以下は、“The State of Private Messaging Applications”の翻訳（非公式）。

主要なメッセージングアプリについてのプライバシー面での特徴が記載されており、Loki Messenger (Session)以外についても有益と思える記事だったので日本語にしてみたものだ*1。

※ Loki Messengerは当ポスト作成後にSESSIONに名称変更されたが、以下、旧名称のLoki Messengerのまま表記している。

 

• プライベートメッセージングアプリケーションの状況
• メタデータ(Metadata)
  • 集中型サービス(Centralised services)
    • （XMPPに関する注記）
  • 分散型サービス(Decentralised Services)
  • Loki Messenger
• 暗号化手法(Encryption)
  • 集中型サービス(Centralised services)
    • Signal
    • WhatsApp
    • Telegram
    • Facebook Messenger
  • 分散型サービス(Decentralised services)
    • Tox
    • Bitmessage
    • XMPP
  • Loki Messenger
• スケーラビリティと攻撃(Scalability and Attacks)
  • 集中型サービス(Centralised Services)
  • 分散型サービス(Decentralised Services)
  • Loki Messenger
• Summary
• コメント（元記事は上まで。以下は上記記事を受けてのコメント）

 

プライベートメッセージングアプリケーションの状況

この記事では、すべてのメッセンジャーアプリケーションが考慮すべき3つの重要な要素について考察している。 

• メタデータ(Metadata)：実際のメッセージに付随し、第三者に公開される可能性のあるあらゆる情報。
• 暗号化手法(Encryption)：どのようにメッセージ内容を難読化するかといった、エンコードの手法。
• スケーラビリティと攻撃(Scalability and Attacks)：使用量の増大や、既知の攻撃手法・特定のシステムの悪用による攻撃に対して、メッセンジャーがどのように対処できるのか。

また、集中型(centralisation)/分散型(decentralisation)が、上記各要素のプライバシーとセキュリティにどのように影響するかについても調べている。この文脈において“集中型”とは、メッセンジャーの構造として、許可された非フェデレーションサーバー(non federated servers)のみが、メッセージの保持/中継を担う唯一のサーバーグループであることを意味している。

そしてこれらの観点において、暗号化や秘匿性を有している人気のある主要なメッセージングサービス及びLoki Messengerについて分析するものである。

• 集中型サーバーモデル：Telegram、Facebook Messenger、Signal、Whatsapp、XMPP(Federated)
• 分散型メッセンジャー：Tox、Bitmessage
• Mixnetベースのメッセンジャー：Loki Messenger

 

メタデータ(Metadata)

例えば、私が友人に郵便で手紙を送る場合、友人の名前と住所を前面に、私の名前と住所を背面に記載し、返事を受け取れるようにしている。誰も手紙の中を見たりその内容を読んだりすることはできないが、郵便局は誰が、誰に、いつ手紙を送ったのかを知ることができる。このような情報が、一般的にメタデータと呼ばれるものだ。

以下は、EFFのKurt Opsahlによる政府のメタデータ収集のトピックに関しての記載からの重要な引用である*2。

「彼らは、あなたが2:24 amにテレフォンセックスサービスに電話をし、18分間話したことは知っているが、あなたが何について話したのかは知らない。

彼らは、あなたがゴールデンゲートブリッジから自殺防止ホットラインに電話したことは知っているが、電話の内容の秘密は守られている。

彼らは、あなたがHIV検査サービスと医者と保険会社と同時刻に話をしたことを知っているが、何が議論されたのかは知らない」 

また、Michael Hayden（元NSA所長）は以下のように言っている*3。

“私たちはメタデータに基づいて人々を殺します” 

さて、これはプライベートメッセージングとどのように関係しているのだろうか。

 

集中型サービス(Centralised services)

Whatsapp、Telegram、Signalなどのサービスを使用する際には、これらの企業のいずれかが所有するサーバーに直接接続する。あなたがメッセージを送るとき、あなたが誰であるか、そしてあなたのメッセージの受信者が誰であるかをその中央集中型サーバに伝えなければならない。また、使用するクライアントによるが、通常はあなたのIPアドレスと電話番号を提供することについて妥協しなくてはならない。

これらの集中型サービスはメタデータを収集する能力を持っている。WhatsappやFacebook Messengerなどの一部のプロバイダは、ユーザーのメタデータを収集して保存することを公然と認めている*4*5。SignalやTelegramのようないくつかのサービスは、ユーザメタデータの保存に対するポリシーを持っている*6*7。これらのポリシーには多大な信頼を置く必要があるが、ユーザーのプライバシー保護の信頼性に関して、企業や政府がその信頼を犯す事例は無数に示されている。人気のある“秘匿的”電子メールサービスのHushmaikが、合法的にユーザーの個人情報を政府に引き渡すことを余儀なくされたのがいい例だろう*8*9。この問題に対する唯一の解決策は、これらの集中型の秘匿的サービスが、決してセンシティブなユーザーデータを収集することができないようにすることだ。 

