モキシー・マーリンスパイク

モキシー・マーリンスパイク
2022年のマーリンスパイク
生まれる1980年代初頭[ 1 ]
ジョージア州、米国
知られている
科学者としてのキャリア
フィールド
Webサイトモキシー.orgWikidataで編集する

モクシー・マーリンスパイクは、アメリカの起業家暗号学者コンピュータセキュリティ研究者です。[ 1 ] [ 2 ]マーリンスパイクはSignalの開発者であり、 Signal Technology Foundationの共同創設者であり、 Signal Messenger LLCの初代CEOを務めました。また、Signal、 WhatsApp[ 3 ] Google Messages[ 4 ] Facebook Messenger[ 5 ] Skypeで使用されているSignal Protocol暗号化の共同著者でもあります[ 6 ]

マーリンスパイク氏は、 Twitterのセキュリティチームの元責任者であり[ 7 ]、SSL認証システムの代替案「Convergence」の著者でもある[ 8 ]。同氏は以前、クラウドベースのWPAクラッキングサービス[ 9 ]と、標的型匿名サービス「GoogleSharing」を運営していた[ 10 ] 。

キャリア

マーリンスパイクは、エンタープライズインフラストラクチャソフトウェアメーカーのBEAシステムズ社を含むいくつかのテクノロジー企業でキャリアをスタートしました。[ 3 ] [ 11 ]

2010年、マーリンスパイク氏はウィスパーシステムズ[ 12 ]の最高技術責任者兼共同創業者だった。同社は企業向けモバイルセキュリティのスタートアップ企業である。2010年5月、ウィスパー・システムズはTextSecureRedPhoneをリリースした。これらはそれぞれ、エンドツーエンドで暗号化されたSMSメッセージングと音声通話を提供するアプリケーションだった。Twitterは2011年末に非公開の金額で同社を買収した。[ 13 ]この買収は「主にマーリンスパイク氏が当時のスタートアップ企業のセキュリティ向上を支援できるようにするため」に行われた。[ 11 ]彼がTwitterのサイバーセキュリティ責任者を務めていた間、[ 14 ]同社はウィスパー・システムズのアプリをオープンソース化した。[ 15 ] [ 16 ]

マーリンスパイクは2013年初頭にTwitterを離れ、TextSecureとRedPhoneの継続的な開発のための共同オープンソースプロジェクトとしてOpen Whisper Systemsを設立した。 [ 17 ] [ 18 ] [ 19 ]当時、マーリンスパイクとトレバー・ペリンはSignalプロトコルの開発を開始し、その初期バージョンは2014年2月にTextSecureアプリで初めて導入された。[ 20 ] 2015年11月、Open Whisper SystemsはTextSecureアプリケーションとRedPhoneアプリケーションをSignalとして統合した。[ 21 ] 2014年から2016年の間、マーリンスパイクはWhatsAppFacebookGoogleと協力してSignalプロトコルを各社のメッセージングサービスに統合した。[ 22 ] [ 23 ] [ 24 ]

2017年、マーリンスパイクは元DARPA研究者のトッド・ハフマンとともに、暗号通貨企業MobileCoinの初期技術顧問を務めた。[ 25 ] [ 26 ] [ 27 ] [ 28 ] [ 29 ] MobileCoinはSignalMixin Messengerのアプリ内決済として設計された。[ 30 ]

2018年2月21日、マーリンスパイク氏とWhatsAppの共同創業者であるブライアン・アクトン氏は、シグナル・テクノロジー財団とその子会社であるシグナル・メッセンジャーLLCの設立を発表した。[ 31 ] [ 1 ]マーリンスパイク氏は、2022年1月10日に退任するまで、シグナル・メッセンジャーの初代CEOを務めた。 [ 32 ]米国政府のグループチャット流出を 受けて、マーリンスパイク氏は2025年3月に「シグナルを使う理由はたくさんあります。今では、アメリカ合衆国副大統領が機密性の高い軍事作戦の調整のために、あなたをグループチャットにランダムに追加する機会も含まれています。この機会を逃さないでください...」と投稿した。[ 33 ]

