

その後、アメリカ企業は、アメリカの輸出法を遵守する必要のない海外の競合他社にビジネスを奪われ始めた。このような事態は、一見幸せな結末に思えた。アメリカ政府は、暗号ソフトウェアの輸出規則を大幅に緩和した。これで万事解決に思われたのだが…

5.4. 隠された戦い

強力な暗号技術は、もはやアメリカの専売特許ではなくなっていた。NSAの情報保証総局(NSAの一部で、米国のデータを保護する役割を担っている部門)は、強力な暗号の普及に喜んでいた。Advanced Encryption Standard (AES)のコンペティションが開催された際にも、NSAによる悪意のある干渉の疑惑はなく、実際、優勝したのジョアン・デーメンとヴィンセント・ライメンという2人のヨーロッパ人が考案したものだった。しかし、NSAとそのシギントのニーズがなくなったわけではなく、NSAは他の手法を採用したに過ぎなかった。

私はしばしば、人は強力なセキュリティを通り抜けるのではなく、それを回避するのだと指摘してきた。強力な暗号がより一般的になり、その必要性がさらに高まったとき、NSAはコンピュータとそのコンピュータで実行されるソフトウェアを標的にすることで、暗号を回避し始めた。そして、彼らはAESを非常に強力な暗号だと信じているのは明らかなようだ。彼らは極秘情報の保護にAESを使うことを推奨している。しかし、そのお墨付きはアスタリスクが付いている: AESは、適切に使用され、実装された場合にのみ適している。そこに問題があるのだ。

2007年、Microsoftの研究者、ダン・シュモフとニールス・ファーガソンの2人が、NIST標準の乱数生成器DUAL_EC_DRBGの奇妙な特性に注目し、外部の暗号メカニズムを改ざんしようとする最初の明白な試みを発見した。(NBSはNIST(国立標準技術研究所)に改名している。) 乱数は暗号技術には不可欠だが、シュモフとファーガソンは、DUAL_EC_DRBGのある定数と、既知だが隠されている他の数値と特定の方法で選択した場合、その数値を知る者は、数バイトのサンプルから始めると、システムから将来の乱数をすべて予測できることを示した[Kostyuk2022]。このサンプル・バイトは、既知の鍵、ノンスなど、他のものから取得することができる。DUAL_EC_DRBGの定数はどこから来て、どのように選択・生成されたのだろうか? 知っている人は誰も喋ろうとしない。しかし、暗号学者やセキュリティの専門家は非常に疑心暗鬼になっていた ─ ブルース・シュナイアーは、さらなる事実が明らかになる前の2007年に、「NISTもNSAも説明すべきことがある」と書き、私も学生たちにこのテーマに関する本を読むように指示した ─ この問題が実際に注目を集めるようになったのは、それから6年後のことである。エドワード・スノーデンが公開した文書の中に、NSAが実際に主要な暗号標準に手を加えていたという情報が含まれていたからだ。

暴露はこれだけにとどまらなかった。NSAは一部の企業に、自社の製品にDUAL_EC_DRBGを使用するよう、お金を支払っていたという疑惑がある。乱数生成器を悪用するために、IETFの標準規格の一部を変更して、乱数バイトを十分に見えるようにしようとする試みがあったと主張する人もいる。ネットワーク機器の大手ベンダーであるJuniperは、一部の製品でDUAL_EC_DRBGを使用していたが、定数は異なっていた[Checkoway2016]。これらはどこから来たのだろうか? NSAや他の政府から来たのだろうか? 諜報機関によって彼らのソースツリーがハッキングされたのだろうか? ほぼ同時期に、彼らのコードに対する別のハッキングがあった[Moore2015]。誰も喋ろうとしない。

