Bullrun(復号プログラム)
 国家安全保障局の監視 |
|---|
 |
ブルラン(BULLRUNと表記)は、オンライン通信やデータの暗号を解読するための極秘の極秘プログラムで、米国国家安全保障局(NSA)が運営している。[ 1 ] [ 2 ]英国政府通信本部(GCHQ)も同様のプログラムを有し、コードネームはEdgehillである。ガーディアン紙が発行したブルラン機密ガイドによると、このプログラムはコンピュータネットワークの悪用、[ 3 ]阻止、業界との関係、他の諜報機関との連携、高度な数学的手法など、複数の手法を用いている。
このプログラムの存在に関する情報は、2013年にエドワード・スノーデンによってリークされました。スノーデンの文書には、暗号解読能力に関する正確な技術情報は含まれていません。スノーデンはそのような情報へのアクセス権を持っていなかったためです。[ 4 ]しかし、2010年のGCHQのプレゼンテーション資料には、「これまで廃棄されていた膨大な量の暗号化されたインターネットデータが、今や悪用可能になっている」と主張されています。[ 1 ]スノーデンの文書で発見されたプログラムに関する多くの技術的詳細は、米国情報当局の要請により、報道機関によってさらに検閲されました。[ 5 ]スノーデンによってリークされたすべてのプログラムの中で、Bullrun暗号解読プログラムは群を抜いて最も高額です。スノーデンは、2011年以降、Bullrunに費やされた費用は8億ドルに上ると主張しています。リークされた文書は、Bullrunが「特定のネットワーク通信技術で使用されている暗号を破る」ことを目的としていることを明らかにしています。[ 6 ]
命名とアクセス
NSAのBullrun分類ガイドによると、Bullrunは機密区分情報(SCI)制御システムまたは区分ではないが、コードワードは分類行に他のすべての分類および配布マークの後に表示する必要がある。さらに、特定の暗号成功に関する詳細は、(最高機密/ SIマークに加えて)例外的に管理された情報ラベルでさらに制限することが推奨された。BullrunのECIラベルの可能性のある非限定的なリストとして、APERIODIC、AMBULANT、AUNTIE、PAINTEDEAGLE、PAWLEYS、PITCHFORD、PENDLETON、PICARESQUE、PIEDMONTが示されたが、これらのラベルの意味に関する詳細は示されていなかった。[ 1 ] [ 2 ]
このプログラムへのアクセスは、ファイブアイズ(FVEY)、NSA、そして英国(GCHQ)、カナダ(CSE)、オーストラリア(ASD)、ニュージーランド(GCSB )の信号諜報機関の上級職員グループに限定されています。現在の技術では解読できない信号は、機関が解読を試み続ける限り無期限に保持される可能性があり、このアプローチは「今すぐ収集、後で解読」として知られています。[ 2 ]
方法
米国政府は、意図的なバックドアを備えたスキップジャック暗号を使用するNSA設計のクリッパーチップや、 CALEA、CESA 、バーンスタイン対アメリカ合衆国で証明された暗号化ソフトウェアの輸出制限などのさまざまな特別に設計された法律を使用して、1990年代に通信へのアクセスと暗号解読能力を確保しようと公的に試みました。[ 7 ] [ 8 ]特に、バックドアの婉曲表現であるキーエスクローなどの技術的手段は批判に遭い、ほとんど成功しませんでした。
NSAは、セキュリティ技術メーカーに対し、自社製品や暗号鍵のバックドアを公開し、暗号化されたデータにアクセスできるように奨励している。[ 9 ]しかし、暗号化が広く採用されることを恐れたNSAは、合意、法の力、コンピュータネットワークの悪用(ハッキング)などによって、密かに暗号化標準に影響を与えて弱体化させ、マスターキーを入手しようとした。[ 5 ]
ブルラン作戦の報告書によると、NSAはセキュア・ソケット・レイヤー(SSL)と一部の仮想プライベートネットワーク(VPN)の両方に侵入することに成功していた。[ 1 ] [ 2 ]ニューヨーク・タイムズ紙は次のように報じている。「しかし、2006年までにNSAは、3つの外国航空会社、1つの旅行予約システム、1つの外国政府の原子力部門、そしてもう1つのインターネットサービスの通信に侵入し、それらを保護する仮想プライベートネットワークをクラッキングしたとNSAの文書は指摘している。2010年までに、英国の暗号解読プログラムであるエッジヒル・プログラムは、30の標的のVPNトラフィックを解読し、さらに300の標的を解読するという目標を設定していた。」[ 5 ]
