今年はエドワード・スノーデンが米国の諜報機関などの膨大な機密文書を暴露して10年目になる。スノーデンが暴露した機密文書の内容は、米国をはじめとする諜報機関がインターネット以前からやってきた監視活動に危惧と関心をもってきた者にとっては、想定しうる事態であったとはいえ、実際に、その文書が生のまま示された衝撃はとても大きいものだった。10年という節目は、こうした大量監視を実際に遂行してる米国だけではなく、ほぼ全ての政府の情報機関などに対して、このスノーデンが自らの人生を賭けて行なった暴露がもたらした教訓を行かすことができるようになったか、私たちの監視されない権利がどれほど実現できてきたか、また、この権利のために私たちがどれほどの努力をしてきたのか、こうしたことを検証する機会になっていもいいだろう。以下は、主にインターネットの技術的な仕様の標準化に関わる技術コミュニティのメンバーなどが、この10年を振り返りながら、現状の問題を指摘したエッセイである。

この文書は、インターネット技術タスクフォース（IETF）のなかにある技術文書(RFC)のサイトに掲載されている。IETFは一般にはなじみがないかもしれないが、「IETFの使命は、インターネットをより良く機能させるような方法によって、人々がインターネットを設計、使用、管理する方法に影響を与える高品質で適切な技術的および工学的文書を作成すること」を使命として、インターネットを支える基本的な技術の標準化に関わる重要な活動を担っている。一般にRFCと呼ばれる文書の来歴はとても古く、インターネット草創期の1969年にまで遡る膨大な技術文書で、時系列に番号が振られている。ここに訳出したのは、その9446番目となる。ただし他の技術文書と違って、この文書には技術的な内容はなく、スノーデンが与えた衝撃を振り返りつつ、インターネットの技術コミュニティが抱えた課題を示す、ということが中心になっており、RFCのなかでや特異だと思う。

実は私は、スノーデン文書がインターネットの技術コミュニティにどのような衝撃を与えたのか、という観点でスノーデンが暴露した政府の監視問題をみることをしてこなかった。以下に訳出したエッセイを読んではじめて、この10年の間にインターネットの技術仕様(とりわけ暗号化の普及)にスノーデンが果たした役割の大きさを知った。スノーデン文書に関連してIETFや関係者がこれまでも様々な問題提起をしてきており、RFCにもそうした記録が残されていることも今まで知らなかった。今私たちがごく当たり前に使うようになっている経路上の暗号化なども、スノーデンの暴露と、これを深刻な問題として受けとめた技術コミュニティの対応がなければこれほどまでには普及しなかったことは、ほぼ確実だと思う。他方で、以下のエッセイでも指摘されているように、監視とデータ搾取は政府だけでなく民間企業が主体になる分野があり、暗号化を回避する技術の開発も盛んになっていることへの技術コミュニティの対応は十分ではない。

技術者コミュニティにはまだ、人々のプライバシーの権利や言論表現の自由を守るための技術的な基盤を確実なものにすべきだ、という使命感が共通の価値観として維持されている一方で、雇用者や政府の意向にあらがえずに、技術的には可能な実装が実現できないなどの限界もまた指摘されている。「サイバー戦争」などが喧伝されるなかで、IT業界の技術者が戦争に動員される傾向が強まっており、技術コミュニティも分断が進みかねない。

他方で、技術の専門家ではない私のようなインターネットのエンドユーザーにとっては、技術そのものに反監視の基本的な考え方に基く設計を組み込むことや、暗号化が果たす重要な役割への関心、いわゆるプライバシー・バイ・デザインと呼ばれるような取り組みには、十分とはいえない。

スノーデンからの10年、果してインターネットが10年前よりも、より人々のコミュニケーションの権利を拡張するような方向で成長してきたといえるだろうか？私の目からは、残念ながら後退現象の方がどうしても目についてしまう。しかし、だからといって何もできないということにはならない。反監視に関心をもつユーザーと技術者がこれまで以上に連携をとって、多くの人達に、コミュニケーションの権利への関心をもってもらい、政府と企業によるインターネットへの監視を押し止めるための運動を作ることが、これまでの10年以上に重要になっていると思う。(小倉利丸)

