「Signal は安全か？」

Proton Mail や Proton VPN などでおなじみ Proton が，暗号化メッセージングアプリ Signal を評価する記事を公開している。

Is Signal safe? What to know about this encrypted messaging app | Proton

今頃こんな記事が出る背景のひとつとして，今年の春に話題になった通称 “Signalgate” 事件があると思われる。この辺の話は以前記事にした。

Signal グループチャット内容の漏洩と NSA

“Is Signal safe?” でも以下のように言及されている。

In a stunning breach of national security, a reporter for The Atlantic was inadvertently invited to join the group chat and soon made a partially redacted transcript of it available to the public. Crucially, the entire “Signalgate” scandal was the result of purely human error, not any technical flaw in Signal.

via Is Signal safe? What to know about this encrypted messaging app

ことの重大性に比してかなり間抜けな事件だと個人的には思うが，その後も

A similar issue appears to be responsible for a successful FBI spying operation that targeted an immigrants’ rights activists Signal group chat. Although details are not yet clear, the FBI said the information came from a “sensitive source with excellent access”, which strongly suggests that an inside source had been invited to the chat.

via Is Signal safe? What to know about this encrypted messaging app

みたいな事例が発覚してるそうで，オンライン・コミュニティにスパイを紛れ込ませて秘匿情報を抜いたり悪意のコードを組み込む手法は，もはや常套手段になっているのかもしれない。

もうひとつ “Is Signal safe?” で面白いと思ったのは Signal を含めた暗号化メッセージングアプリの比較である。記事では以下の観点で比較が行われている。

Messages and calls encrypted in transit and at rest (メッセージと通話は転送中および保存時に暗号化)
Messages and calls encrypted end to end (メッセージと通話はエンドツーエンドで暗号化)
Metadata minimized (メタデータの最小化)
No sharing of your data (データを共有しない)
Open source and audited (オープンソースで監査済み)
Jurisdiction (法的管轄)

比較表はこんな感じ。

まぁ Signal が基準なので，これが（Jurisdiction を除いて）満点なのは当然だが，特筆すべきは Threema だろう。 Threema は WhatsApp の代替アプリとして有名なようで，件の記事でも

All Threema apps use the open-source NaCl cryptography library to encrypt messages end to end, and they have been audited by security professionals. Unlike most messaging apps, you don’t need an email address or phone number to register an account, and it’s possible to purchase Threema for Android anonymously using Bitcoin —Threema is a paid app. The company says this allows you to text and make calls anonymously, and it goes to lengths to ensure that it collects minimum metadata.

via Is Signal safe? What to know about this encrypted messaging app

と有料アプリながら絶賛している¹。

Threema と比較してということになるだろうが Signal への懸念として

However, being hosted on AWS servers remains a concern in light of Signal’s reliance on SGX. There are a number of open-source encrypted messaging apps like Threema that try to address this and other perceived issues with Signal — such as its reliance on a centralized server and the need to supply a real phone number— some of which show great promise.

via Is Signal safe? What to know about this encrypted messaging app

と述べていて，もはや米国および米国ビッグテックへの依存は，セキュリティやプライバシーの観点から，リスクと見なされていることが分かる。

とはいえ，ユーザ規模や外部からの厳密なセキュリティ精査といった面を考えれば，暗号化メッセージングアプリの選択肢として上位にあるのは変わらないだろう。メッセージングアプリは相手がいて初めて成立するしね。その上で Threema のような選択肢があることも頭の隅に入れておくのがいいかもしれない。

参考図書

超監視社会: ブルース・シュナイアー (著), 池村千秋 (翻訳); 草思社 2016-12-13 (Release 2017-02-03); Kindle版; B01MZGVHOA (ASIN)

実は積ん読のまま読んでない。そろそろちゃんと最後まで読まないと。

reviewed by Spiegel on 2019-03-23 (powered by PA-APIv5)

もうすぐ絶滅するという開かれたウェブについて続・情報共有の未来: yomoyomo (著); 達人出版会 2017-12-25 (Release 2019-03-02); デジタル書籍; infoshare2 (tatsu-zine.com); 評価

WirelessWire News 連載の書籍化。感想はこちら。祝 Kindle 化！

reviewed by Spiegel on 2018-12-31

Proton の別の記事 “Best WhatsApp alternatives for privacy” でも Threema を最高評価している。 ↩︎