ブルラン計画の一環として、NSAは「標的が使用する商用暗号化システム、ITシステム、ネットワーク、エンドポイント通信機器に脆弱性を挿入する」ことにも積極的に取り組んできた。[ 10 ]ニューヨーク・タイムズ紙は、乱数ジェネレータDual_EC_DRBGにバックドアが含まれており、NSAが乱数ジェネレータによって生成された暗号化キーを解読できる可能性があると報じている。[ 11 ]この乱数生成器は標準が公開された直後から安全ではなく遅いことが知られており、2007 年には NSA の窃盗を企む可能性のあるバックドアが見つかったものの、これらの欠陥のない代替乱数生成器が認定され広く入手可能であったにもかかわらず、RSA セキュリティ社は 2013 年 9 月まで同社のBSAFE ツールキットおよび Data Protection Manager で Dual_EC_DRBG を使い続けた。RSA セキュリティ社は BSAFE に故意にバックドアを挿入したことを否定しているが、2006 年と 2007 年に欠陥が明らかになった後も Dual_EC_DRBG を使い続けた理由についてはまだ説明していない。[ 12 ] 2013 年 12 月 20 日、RSA が NSA からこの乱数生成器をデフォルトとして設定するために 1,000 万ドルの支払いを受け取ったと報道された。[ 13 ] [ 14 ]流出したNSAの文書には、彼らの努力は「巧妙さへの挑戦」であり、「最終的にNSAが標準の唯一の編集者になった」と記されている。[ 5 ]
2010年までに、NSAは暗号化されたインターネットトラフィックに対する「画期的な能力」を開発したと漏洩文書には記されている。しかし、GCHQの文書は「これらの能力はSIGINTコミュニティの最も脆弱な能力の一つであり、単純な『事実』の不注意な開示は敵対者に警告を発し、能力の即時喪失につながる可能性がある」と警告している。[ 5 ]文書はさらに「『知る必要はない』」と述べている。[ 5 ]ブルース・シュナイアーやクリストファー・ソゴイアンを含む複数の専門家は、当時SSL/TLSトラフィックの少なくとも50%で使用されていた暗号化アルゴリズムであるRC4への攻撃が成功することは、RC4の既知の脆弱性を考慮すると、あり得る手段であると推測していた。[ 15 ] NSAが1024ビットRSA / DH鍵を解読する能力を獲得したと推測する専門家もいる。[ 16 ] SSL/TLSで使用されるRC4がRC4攻撃によって弱体化または破壊された ため、RC4は2015年にRFC 7465によってTLSのすべてのバージョンで禁止されました。
フォールアウト
Bullrunの暴露を受けて、FreeBSDやOpenSSLを含む一部のオープンソースプロジェクトでは、ハードウェアベースの暗号プリミティブを(完全に)信頼することに消極的になっている。[ 17 ] [ 18 ]
他の多くのソフトウェアプロジェクト、企業、組織も、セキュリティと暗号化プロセスの評価を強化することで対応しました。例えば、GoogleはTLS証明書のサイズを1024ビットから2048ビットに倍増しました。[ 19 ]
NSAのバックドアと意図的な標準の複雑化の暴露は、標準化団体へのNSAの参加に対する反発を招いた。[ 20 ] 暴露前は、暗号化に関する専門知識を考えると、NSAがこれらの委員会に参加することは有益であると考えられていた。[ 21 ]
NSAは、主要なウェブサイトがパスワード盗難に対して脆弱になる原因となったHeartbleedバグを認識していたが、それを悪用するために情報を公開しなかったのではないかという憶測がある。 [ 22 ]
語源
「ブルラン」という名称は、アメリカ南北戦争における最初の主要な戦闘である第一次ブルランの戦いに由来する。[ 1 ]その前身である「マナサス」[ 2 ]は、この戦闘の別名であり、戦闘が行われた場所でもある。「エッジヒル」は、イギリス内戦における最初の戦闘であるエッジヒルの戦いに由来する。[ 23 ]
参照
参考文献
- ^ a b c d eボール、ジェームズ、ボルガー、ジュリアン、グリーンウォルド、グレン(2013年9月5日)。「米国と英国の諜報機関がインターネット上のプライバシーとセキュリティを侵害」ガーディアン紙。
- ^ a b c d eニコール・パールロス、ジェフ・ラーソン、スコット・シェーン(2013年9月5日)。「NSAによるインターネットセキュリティの侵害と弱体化を目的とした秘密作戦」ProPublica。
- ^ 「コンピュータネットワークの悪用と攻撃 - Schneier on Security」 www.schneier.com 2014年3月10日 2016年9月11日閲覧。