（XMPPに関する注記）

XMPPをベースにしたメッセンジャーは、統合モデル(federated model)を操作するため構造が若干異なる*10。これは提供されたプロトコルに基づき、ユーザー/プロバイダーは自分のサーバーを操作できる（メタデータは個々のサーバーによって保持される）ことを意味しており、ユーザーは自分のデータを信頼に足るところに保存するという選択肢が増える。これは正しい方向への一歩だが、XMPPサーバーはこのデータを収集し、それを第三者に送信することができてしまう。

 

分散型サービス(Decentralised Services)

では、分散型モデルはメタデータをどのように扱うのだろうか。それらはいくつかの種類があり、それぞれが異なる方法でメタデータにアプローチしている。

Toxや他のP2Pメッセンジャーのようなサービスは、メッセージがサーバーを通過したりミキシングネットワークを飛び越えたりするのではなく、参加者に直接ルーティングされるため、本質的にメタデータを集中型サーバーに保存する必要がない。表面的にはこれは素晴らしいように思えるかもしれないが、実際にはそれはISP（インターネット・サービス・プロバイダ）により多くの力を与えることになる。データのパケットが暗号化されていたとしても、ISPはあなたがメッセージを送っている人のIPアドレスを知ることができ、彼らが受信者のIPアドレスを処理すれば、誰が誰にいつメッセージを送ったのかといった情報を正確に特定できる。

これは、集中型サービス（Telegram、Signal、WhatsApp）においては防げているものだ。（集中型サービスの場合）適切に暗号化されていれば、ISPはあなたがメッセージングサービスサーバーと通信していることは分かっても、メッセージ受信者のIPアドレスを知ることはできない。

Bitmessageは完全に分散化されたメッセージングモデルの1つであり、メッセージメタデータを秘匿化するための次善の方法かもしれない。Bitmessageはフラッドフィルネットワーク(floodfill network)を用いている。つまり、他の大半のネットワークとは異なり、メッセージは特定の参加者に向けられているものではない。Bitmessageでは、全てのユーザーに対し全ての暗号化されたメッセージのコピーが配布される。ユーザはメッセージを受信すると、その復号化を試みなければならない。これは、メッセージを送信する際に、既知のピアにメッセージを「あふれさせる(flood)」ことを意味する。この技術は、ユーザが単なるメッセージの中継者なのか発信者なのかを確認することを困難にする。また、全てのクライアントが全てのメッセージを受信し復号化しようとするため、真の受信者が誰であるかを確認することも不可能になる。ただし、高帯域幅を消費することや、受信した全メッセージの復号化を試みることによる計算負荷など、フラッドフィルネットワークの運用には重大な欠点がある。

 

Loki Messenger

Loki Messengerでは、メタデータを難読化するためのさまざまな手法が用いられている。上記の文脈に照らすと、それはBitmessageとTorネットワークのマッシュアップに近い。Bitmessageと同様に、Loki Messengerは他のユーザーにメッセージを中継するために分散型のノード（Service Node）を使用している。サービスノードはLokiブロックチェーンを介して少額のブロック報酬を受け取ることによって、メッセージを中継するインセンティブが与えられている。

また、Loki Messengerではオフライン通信及びオンライン通信の両方においてメタデータの収集を回避するために、オニオンルーティングと呼ばれる方法が採用されている。オニオンルーティングでは、ランダムに選択されたサービスノードのセットをユーザーとメッセージ受信者の間に配置する。メッセージが各サービスノードを経由して最終受信者に向かってホップする度に、暗号化の層が取り除かれていく。このオニオンルーティングによって多様な保護が提供されることとなる。

1. 単一のサービスノードでは、メッセージの送信者と受信者の間に接続を形成するのに十分なメタデータを収集することは不可能。
2. サービスノードはコミュニティによって運営され、グローバルに分散されているため、法的措置のターゲットとすることが困難。
3. サービスノードは多量のLokiをステーキングすることがシステムに組み込まれている。Loki Messengerの有用性を低下させる行為はLokiの価値も低下させるため、経済合理性によってサービスノードが適切に行動するインセンティブが働く。