スノーデン暴露には、NSAが世界規模の盗聴ネットワークを持っていたことを示唆するデータや、非常に特定のターゲットのシステムを狙い撃ちしたハッキングを試みたグループも含まれていた。振り返ってみると、どちらも驚くべきことではない。「スパイはスパイ(spies gonna spy)」なのだ。NSAの仕事は、シグナル・インテリジェンスであり、トラフィックを傍受しようとするのは当然だ。実際、DUAL_EC_DRBGの改ざんは、解読するメッセージを収集していない人には役に立たない。そして、標的型ハッキングは、強力な暗号を回避する自然な方法である。暗号化される前や復号化された後にデータを収集すれば、アルゴリズムの強度を気にする必要はない。

世界中のプライバシー・コミュニティは愕然としたが、おそらくそうあるべきではなかっただろう。映画『カサブランカ』[Curtiz]のクロード・レインズの有名なセリフ「ショックだよ。ここでカジノが開かれていることが分かったんだ」を思い起こさせる。即座の、そして継続的な反応は、暗号をさらに導入することだった。標準は以前から存在していた。欠けていたのは採用だった。1つの障壁は、SSLの後継であるTLSで使用する証明書を取得することの難しさと費用だった。その空白を埋めたのが、無料の証明書をオンラインで簡単に入手できるLet’s Encrypt[LE]だった。現在では、ほとんどのHTTPトラフィックは暗号化されており、Googleの検索エンジンは、TLSを使用していないサイトのランクを下げているほどだ。主要な電子メール・プロバイダは、すべてのトラフィックを保護するために一様にTLSを使用している。WiFiは、ローカルエリアの問題ではあるが、今でははるかに強力な暗号が使われている。(安全と不安には経済的な要素があることを忘れてはならない。セキュリティは完璧でなくても、攻撃者のコストを十分に引き上げることができれば、非常に有用なのだ。)

ソフトウェアの面では、あまりいいニュースではない。ランサムウェアの被害に遭ったというニュースを目にしない日はない。言うまでもなく、ディスクを暗号化できるような脅威は、ディスク上の情報を盗むこともできることは言うまでもない。実際、十分なバックアップをとっているサイトにとっては、情報漏洩の脅威がお金を払うインセンティブとなるため、それに付随した活動が頻繁に行われている。大手ベンダーはソフトウェアのセキュリティ保護に多大な努力を払っているが、エンドユーザ・サイトのバグや操作ミスは後を絶たない。

5.5. IETFはどうなる?

NSAだけでなく、世界中のシギント機関 ─ ほとんどの主要国には独自の機関がある ─ は、このままなくなることはないだろう。NSAを悩ませてきた課題は、こうした機関すべてに共通するものであり、その解決策もおそらく同じである。問題は、個人のプライバシーを守るために何をすべきかということである。オーストラリアやイギリスなど、多くの強力な民主主義国家は、暗号戦争の再開として、暗号を制限する動きを見せている。FBIや他の法執行機関から駆り立てられ、アメリカ議会も同様の法案を頻繁に検討している。

IETFは長年にわたり、強力でユビキタスな暗号化に取り組んできた。これは良いことだ。暗号や他のセキュリティ機能を最初からプロトコルに設計し、継続する必要がある。しかし、メンテナンスも必要である。鍵の長さやモジュラスのサイズといったパラメータは古くなる。現在許容できる値が10年後には許容できないかも知れない。(RFCで指定された1024ビットのモジュライの問題が明らかになったことがすでに確認されている。このRFCは、技術が十分に向上し、それに基づく暗号化攻撃が可能になっても修正されなかった[Adrian2015]。) IETFは、ベンダーが出荷するコードやサイトが使用するコードについては何もできないが、状況が変化したと考えていることを世界に警告することはできる。