- ^ Sean Michael Kerner (2013年9月9日). 「NSAの暴動、9/11、そして企業が走る前に歩くべき理由」 . Eweek.com . 2014年1月23日閲覧。
- ^ a b c d e fニコール・パールロス、ジェフ・ラーソン、スコット・シェーン (2013年9月5日). 「NSAはウェブ上のプライバシー保護の基本を妨害できる」ニューヨーク・タイムズ. 2015年4月16日閲覧。
- ^ 「エドワード・スノーデン、秘密の暗号解読プログラムを暴露」 International Business Times、2013年9月6日。 2015年4月16日閲覧。
- ^マイク・ゴッドウィン(2000年5月)「CESAへの対応:クリントンの矛盾した暗号化政策」 Reason誌。 2013年9月9日閲覧。
[...] 国内外で暗号化ツールの使用と販売を規制する動きがあった。[...] 1996年までに政権はクリッパーチップそのものを放棄したが、ソフトウェアベースの「鍵預託」暗号化規格の導入を求めて国内外でロビー活動を続けた。
- ^ 「商用暗号化政策に関する行政声明」 1996年7月12日。 2013年9月9日閲覧。
米国内での暗号化の使用は規制していませんが、一部の例外を除き、エスクローなしのマスマーケット向け暗号化製品の輸出は、鍵長40ビットの製品に限定しています。
- ^ (「NSAはユーザーのインターネット体験を変えている。」) 情報セキュリティ研究所
- ^ 「秘密文書がNSAの暗号化反対運動を明らかにする」ニューヨーク・タイムズ。
- ^ 「ニューヨーク・タイムズ、暗号仕様におけるNSAのバックドアに関する新たな詳細を提供」 Ars Technica、2013年。
- ^ Matthew Green (2013年9月20日). 「RSA、開発者に対しRSA製品を使用しないよう警告」
- ^ Menn, Joseph (2013年12月20日). 「独占:NSAとセキュリティ業界のパイオニアを結びつけた秘密契約」ロイター通信.サンフランシスコ. 2015年9月24日時点のオリジナルよりアーカイブ。 2013年12月20日閲覧。
- ^ロイター通信(サンフランシスコ、2013年12月20日)「NSAとセキュリティ企業RSAの1000万ドルの契約が暗号化の『バックドア』につながる|世界ニュース」 theguardian.com 2014年1月23日閲覧。
{{cite news}}:|author=一般的な名前があります(ヘルプ) - ^ 「NSAの驚異的な暗号解読:諜報員はRC4を破壊したのか?」 The Register . 2013年9月6日 . 2015年4月16日閲覧。
- ^ 「Google、SSL設定を強化し、攻撃の可能性に備える」 2013年11月19日。 2015年4月16日閲覧。
- ^グッドイン、ダン (2013年12月10日) .FreeBSD開発者は「IntelとViaのチップベースの暗号は信頼できない」と述べている。Ars Technica 。 2014年1月23日閲覧。
- ^セキュリティニュース (2013年9月10日). 「Torvalds氏、Linuxの暗号に隠された「バックドア」Intel RdRandの削除要請を却下」 The Register .
- ^ Tim Bray、Google Identity チーム(2013年7月)。「Google 証明書のアップグレードが進行中」。Googleデベロッパー ブログ。
{{cite web}}:|author=一般的な名前があります(ヘルプ) - ^ Schneier, Bruce (2013年9月5日). 「米国政府はインターネットを裏切った。我々はそれを取り戻す必要がある」 . The Guardian . 2017年1月9日閲覧。
- ^ジョン・ギルモア (2013年9月6日). 「オープニングディスカッション: 『BULLRUN』に関する憶測」「メールアーカイブ。暗号化メーリングリスト。
関係する大企業はすべてNSAと結託し、エンドツーエンドの暗号化が携帯電話のデフォルトにならないようにしている
」 - ^ Michael Riley (2014年4月11日). 「NSAがHeartbleedバグを利用し、消費者を危険にさらしたと報じられる」 . Bloomberg.com . Bloomberg .
- ^ Ward, Mark (2013年9月6日). 「スノーデンの漏洩:米国と英国が『オンライン暗号を解読』」「 . BBCニュース. 2013年9月6日閲覧。
外部リンク