研究

SSLストリップ

2009年の論文で、マーリンスパイクはSSLストリッピングの概念を紹介しました。これは中間者攻撃の一種で、ネットワーク攻撃者がユーザーに気付かれずにウェブブラウザのsslstripSSL接続へのアップグレードを阻止できるものです。また、彼はこの種の中間者攻撃を自動的に実行するツール「」のリリースも発表しました。 [ 34 ] [ 35 ]その後、これらの攻撃に対抗するために、 HTTP Strict Transport Security(HSTS)仕様が開発されました。[ 36 ]

SSL実装攻撃

マーリンスパイク氏は、広く普及しているSSL実装に数多くの異なる脆弱性を発見しています。特に注目すべきは、2002年に発表した論文で、公開鍵証明書チェーンにおけるX.509 v3「BasicConstraints」拡張を正しく検証しないSSL/TLS実装の脆弱性を突くものでした。これにより、任意のドメイン名の有効なCA署名証明書を持つユーザーは、他の任意のドメインの有効なCA署名証明書に見える証明書を作成できるようになりました。脆弱なSSL/TLS実装にはMicrosoft CryptoAPIが含まれており、SSL/TLS接続に依存するInternet Explorerやその他のすべてのWindowsソフトウェアは、中間者攻撃に対して脆弱でした。2011年には、Apple社iOSのSSL/TLS実装にも同じ脆弱性が残っていることが発見されました。[ 37 ] [ 38 ]また注目すべきは、マーリンスパイク氏が2009年に発表した論文で、SSL証明書に対するヌルプレフィックス攻撃の概念を紹介したことです。彼は、すべての主要なSSL実装が証明書の共通名の値を適切に検証できなかったため、 CNフィールドにヌル文字を埋め込むことで偽造された証明書を受け入れてしまう可能性があることを明らかにしました。[ 39 ] [ 40 ]

CA問題の解決策

2011年、マーリンスパイクはラスベガスで開催されたブラックハットセキュリティカンファレンスで「SSLと真正性の未来」 [ 41 ]と題した講演を行いました。彼は認証局の多くの問題点を概説し、それらを置き換えるソフトウェアプロジェクト「コンバージェンス」のリリースを発表しました。 [ 42 ] [ 43 ] 2012年、マーリンスパイクとペリンは、 SSL証明書のピン留め機能を提供し、認証局問題の解決を支援することを目的としたTACKのインターネットドラフト[ 44 ]をインターネット技術タスクフォースに提出しました。[ 45 ]

MS-CHAPv2のクラッキング

2012年、マーリンスパイクとデイビッド・ハルトンは、 MS-CHAPv2ハンドシェイクのセキュリティを単一のDES暗号化にまで削減することを可能にする研究を発表しました。ハルトンは、残りのDES暗号化を24時間以内に解読できるハードウェアを開発し、2人はこのハードウェアをインターネットサービスとして誰でも利用できるようにしました。[ 46 ]

モバイル監視論争

2013年、マーリンスパイク氏は自身のブログに、サウジアラビアの通信サービス会社モビリー社から送られたと主張するメールを公開しました。そのメールは、様々なアプリケーションを介した通信の傍受を含む、顧客監視への協力を要請するものでした。マーリンスパイク氏は協力を拒否し、代わりにメールを公開しました。モビリー社はこれらの申し立てを否定し、「当社はハッカーとは一切連絡を取っていません」と述べています。[ 47 ]

旅行

マーリンスパイク氏は、米国内で飛行する場合、搭乗券を自分で印刷することができず、航空会社の発券係員に電話して発券してもらう必要があり、TSAのセキュリティチェックポイントで二次検査を受けることになると述べている。[ 48 ]

2010年、ドミニカ共和国からの飛行機で米国に入国しようとした際、マーリンスパイクは連邦捜査官に5時間近く拘束され、すべての電子機器を押収されました。当初、捜査官はパスワードを提供すればデータを復号できると主張しましたが、マーリンスパイクはこれを拒否し、最終的に機器は返却されました。しかし、彼はもはや機器を信頼できないと述べ、「ハードウェアを改造したり、新しいキーボードのファームウェアをインストールしたりした可能性がある」と語りました。[ 49 ]