暗号の俊敏性(Cryptoagility)はますます重要性を増している。今後数年のうちに、いわゆるポスト量子アルゴリズムが登場するだろう。プロトコルも鍵の長さも、おそらく劇的に変化する必要があるだろう。IETFの準備はできているのだろうか? 例えば、DNSSECの鍵長が大幅に長くなった場合、どうなるのだろうか? 後方互換性は引き続き重要だろうが、それはもちろん他の攻撃への扉を開くことになる。私たちは長い間、そのような攻撃について考えてきた。私たちのメカニズムが機能することを確認する必要がある ─ 私たちは過去に驚いたことがある[BellovinRescorla2006]。

メタデータについてもさらに考慮する必要がある。NSAとCIAの元長官であるマイケル・ヘイデンはかつて、「我々はメタデータに基づいて人を殺す」と発言している[Ferran2014]。しかし、注意は必要だ。メタデータを隠そうとすると、副作用が生じる可能性がある。些細な例を挙げると、Torは非常に強力だが、出口ノードが自分のいる国とは異なる国にある場合、IPジオロケーションを使用するウェブサイトは、自分にとって外国語でコンテンツを表示する可能性がある。既知のTor出口ノードからの接続をブロックするサイトさえある。より一般的には、メタデータを隠そうとする多くの試みは、別の当事者を信頼することを伴う。その当事者は信頼できないことが判明するかもしれないし、その当事者自体が攻撃の標的になるかもしれない。他の著名なIETFerが言ったように、「安全性の欠如は、エントロピーのようなもので、破壊することはできないが、あちこち移動させることはできる」のだ。IETFは多くのことをやってきた。そして、ここでのリスクは、直接行動する政府だけではなく、データを収集し、あらゆる人に販売する民間企業にもあることを忘れてはならない。

最後に、IETFはそのミドルネームが「エンジニアリング」であることを忘れてはならない。私にとって、エンジニアリングの特質の1つは、制約の多い環境の中で適切なソリューションを選択する技術である。諜報機関がなくなることはないし、暗号技術に対する国の制限もなくなることはない。私たちは自分たちの原則に忠実でありながら、正しい道を選ばなければならない。

6. セキュリティに関する考慮事項

それぞれの、あるいは執筆者が誰かが、何かを忘れたり、省略したり、間違ったりしている可能性がある。そのような場合は申し訳ないが、そのような振り返りの性質上で仕方がないことである。しかし、そのような欠陥があっても、セキュリティやプライバシーが悪化させることはほとんどないだろう。

7. IANAに関する考慮事項

この文書にはIANAのアクションはない。

8. 参考規格

[ACME] IETF, "Automated Certificate Management Environment (acme)", <https://datatracker.ietf.org/wg/acme/about/>.

[Adrian2015] Adrian, D., Bhargavan, K., Durumeric, Z., Gaudry, P., Green, M., Halderman, J. A., Heninger, N., Springhall, D., Thomé, E., Valenta, L., VanderSloot, B., Wustrow, E., Zanella-Béguelin, S., and P. Zimmermann, "Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice", CCS '15: Proceedings of the 22th ACM Conference on Computer and Communications Security, October 2015, <https://dl.acm.org/doi/10.1145/2810103.2813707>.

[Badii2021] Badiei, F., Fidler, B., and The Pennsylvania State University Press, "The Would-Be Technocracy: Evaluating Efforts to Direct and Control Social Change with Internet Protocol Design", Journal of Information Policy, vol. 11, pp. 376-402, DOI 10.5325/jinfopoli.11.2021.0376, December 2021, <https://doi.org/10.5325/jinfopoli.11.2021.0376>.

[Badii2023] Badiei, F., "Sanctions and the Internet", Digital Medusa, 2023, <https://digitalmedusa.org/wp-content/uploads/2023/05/SanctionsandtheInternet-DigitalMedusa.pdf>.

[Baldwin2022] Baldwin, M., "Did Britain sell Enigmas postwar?", Dr. Enigma, March 2022, <https://drenigma.org/2022/03/02/did-britain-sell-enigmas-postwar/>.