Loki Messengerでは、ユーザー間の直接リンクが確立できない場合（受信者がオフラインの場合）においても、オフラインメッセージのメタデータは保護される。これは、Swarmメッセージングと呼ばれるプロセスを通じて行われる。各Loki Messengerユーザーは、10個のサービスノードで構成される集合(Swarm)に属している。他のユーザーと連絡を取る際には、公開鍵を使って受信者がどのノード群に属しているかを把握することができる。送信者のメッセージは受信者の属する10のノードのうちの1つに送られた後、それは他の9つのノードにも共有される。そして、受信ユーザーがオンラインになった際には自分の属するノード群にランダムに問い合わせ、そのサービスノードが受信者宛のメッセージを持っていた場合、ユーザーはそれをサービスノードから直接ダウンロードすることになる。

 

 

暗号化手法(Encryption)

Encryptionとは、メッセージ内の実際のデータを難読化するために各メッセンジャーが使用している手法のことである。暗号化をオン/オフスイッチと考えるのは簡単だが、実際には暗号化は音量のノブのようなもの、つまり、アプリ内の暗号化のセキュリティを僅かに向上または低下させるさまざまな機能と実装のディテールがある。 

集中型サービス(Centralised services)

Telegram、Whatsapp、Signal、Facebook Messengerは、暗号化の処理方法において、強力なもの、監査されたもの、より低位な保護水準のものなど、それぞれ大きな違いがある。*11

 

Signal

Signalでは全ての通信がデフォルトでエンドツーエンドでの暗号化がなされているため、暗号化の面ではSignalが最良のプライベートメッセージングアプリケーションであると広く考えられている。Signalは、Open Whisper Systemsがオープンソースプロジェクトとして開発した、その名の通りのSignalプロトコルを使用している*12*13。Signalプロトコルはセキュリティ監査を受けており、結果は僅かな脆弱性が発見されたものの、概ね良好なものであった*14。

正しく実装されている場合、Signalプロトコルは同期（オンライン）メッセージと非同期（オフライン）メッセージの両方において、Perfect Forward Secrecy (PFS)とDeniable Authentication (DA)を共に維持する。また、Signalは自動的にグループチャットにも暗号化を適用する。PFSは、セッションキーの一部が流出したとしても、それ以外のセッションでの暗号化されたメッセージのプライバシーを損なうことがないという、プライベートキーの損失耐性を持つプロトコルである。DAは、メッセージが他の参加者によって署名されたことを各当事者が自分自身に証明することができる一方で、第三者に対してはこの事実を否定することもできる機能である。両方のプロパティを組み合わせることで、メッセージはエンドツーエンドで暗号化され、部分的なキーの損失には耐性を持ち、送信されたメッセージの発信元が誰であるかを目的の受信者以外の第三者に明らかにされることがなくなる。これらは非常に強力な保証であり、本質的に現実世界における会話と同様の特性を持つ。したがって、これらの両方の特性を持つメッセンジャーは、通常、Off The Record (OTR)メッセンジャーと呼ばれる。

 

WhatsApp

WhatsAppはデフォルトで（グループチャットを含む）すべてのメッセージにエンドツーエンドの暗号化を提供し、暗号化にSignalプロトコルを使用している。WhatsAppはまた、Open Whisper Systems（Signalプロトコルの実装を支援）との間でパブリックパートナーシップを維持している*15。しかし、WhatsAppはオープンソースではないため、WhatsAppがSignalプロトコルを実装するにあたって脆弱性が組み込まれていないことを信頼する必要がある。

  

Telegram

テレグラムはエンドツーエンドの暗号化を提供するものの、それは“secret chats”の場合にのみ有効となる。このチャットは選択性であるため、使用率は低い。また、テレグラムは、暗号化されたグループチャットをサポートしていない。

secret chatsにおける暗号化では、テレグラムは現在、PFSとDAの両方を提供するMTProto 2.0プロトコルを使用している。MTProtoプロトコルは独自のプロトコルであり、Signalと同様にMTProto 1.0は正式なセキュリティ監査を受けている。MTProto 1.0に関して、MTProtoは次のように指摘されている*16。

「暗号文を同じメッセージに復号化する別の暗号文に変換することが可能であるため、IND-CCAは安全ではない」

研究者らもそれについて以下のように言及している*17。

「覚えておいてほしいことは、十分に研究され、セキュリティの強力な定義が証明された暗号化方式の方が、自家製の暗号化スキームよりも好ましいということだ」

この監査以降TelegramはMTProtoプロトコルを見直してバージョン2.0をリリースしており、これは独立したセキュリティ監査で発生した多くの懸念に対処したとされる*18。しかしながらMTProtoのセキュリティ保証に対する信頼は、前述の指摘により多くの人から失われている。

 

