帰ってきた「しっぽのさきっちょ」

しっぽのさきっちょ: 2015-11-14 付

ルークよ, Signal を使え!

no extension

なぜジョニーは今もやっぱり暗号化できないのか:現在のPGPクライアントの使いやすさ評価 - YAMDAS現更新履歴」経由。

タイトルだけ見て最初に思ったのは「PGP ってゆーな1」だったが,それはともかく

In our study of 20 participants, grouped into 10 pairs of participants who attempted to exchange encrypted email, only one pair was able to successfully complete the assigned tasks using Mailvelope. All other participants were unable to complete the assigned task in the one hour allotted to the study. This demonstrates that encrypting email with PGP, as implemented in Mailvelope, is still unusable for the masses.
via Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client

10% 以下かよ orz

1990年代からカジュアルに PGP を使ってて,あまつさえ Becky! 用のプラグインまで自作してしまった2 身としては,かなり衝撃的ではあったが,まぁそんなもんかなぁ。

ちなみに Mailvelope は Chrome や Firefox の拡張機能として使える MUA(Mail User Agent)で, Gmail などと連携して使える。 以前にも紹介したが, EFF の Secure Messaging Scorecard で MUA の中では(PFS の項目を除いて3)唯一満点だった製品である。 MailvelopeOpenPGP 実装を含んでいるため GnuPGPGP のような製品を必要としない利点がある。

この論文については Bruce Schneier さんも言及している。

I have recently come to the conclusion that e-mail is fundamentally unsecurable. The things we want out of e-mail, and an e-mail system, are not readily compatible with encryption. I advise people who want communications security to not use e-mail, but instead use an encrypted message client like OTR or Signal.
via Testing the Usability of PGP Encryption Tools - Schneier on Security

正論ですね。 そういうことです。

そういえば, Open Whisper Systems の TextSecure は Signal に統合された。

暗号化通話アプリの RedPhone も Signal に統合された。 Signal は SMS を置き換えることができ,ローカルストレージにあるログもちゃんと暗号化される。 オススメである。

いや,もう,マジ LINE とか捨てて欲しい。 Facebook もくだらない「セキュリティ劇場」で遊んでないで, OTR くらい組み込めや。

メッセージングの主体が PC からスマホなどの携帯端末にシフトしている状態で電子メールの有効性は下がってきていると思う。 もちろん仕事などではまだまだ PC や Workstation を使うことも多いし,対外的には電子メールが主体になると思うけど,たとえばグループウェアに XMPP+OTR を組み込んでいくなら,やはり電子メールは無用の長物になっていくだろう。

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩
SBクリエイティブ 2015-08-25
評価

自作エミュレータで学ぶx86アーキテクチャ コンピュータが動く仕組みを徹底理解! 数学ガールの秘密ノート/丸い三角関数 数学ガールの秘密ノート/微分を追いかけて 情報セキュリティ白書2015: サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を 数学ガールの秘密ノート/数列の広場

第3版出た! てか,もう Kindle 版出てるのか。紙の本買うのはやまったかなぁ。 SHA-3 や BitCoin/BlockChain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by G-Tools)


  1. 昔はともかく,現在 PGP は Symantic 社の製品名であり,いくつかある OpenPGP 実装のひとつにすぎない。余談だが,確かに OpenPGP 用の「公開鍵サーバ」というのは存在しているが, GnuPGPGP も,今回紹介する Mailvelope も別にクライアントというわけではなく,スタンドアロンで動作するプログラムである。 [return]
  2. 現在,このプラグインはメンテナンスされてない。使わないように。 Windows パソコンでメールの暗号化がしたいなら ThunderbirdEnigmail がオススメである。 [return]
  3. 前にも書いたが, MUA はその性質上 PFS(Perfect Forward Secrecy)を満たせない。 PFS は通信経路の暗号化や IM(Instant Messaging)など使い捨てのメッセージを扱う場合には必要な要件だが,電子メールには向いていない。電子メールは過去のやり取りに対して「否認防止(non-repudiation)」できなければならないからだ。 [return]