[BellovinRescorla2006] Bellovin, S. M. and E. K. Rescorla, "Deploying a New Hash Algorithm", Proceedings of NDSS '06, February 2006, <https://www.cs.columbia.edu/~smb/papers/new-hash.pdf>.

[Blaze1994] Blaze, M., "Protocol Failure in the Escrowed Encryption Standard", CCS '94: Proceedings of Second ACM Conference on Computer and Communications Security, 1994, <https://dl.acm.org/doi/10.1145/191177.191193>.

[Borda2011] Borda, M., "Fundamentals in Information Theory and Coding", Springer-Berlin, May 2011.

[Broad1982] Broad, W. J., "Evading the Soviet Ear at Glen Cove", Science, 217:4563, pp. 910-911, September 1982, <https://www.science.org/doi/abs/10.1126/science.217.4563.910>.

[CFRG] IRTF, "Crypto Forum (cfrg)", <https://datatracker.ietf.org/rg/cfrg/about/>.

[Checkoway2016] Checkoway, S., Maskiewicz, J., Garman, C., Fried, J., Cohney, S., Green, M., Heninger, N., Weinmann, R. P., Rescorla, E., and Hovav Shacham, "A Systematic Analysis of the Juniper Dual EC Incident", CCS '16: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, pp. 468-479, October 2016, <https://dl.acm.org/citation.cfm?id=2978395>.

[CURDLE] IETF, "CURves, Deprecating and a Little more Encryption (curdle)", <https://datatracker.ietf.org/wg/curdle/about/>.

[Curtiz] Curtiz, M., Epstein, J. J., Epstein, P. G., and H. Koch, "Casablanca", Warner Bros. Pictures, November 1942.

[Doria2012] Liddicoat, J. and A. Doria, "Human Rights and Internet Protocols: Comparing Processes and Principles", The Internet Society, December 2012, <https://www.internetsociety.org/resources/doc/2012/human-rights-and-internet-protocols-comparing-processes-and-principles/>.

[Dual-EC] Bernstein, D., Lange, T., and R. Niederhagen, "Dual EC: A Standardized Back Door", July 2016, <https://eprint.iacr.org/2015/767.pdf>.

[Ferran2014] Ferran, L., "Ex-NSA Chief: "We Kill People Based on Metadata"", ABC News, May 2014, <https://abcnews.go.com/blogs/headlines/2014/05/ex-nsa-chief-we-kill-people-based-on-metadata>.

[Garfinkel1995] Garfinkel, S., "PGP: Pretty Good Privacy", O'Reilly and Associates, January 1995.

[Guard2013] Greenwald, G., "NSA collecting phone records of millions of Verizon customers daily", The Guardian, June 2013.

[Headrick1991] Headrick, D. R., "The Invisible Weapon: Telecommunications and International Politics, 1851-1945", Oxford University Press, 1991.

[Johnson1998] Johnson, T. R., "American Cryptology During the Cold War, 1945-1989; Book III: Retrenchment and Reform, 1972-1980", Center for Cryptologic History, NSA, 1998, <https://www.nsa.gov/portals/75/documents/news-features/declassified-documents/cryptologic-histories/cold_war_iii.pdf>.

[Kahn1996] Kahn, D., "The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet", 2nd Edition, Scribner, 1996.

[Kennedy1971] Kennedy, P. M., "Imperial cable communications and strategy, 1870-1914", English Historical Review, 86:341, pp. 728-752, Oxford University Press, October 1971, <https://www.jstor.org/stable/563928>.

[Kerr2020] Kerr, O. S., "Decryption Originalism: The Lessons of Burr", Harvard Law Review, 134:905, January 2021, <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3533069>.

[Kostyuk2022] Kostyuk, N. and S. Landau, "Dueling over DUAL_EC_DRBG: The Consequences of Corrupting a Cryptographic Standardization Process", Harvard National Security Journal, 13:2, pp. 224-284, June 2022, <https://www.harvardnsj.org/wp-content/uploads/sites/13/2022/06/Vol13Iss2_Kostyuk-Landau_Dual-EC-DRGB.pdf>.