Facebook Messenger

Facebookメッセンジャーは二者間でエンドツーエンドの暗号化チャットを提供するが、Telegramと同様に、暗号化は“secret conversations”でのみ提供されており、選択性であることから大多数のユーザーは保護されていない。暗号化においてはWhatsApp（Facebookが所有）と同様の信号プロトコルを使用しているが、オープンソースではないため、Open Whisper Systemsによる「統合が適切に行われた」とのFacebookの主張をユーザーが検証することは困難である*19。

 

分散型サービス(Decentralised services)

Tox

Toxはすべてのチャット（グループチャットを含む）に対してデフォルトでエンドツーエンドの暗号化を提供している。また、Toxクライアントはすべてlibsodiums crypto_box ベースのToxプロトコルを実装している。Toxはすべてのメッセージ（フレンドリクエスト以外）にPFSとDAを提供するが、Toxはオフラインメッセージの送信をサポートしていない*20。また、Toxはセキュリティ監査を受けておらず、Centralisedメッセンジャーと比較すると暗号化手法についての詳細な調査は行われていない。

 

Bitmessage

Bitmessageの暗号化は利用可能な分散型メッセンジャーの中で最もベーシックなものであり、主に非同期（オフライン）操作に基づいている。Bitmessageは長期間の公開鍵/秘密鍵のペアに対してのみ暗号化しているため、PFSやDAは維持されていない。また、Bitmessageは正式なセキュリティ監査を受けていないため、コミュニティメンバーはいくつかの設計について懸念を表明しており、その結果、新たな設計がリリースされることになっている*21。

 

XMPP

XMPPは単なるプロトコルであるため、いかなる種類のメッセージ暗号化も強制することはない。ただし、PidginのOTRやOMEMO拡張のように、OMPメッセージングを有効にするためのXMPPサーバーとクライアント用のプラグインは多様にある*22。

 

Loki Messenger

Loki MessengerはSignalメッセンジャーのフォークであるため、Signalプロトコルを完全に実装しており、OTRのすべてのプロパティを維持している。Loki Messengerのコードは全てオープンソースであり、ユーザーや監査人によってその実装の実行性が保証される*23。Loki MessengerとSignalメッセンジャーの間には多くの違いがあるが、暗号化における唯一の大きな違いはプレキー(pre keys)の保存である。Loki Messengerでは、集中型サーバーのセットとは異なり、メッセージペイロードの追加データとしてプレキーが渡される。

 

スケーラビリティと攻撃(Scalability and Attacks)

受動的監視に晒されているインフラストラクチャにおいてメッセージを中継するための効果的な方法はいくつかあるが、これらの方法はしばしば、帯域幅の増加やプライバシー向上のための処理負荷といった明確なトレードオフをエンドユーザまたは中継オペレータに対して強いることとなる。さらに、集中型/分散型アーキテクチャのそれぞれに対して有効な攻撃について検討する必要がある。

 

集中型サービス(Centralised Services)

Signal、Telegram、WhatsAppなどの確立された集中型メッセージングサービスでは、いずれもユーザー数に合わせて拡張できるフレームワークを有している。それらのサービスではプロトコルレベルでメタデータを難読化する試みを行っていないので、オーバーヘッドは小さく、サーバーは単にソースから直接目的地へメッセージを中継することができる。また、集中型サーバーモデルは、認証のための制限を課すことができるため、スパムの処理時間を短縮できる。これらの制限は通常、有効な携帯電話番号を使用して自分のサービスにサインアップすることをユーザーに要求している。これにより、悪意のある攻撃者が作成できる偽のアカウントが制限されている。

しかしながら、この種の集中化は重大な問題を孕んでいる。第一に、これらのサービスはデータ収集の集中ポイントとなり得る。つまり、これらのサービスは法執行機関からの要求に晒されるため、プラットフォーム上の活動に対して法的措置が講じられる可能性がある。また、機密情報を入手しようとしているハッカーによってハニーポットが作成されていることもある。加えて、これらのメッセンジャーのほとんどは無料である。つまり、インフラコストと人件費を支払うための代替手段が必要となるため、実行可能なビジネスモデルとして、これらのビジネスではしばしばユーザデータを広告主に販売することによって彼らのユーザー基盤を利用しているのである。

 

分散型サービス(Decentralised Services)

分散型サービスは主に、物理的なIDを各仮想ユーザーに関連付けることができないことで攻撃を受けやすくなるため、多くの分散型モデルはSybil攻撃に対して脆弱である。これはDoS攻撃やネットワークの受動的監視攻撃として表出する可能性がある。