認識

私生活

マーリンスパイクはもともとジョージア州出身で、[ 3 ] 1990年代後半に18歳でサンフランシスコに移住しました。[ 1 ] [ 11 ]モキシー・マーリンスパイクという名前は、子供の頃のニックネームに由来する偽名です。[ 1 ] [ 3 ]

マーリンスパイクはセーリング愛好家で船長でもある[ 3 ] [ 54 ] 2004年、彼は放置されていたヨットを購入し、3人の友人と共にそれを改修してバハマ諸島を航海し、その旅の様子を「 Hold Fast 」というビデオジンで制作した。[ 1 ] [ 3 ] [ 11 ]彼はアナキストでもあり、[ 3 ]彼のエッセイやスピーチのいくつかはウェブサイト「The Anarchist Library」に掲載されており、「An Anarchist Critique of Democracy」[ 55 ]や「The Promise of Defeat」[ 56 ]などがある。

参考文献

  1. ^ a b c d e f Wiener, Anna (2020年10月19日). 「プライバシーを取り戻す:エンドツーエンド暗号化メッセージサービスSignalの創設者、Moxie Marlinspike氏は、「インターネットに正常性をもたらそうとしている」。」 .ニューヨーカー. 2021年3月5日時点のオリジナルよりアーカイブ。2020年10月27日閲覧。
  2. ^ Rosenblum, Andrew (2016年4月26日). 「Moxie Marlinspikeが誰でも暗号化を可能にする」 .ポピュラーサイエンス. Bonnier Corporation . 2016年7月9日閲覧
  3. ^ a b c d e f g Greenberg, Andy (2016年7月31日). 「Meet Moxie Marlinspike, the Anarchist Bringing Encryption to All of Us」 . Wired . Condé Nast. 2021年1月25日時点のオリジナルよりアーカイブ。 2016年7月31日閲覧
  4. ^ Amadeo, Ron (2021年6月16日). 「Google、AndroidのデフォルトSMS/RCSアプリでエンドツーエンド暗号化を有効化」 Ars Technica . 2022年3月3日閲覧
  5. ^ Greenberg, Andy (2016年10月4日). 「ついにFacebook Messengerが暗号化できるようになりました。ぜひお試しください」 . Wired .
  6. ^ Newman, Lily Hay (2018年1月11日). 「Skype、ついにエンドツーエンド暗号化の導入を開始」 . Wired .
  7. ^ Hern, Alex (2014年10月17日). 「Twitterの元セキュリティ責任者、Whisperのプライバシー欠陥を非難」 . The Guardian . 2015年1月22日閲覧
  8. ^ Messmer, Ellen (2011年10月12日). 「SSL証明書業界は代替可能であり、代替すべきである」 . Network World . IDG. 2014年3月1日時点のオリジナルよりアーカイブ。 2016年9月25日閲覧
  9. ^ 「クラウドベースの新サービスがWi-Fiパスワードを盗む」 PC World. 2012年4月20日時点のオリジナルよりアーカイブ。 2013年12月9日閲覧
  10. ^ 「Googleから身を隠すためのより良い方法」 Forbes 2013年11月25日。 2013年10月12日時点のオリジナルよりアーカイブ。 2013年12月9日閲覧
  11. ^ a b c d Yadron, Danny (2015年7月9日). 「Moxie Marlinspike: The Coder Who Encrypted Your Texts」 . The Wall Street Journal . 2015年7月10日時点のオリジナルよりアーカイブ。 2016年9月27日閲覧
  12. ^ Mills, Elinor (2011年3月15日). 「CNet: WhisperCoreアプリがAndroidの全データを暗号化」 . News.cnet.com . 2013年12月9日閲覧
  13. ^ 「Twitter、Moxie Marlinspike氏の暗号化スタートアップWhisper Systemsを買収」 Forbes . 201310月4日閲覧。
  14. ^パワーズ、ショーン・M、ジャブロンスキー、マイケル(2015年2月)『真のサイバー戦争:インターネットの自由の政治経済学』イリノイ大学出版局、198頁。ISBN 978-0-252-09710-2. JSTOR  10.5406/j.ctt130jtjf .