[Landau1988] Landau, S., "Zero Knowledge and the Department of Defense", Notices of the American Mathematical Society, 35:1, pp. 5-12, January 1988, <https://privacyink.org/pdf/Zero_Knowledge.pdf>.

[Landau2014] Landau, S., "Under the Radar: NSA's Efforts to Secure Private-Sector Telecommunications Infrastructure", Journal of National Security Law & Policy, 7:3, September 2014, <https://jnslp.com/wp-content/uploads/2015/03/NSA’s-Efforts-to-Secure-Private-Sector-Telecommunications-Infrastructure_2.pdf>.

[LE] Aas, J., Barnes, R., Case, B., Durumeric, Z., Eckersley, P., Flores-López, A., Halderman, A., Hoffman-Andrews, J., Kasten, J., Rescorla, E., Schoen, S. D., and B. Warren, "Let's Encrypt: An Automated Certificate Authority to Encrypt the Entire Web", CCS '19: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security, November 2019, <https://dl.acm.org/doi/pdf/10.1145/3319535.3363192>.

[Levy2001] Levy, S., "Crypto: How the Code Rebels Beat the Government-Saving Privacy in the Digital Age", Penguin Publishing Group, January 2001.

[MADINAS] IETF, "MAC Address Device Identification for Network and Application Services (madinas)", <https://datatracker.ietf.org/wg/madinas/about>.

[Masnick2023] Masnick, M., "The Unintended Consequences of Internet Regulation", Copia, April 2023, <https://copia.is/library/unintended-consequences/>.

[Miller2020] Miller, G., "The intelligence coup of the century", The Washington Post, February 2020, <https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/>.

[Moore2015] Moore, H. D., "CVE-2015-7755: Juniper ScreenOS Authentication Backdoor", Rapid7, December 2015, <https://www.rapid7.com/blog/post/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor/>.

[MPLS-OPPORTUNISTIC-ENCRYPT] Farrel, A. and S. Farrell, "Opportunistic Security in MPLS Networks", Work in Progress, Internet-Draft, draft-ietf- mpls-opportunistic-encrypt-03, 28 March 2017, <https://datatracker.ietf.org/doc/html/draft-ietf-mpls-opportunistic-encrypt-03>.

[Perpass] IETF, "perpass mailing list", <https://mailarchive.ietf.org/arch/browse/perpass/>.

[Perpass-BoF] IETF, "perpass BoF -- Handling Pervasive Monitoring in the IETF", IETF 88 Proceedings, November 2013, <https://www.ietf.org/proceedings/88/perpass.html>.

[Plenary-video] "IETF 88 Technical Plenary: Hardening The Internet", YouTube video, 2:37:28, posted by "IETF - Internet Engineering Task Force", November 2013, <https://www.youtube.com/watch?v=oV71hhEpQ20&pp=ygUQaWV0ZiA4OCBwbGVuYXJ5IA%3D%3D>.

[Refs-to-7258] IETF, "References to RFC7258", <https://datatracker.ietf.org/doc/rfc7258/referencedby/>.

[RFC1984] IAB and IESG, "IAB and IESG Statement on Cryptographic Technology and the Internet", BCP 200, RFC 1984, DOI 10.17487/RFC1984, August 1996, <https://www.rfc-editor.org/info/rfc1984>.

[RFC3365] Schiller, J., "Strong Security Requirements for Internet Engineering Task Force Standard Protocols", BCP 61, RFC 3365, DOI 10.17487/RFC3365, August 2002, <https://www.rfc-editor.org/info/rfc3365>.

[RFC6462] Cooper, A., "Report from the Internet Privacy Workshop", RFC 6462, DOI 10.17487/RFC6462, January 2012, <https://www.rfc-editor.org/info/rfc6462>.