信頼された管理機関といった概念がないBitmessageのような特定のサービスでは、攻撃者は一般にクライアントアーキテクチャの大部分を操作し、多くの正当なユーザーに成りすますことができる。この場合、攻撃者は大量のメッセージをシステムに送り込んで、そのネットワークを氾濫させる可能性がある。Bitmessageでは、送信されるメッセージごとに小さな作業証明(PoW)の作成を要求することでこれを解決しており、攻撃者が多数の偽IDを使用して何千ものスパムメッセージを送信しようとすると費用が嵩むことになる。

異なるタイプのSybil攻撃がネットワークルーティングアーキテクチャを標的にする可能性もある。アーキテクチャの実行は比較的低コストであるため、ネットワーク内の大多数のルータを操作することで、受動的な時間分析が可能となる。Toxでは、これはDHT（ネットワークの状態を保持する分散テーブル）を悪意のあるノードで溢れさせることに繋がり、ユーザーをセグメント化したり、正当なToxネットワークのサービス拒否を引き起こしたりする。さらにToxがDHTを更新するために使用するオニオンルーティングの有効性さえ損なわせてしまうこともある*24*25。

 

Loki Messenger

Loki Messengerはオフラインで保存するメッセージについて作業検証(PoW)を導入する。メッセージ上の存続時間(TTL)に応じて、PoWの難易度は調整される。保存を必要としないメッセージであれば、サービスノードにおいてこれらのメッセージを処理するオーバーヘッドは比較的小さいので、PoWは不要である。

Loki Messengerでは、各サービスノードが特別なタイムロックトランザクションで多額のLokiのロックを要していることから、ルーティングアーキテクチャに対するSybil攻撃の影響を減らすことができている。これは市場ベースのSybil攻撃耐性によって、攻撃者が効果的な時間分析を実行するために十分な数のノードを所有するためのコストを著しく高価にしている*26。

さらに、各サービスノードは一定量のLokiをステークする必要があるため、ノードが適切な振る舞いを行うための強制力が働く。仮にサービスノードが適切な処理を行わなかった場合、当該ノードのステークは凍結され、ステーキング期間のいかなる報酬も受け取れないことになる。このネガティブな結果（機会損失）は、“swarm flagging”と呼ばれるサービスノードの自律的な懲罰システムとしてプログラムされているものである*27。

 

Summary

メッセンジャー全般として見ると、新興のものや確立されたプロジェクトが林立している状況にある。そのため、重要な要素であるメタデータ、暗号化手法、スケーラビリティ/攻撃耐性といった基準において、各メッセンジャーを批判的に分析することが消費者にとって重要である。一部のメッセンジャーは強力な暗号化手法を提供しているかもしれないが、彼らはユーザーのメタデータを保護していないかもしれない。集中型(centralised)サービスのデータ侵害が続くなかで、消費者はよりプライバシーを重視したアプリケーションを求めている。分散型(decentralised)のエコシステムが成長するにつれて、WhatsApp、Signal、Telegramなどの集中型サービスは、分散型または連合型(federated)といった代替手段と競合する必要が生じている。最終的には、最高のプライバシーと最高のユーザーエクスペリエンスを維持するサービスが、この戦いの勝者になるだろう。

 

コメント（元記事は上まで。以下は上記記事を受けてのコメント）

既存のメッセージングアプリでは、やはりSignalがプライバシーを考慮すると最良の選択だろう。

ただし、上記のようにSignalでもメタデータは保護されていない。つまり、利用に際して携帯の番号を提供する必要があるため個人は特定され得るし、誰が、誰に、いつ、どの程度の頻度で連絡をしているのか、といったソーシャルグラフ的情報はメタデータとして筒抜けになってしまっている*28。一方で、既存の分散型メッセンジャーは暗号化の面で十分なものがなく、Sybil攻撃に対しても脆弱であった。

そのような中で、mixnetを利用した上でブロックチェーンや暗号通貨の経済合理性も応用し、攻撃/検閲耐性を高めた上で、高レベルの秘匿性を持ったメッセージングアプリとしてLoki Messengerが出てきた*29。

しかしいくらプライバシー面でLoki Messengerが最強と言っても、メッセージングアプリはネットワーク効果が極めて重要なので、どんなにプライバシー面で優れていても一般レベルで利用が広まることは難しいのかもしれない。

とは言え、ブロックチェーンやクリプトの応用で究極のメッセンジャーが誕生したというのはこの分野を追いかけている者としては胸熱すぎる展開であり*30、まずはサイファーパンク勢や真にプライバシーを要するごく一部の人たちの中でマニアックに使われていくのだろう。個人的にはSignalから乗り換える気満々であり、モバイル版のLoki Messengerには大いに期待している。