  15. ^ Chris Aniszczyk (2011年12月20日). 「ささやきは真実」 . Twitter開発者ブログ. Twitter. 2014年10月24日時点のオリジナルよりアーカイブ2015年1月22日閲覧。
  16. ^ 「RedPhoneがオープンソース化!」 Whisper Systems. 2012年7月18日. 2012年7月31日時点のオリジナルよりアーカイブ2015年1月22日閲覧。
  17. ^ Yadron, Danny (2015年7月10日). 「What Moxie Marlinspike Did at Twitter」 . Digits . The Wall Street Journal. 2016年3月18日時点のオリジナルよりアーカイブ2016年9月27日閲覧。
  18. ^アンディ・グリーンバーグ (2014年7月29日). 「iPhoneでついに暗号化された無料通話が可能に」 . Wired . 2015年1月18日閲覧
  19. ^ 「新しい家」 Open Whisper Systems. 2013年1月21日. 2015年7月11日閲覧
  20. ^ Donohue, Brian (2014年2月24日). 「TextSecure、最新バージョンでSMSをブロック」Threatpost . 2016年7月14日閲覧
  21. ^ Greenberg, Andy (2015年11月2日). 「スノーデン氏承認の暗号アプリ、SignalがAndroidに登場」 . Wired . Condé Nast . 2015年11月24日閲覧
  22. ^ Metz, Cade (2016年4月5日). 「Apple対FBIなんて忘れろ: WhatsAppが10億人のために暗号化を導入」 . Wired . Condé Nast . 2016年8月2日閲覧
  23. ^グリーンバーグ、アンディ(2016年7月8日)「『秘密の会話:』エンドツーエンドの暗号化がFacebook Messengerに登場」。Wired 。コンデナスト2016年9月24日閲覧
  24. ^ Greenberg, Andy (2016年5月18日). 「AlloとDuoで、Googleはついに会話をエンドツーエンドで暗号化」 . Wired . Condé Nast . 2016年9月24日閲覧
  25. ^ Loizos, Connie (2021年8月18日). 「MobileCoin、シリーズBラウンドで6,600万ドルの株式を調達」 . TechCrunch . 2021年12月1日閲覧
  26. ^ニューマン、リリー・ヘイ(2017年12月15日)「Signalの創設者が暗号通貨を修正する計画を持っている」 Wired 2021年4月7日閲覧
  27. ^ Goldbard, Joshua (2021年4月8日). 「コメント」 . Reddit . 2021年12月16日閲覧。Moxie氏は従業員ではなく、役員でも取締役会のメンバーでもなく、プロジェクトに日々携わってきた人物でもありません。彼は私たちにアドバイスをくれました。何を構築すべきかを考えるのに役立ったので、とても感謝していますが、Moxie氏はMobileCoinのコードを1行も書いていません。
  28. ^ 「MobileCoinホワイトペーパー」(PDF) . MobileCoin . 2025年2月14日閲覧
  29. ^ Wise, Aaron (2023年2月15日). 「MobileCoin: The project that doomed FTX a year before Terra Luna」 . Protos . 2025年8月15日閲覧
  30. ^ Mixin [@Mixin_Network] (2021年1月18日). 「Mixin Networkは、モバイル向けの安全な決済システムの構築に重点を置く33番目のパブリックチェーン@mobilecoin、$MOBをサポートしています。私たちは、そのLayer2ネットワークに接続した最初のプロジェクトであり、Go言語で書かれたNode.jsのコードも提供しています。入出金は@MixinMessengerで可能です」ツイート)。 2021年5月3日時点のオリジナルよりアーカイブ2021年4月12日閲覧– Twitter経由。
  31. ^ Marlinspike, Moxie; Acton, Brian (2018年2月21日). 「Signal Foundation」 . Signal.org . 2018年2月21日閲覧
  32. ^ Marlinspike, Moxie (2022年1月10日). 「新年、新CEO」 . signal.org . Signal Messenger . 2022年1月10日閲覧