[RFC7217] Gont, F., "A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)", RFC 7217, DOI 10.17487/RFC7217, April 2014, <https://www.rfc-editor.org/info/rfc7217>.

[RFC7258] Farrell, S. and H. Tschofenig, "Pervasive Monitoring Is an Attack", BCP 188, RFC 7258, DOI 10.17487/RFC7258, May 2014, <https://www.rfc-editor.org/info/rfc7258>.

[RFC7480] Newton, A., Ellacott, B., and N. Kong, "HTTP Usage in the Registration Data Access Protocol (RDAP)", STD 95, RFC 7480, DOI 10.17487/RFC7480, March 2015, <https://www.rfc-editor.org/info/rfc7480>.

[RFC7481] Hollenbeck, S. and N. Kong, "Security Services for the Registration Data Access Protocol (RDAP)", STD 95, RFC 7481, DOI 10.17487/RFC7481, March 2015, <https://www.rfc-editor.org/info/rfc7481>.

[RFC7687] Farrell, S., Wenning, R., Bos, B., Blanchet, M., and H. Tschofenig, "Report from the Strengthening the Internet (STRINT) Workshop", RFC 7687, DOI 10.17487/RFC7687, December 2015, <https://www.rfc-editor.org/info/rfc7687>.

[RFC7858] Hu, Z., Zhu, L., Heidemann, J., Mankin, A., Wessels, D., and P. Hoffman, "Specification for DNS over Transport Layer Security (TLS)", RFC 7858, DOI 10.17487/RFC7858, May 2016, <https://www.rfc-editor.org/info/rfc7858>.

[RFC8056] Gould, J., "Extensible Provisioning Protocol (EPP) and Registration Data Access Protocol (RDAP) Status Mapping", RFC 8056, DOI 10.17487/RFC8056, January 2017, <https://www.rfc-editor.org/info/rfc8056>.

[RFC8064] Gont, F., Cooper, A., Thaler, D., and W. Liu, "Recommendation on Stable IPv6 Interface Identifiers", RFC 8064, DOI 10.17487/RFC8064, February 2017, <https://www.rfc-editor.org/info/rfc8064>.

[RFC8280] ten Oever, N. and C. Cath, "Research into Human Rights Protocol Considerations", RFC 8280, DOI 10.17487/RFC8280, October 2017, <https://www.rfc-editor.org/info/rfc8280>.

[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, <https://www.rfc-editor.org/info/rfc8446>.

[RFC8461] Margolis, D., Risher, M., Ramakrishnan, B., Brotman, A., and J. Jones, "SMTP MTA Strict Transport Security (MTA-STS)", RFC 8461, DOI 10.17487/RFC8461, September 2018, <https://www.rfc-editor.org/info/rfc8461>.

[RFC8484] Hoffman, P. and P. McManus, "DNS Queries over HTTPS (DoH)", RFC 8484, DOI 10.17487/RFC8484, October 2018, <https://www.rfc-editor.org/info/rfc8484>.

[RFC8981] Gont, F., Krishnan, S., Narten, T., and R. Draves, "Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6", RFC 8981, DOI 10.17487/RFC8981, February 2021, <https://www.rfc-editor.org/info/rfc8981>.

[RFC9000] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based Multiplexed and Secure Transport", RFC 9000, DOI 10.17487/RFC9000, May 2021, <https://www.rfc-editor.org/info/rfc9000>.

[RFC9082] Hollenbeck, S. and A. Newton, "Registration Data Access Protocol (RDAP) Query Format", STD 95, RFC 9082, DOI 10.17487/RFC9082, June 2021, <https://www.rfc-editor.org/info/rfc9082>.

[RFC9083] Hollenbeck, S. and A. Newton, "JSON Responses for the Registration Data Access Protocol (RDAP)", STD 95, RFC 9083, DOI 10.17487/RFC9083, June 2021, <https://www.rfc-editor.org/info/rfc9083>.