  33. ^ Plunkett, John (2025年3月27日). 「Signalの創設者がJD Vanceを痛烈に批判、まさに壮大だ」 . 2025年4月1日閲覧
  34. ^ Greenberg, Andy (2009年2月18日). 「ブラウザの南京錠を解除する」 . Forbes . 2014年2月27日時点のオリジナルよりアーカイブ
  35. ^ Higgins, Kelly Jackson (2009年2月24日). 「SSLStripハッキングツールがリリース」 . Darkreading.com. 2013年10月2日時点のオリジナルよりアーカイブ2013年12月9日閲覧。
  36. ^ Bramwell, Phil (2018). 『Windows でのハンズオン侵入テスト:Kali Linux、PowerShell、Windows デバッグツールを活用したセキュリティテストと分析』 Packt Publishing. p. 96. ISBN 978-1-78829-509-3
  37. ^ Apple iOSのバグは宣伝よりひどい/
  38. ^ 「iPhoneデータ傍受ツールがリリース」 Scmagazine.com.au、2011年7月27日。2013年12月14日時点のオリジナルよりアーカイブ2013年12月9日閲覧。
  39. ^ Zetter, Kim (2009年7月30日). 「脆弱性により攻撃者はあらゆるウェブサイトを偽装できる」 . Wired.com . 2013年12月9日閲覧。
  40. ^ Goodin, Dan (2009年7月30日). 「ワイルドカード証明書がWeb認証を偽装」 . Theregister.co.uk . 2013年12月9日閲覧
  41. ^ 「SSLと真正性の未来」 Youtube.com、2011年8月18日。2021年12月21日時点のオリジナルよりアーカイブ2013年12月9日閲覧。
  42. ^ 「新しいSSL代替手段」 Informationweek.com。2011年10月1日時点のオリジナルよりアーカイブ2013年12月9日閲覧。
  43. ^ 「SSLの将来は疑わしいか?」 Infosecurity-magazine.com、2011年8月9日。 2013年12月9日閲覧
  44. ^ 「証明書キーの信頼アサーション」 Tack.io 2013年12月9日閲覧
  45. ^ Goodin, Dan (2012年5月23日). 「SSL修正で偽造証明書が発見される」 . Arstechnica.com . 2013年12月9日閲覧。
  46. ^ Fisher, Dennis (2012年7月30日). 「Moxie Marlinspikeの新ツール、一部の暗号パスワードを解読」 Threatpost . 2012年8月19日時点のオリジナルよりアーカイブ。
  47. ^スミス、マット(2013年5月15日)「サウジのモビリー、顧客スパイへの協力要請を否定」ロイター通信。 2018年2月21日閲覧
  48. ^ミルズ、エリノア(2010年11月18日)「セキュリティ研究者:連邦政府に拘束され続ける」 CNET 20196月19日閲覧
  49. ^ Zetter, Kim (2010年11月18日). 「国境でハッカーのラップトップと携帯電話がまた捜索される」 . Wired.com . 2024年11月8日閲覧
  50. ^ 「Moxie Marlinspike - 40 under 40」 . Fortune . Time Inc. 2016. 2017年8月18日時点のオリジナルよりアーカイブ。 2016年9月22日閲覧
  51. ^ WIREDスタッフ(2016年4月26日)「ビジネスの未来を創造する25人の天才」Wired.ISSN 1059-1028 . 2020319日閲覧 
  52. ^ 「現実世界の暗号に対するレフチン賞」 RealWorldCrypto。
  53. ^ Levchin, Max (2017年1月4日). 「2017 Levchin Prize for Real World Cryptography」 . Yahoo! Finance . 2018年2月7日閲覧
  54. ^ 「Moxie Marlinspike >> About」 . 2022年11月22日閲覧
  55. ^マーリンスパイク、モクシー、ハート、ウィンディ(2012年6月21日)。「アナキストによる民主主義批判」アナキスト図書館。 2022年11月22日閲覧
  56. ^ Marlinspike, Moxie (2020年8月4日). 「敗北の約束」 . アナーキスト図書館. 2022年11月22日閲覧
「 https://en.wikipedia.org/w/index.php?title=Moxie_Marlinspike&oldid=1317573476#SSL_stripping」から取得