[RFC9113] Thomson, M., Ed. and C. Benfield, Ed., "HTTP/2", RFC 9113, DOI 10.17487/RFC9113, June 2022, <https://www.rfc-editor.org/info/rfc9113>.

[RFC9224] Blanchet, M., "Finding the Authoritative Registration Data Access Protocol (RDAP) Service", STD 95, RFC 9224, DOI 10.17487/RFC9224, March 2022, <https://www.rfc-editor.org/info/rfc9224>.

[Roth2022] Roth, E., "Internet backbone provider shuts off service in Russia", The Verge, March 2022, <https://www.theverge.com/2022/3/5/22962822/internet-backbone-provider-cogent-shuts-off-service-russia>.

[Rowlett1998] Rowlett, F. B., "The Story of Magic, Memoirs of an American Cryptologic Pioneer", Aegean Park Press, 1998.

[Slater1870] Slater, R., "Telegraphic Code, to Ensure Secresy in the Transmission of Telegrams", First Edition, W.R. Gray, 1870, <https://books.google.com/books?id=MJYBAAAAQAAJ>.

[Smith1845] Smith, F. O., "The Secret Corresponding Vocabulary: Adapted for Use to Morse's Electro-Magnetic Telegraph, and Also in Conducting Written Correspondence, Transmitted by the Mails, or Otherwise", Thurston, Isley & Company, 1845, <https://books.google.com/books?id=Z45clCxsF7EC>.

[STRINT] W3C and IAB, "A W3C/IAB workshop on Strengthening the Internet Against Pervasive Monitoring (STRINT)", March 2014, <https://www.w3.org/2014/strint/>.

[Timeline] Wikipedia, "Global surveillance disclosures (2013-present)", July 2023, <https://en.wikipedia.org/w/index.php?title=Global_surveillance_disclosures_(2013–present)&oldid=1161557819>.

[TLS-ECH] Rescorla, E., Oku, K., Sullivan, N., and C. A. Wood, "TLS Encrypted Client Hello", Work in Progress, Internet-Draft, draft-ietf-tls-esni-16, 6 April 2023, <https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-16>.

[Toronto] Memmott, M., "Canada Used Airport Wi-Fi To Track Travelers, Snowden Leak Alleges", NPR, January 2014, <https://www.npr.org/sections/thetwo-way/2014/01/31/269418375/airport-wi-fi-used-to-track-travelers-snowden-leak-alleges>.

[UTA] IETF, "Using TLS in Applications (uta)", <https://datatracker.ietf.org/wg/uta/about>.

[Zubhoff2019] Zuboff, S., "The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power", PublicAffairs, ISBN 9781781256855, January 2019.

謝辞

スーザン・ランドーは、スティーブ・ベロビンのエッセイに多くの貴重なコメントを寄せてくれた。

カーステン・ボルマン、ブライアン・カーペンター、ウェンディ・グロスマン、キャスリーン・モラーティ、ヤン・シャウマン、セス・デビッド・ショーン、ポール・ウーターズは、この文章に対するコメントとレビューに感謝する。もちろん、彼らが必ずしもこの文章に同意しているという意味でない。

この文書は、エリオット・リアの意向で作成されたもので、彼もまた猫の群れ(無理なこと)をまとめ、いくつかの編集を行なった。

著者のアドレス

スティーブン・ファレル
Trinity College, Dublin
アイルランド
メール: stephen.farrell@cs.tcd.ie

ファルザネ・バディ
Digital Medusa
メール: farzaneh.badii@gmail.com

ブルース・シュナイアー
Harvard University
アメリカ合衆国
メール: schneier@schneier.com

スティーブン・M・ベロビン
Columbia University
アメリカ合衆国
メール: smb@cs.columbia.edu

更新履歴

• 2024.5.9
• 2024.5.14: 10年間→10年、emoji変更