付記：2023/7/35 訳文を改訂

なおRFCの文書は下記で日本語訳で読むことができます。こちらの方がオフィシャルなものですが、機械翻訳(Google翻訳)の不備もありますが、原文と対象できます。そちらも是非参照してください。

https://tex2e.github.io/rfc-translater/html/rfc9446.html

---

概要

このメモには、2013年にエドワード・スノーデンによって米国家安全保障局（NSA）に関する情報が公開された前後に起こった出来事についての考察と回想が含まれている。情報の取捨選択に携わり、責任を持って人々に情報を提供した人の視点、IETFのセキュリティ分野のディレクターの視点、人権の専門家の視点、そしてコンピュータサイエンスと関連法の教授の視点である。このメモの目的は、歴史的な視点を提供すると同時に、技術コミュニティが考慮すべきセキュリティとプライバシーの課題についての見解を提供することである。これらの小論は、コンセンサスとしての見解を示すものではなく、個々の執筆者の見解を示すものである。

このメモの位置づけ

この文書はインターネット標準化過程の仕様ではなく、情報提供を目的として発行されたものである。
これはRFCシリーズへの寄稿であり、他のRFCの流れとは無関係である。RFC編集者はその裁量でこの文書を発行することを選択し、実装や配備にお けるこの文書の価値について何も表明しない。RFCエディターによって発行が承認された文書は、いかなるレベルの インターネット標準の候補でもない。この文書の現在のステータス、正誤表、フィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9446。

著作権表示

Copyright (c) 2023 IETF Trust and the persons identified as the document authors. すべての権利は保護されている。
本文書は、本文書の発行日に有効なBCP 78およびIETFトラストのIETF文書に関す る法的規定(https://trustee.ietf.org/license-info)に従う。これらの文書には、本文書に関するあなたの権利と制限が記述されているので、注意深く確認してほしい。

1. はじめに

2013年6月6日、米国家安全保障局(NSA)のある活動について記述した、スノーデン暴露とし て知られるようになった一連の記事の始まりとなる記事が、ガーディアン紙に掲載された [Guard2013]。これらの活動には、とりわけ秘密裁判所の命令、通信の発信元、宛先、タイミングを含むいわゆる「メタ情報」の受信に関する秘密協定、通信回線の盗聴が含まれていた。息をのむようなその活動範囲はインターネット技術コミュニティに衝撃を与え、IETF、IAB、その他の標準化団体に大きな変化をもたらした。

数年が経過した今、この期間を振り返り、コミュニティの行動がどのような効果をもたらしたのか、セキュリティが改善された点、脅威の表面はどのように進化したのか、改善されなかった分野は何か、コミュニティは今後どのような取り組みに投資すべきかを検討することが適切であると思われる。

ブルース・シュナイアー（Bruce Schneier）は、この個人的なエッセイの大要の冒頭で、我々を2013年に引き戻し、彼や他の人々にとって何が起きていたか、関係者の考え方がどのようなものであったかを報告している。次に、スティーブン・ファレル(Stephen Farrell)が技術コミュニティの反応、特にIETFコミュニティの反応、技術的進歩、そして脅威が残っている場所についてレビューする。次にファルザネ・バディイ（Farzaneh Badii）が、これらの進歩–あるいはその欠如–が人権に与える影響について論じる。最後に、スティブン・M・ベロヴィン(Steven M. Bellovin)は、スノーデンの暴露を、何世紀にもわたる秘密と秘密窃盗の進化し続ける歴史的文脈の中に置き、IETFに対するいくつかの提案で締めくくった。

読者は、私たちコミュニティがどのようなインパクトを持ち、どのような課題が残っているのか、そして技術コミュニティが世界の市民のセキュリティとプライバシーに対処するために、どのような積極的な貢献ができるのか、またすべきなのかを考えていただきたい。

2. Bruce Schneier：スノーデンの10年後

2013年と2014年、私はエドワード・スノーデンから提供された文書に基づくNSAの監視に関する新事実について広範囲にわたって書いた。しかし、もっと個人的な関わりもあった。

下のエッセイは2013年9月に書いたものだ。The New Yorkerは掲載に同意したが、The Guardiaは掲載を見送った。ガーディアンは英国の法執行機関を恐れており、このエッセイがガーディアンの評判を落とすことを心配していたのだ。そして、2014年7月に英国警察が事務所を急襲することを考えると、心配する正当な理由があった。

それから10年経った今、スノーデンの初期の数カ月がどのようなものであったかのタイムカプセルとしてこれを提供する。

何百ものNSAの極秘文書に目を通すのは、現実離れした体験だ。禁断の世界を覗いているようで、奇妙で、混乱し、同時に魅力的だ。

私は8月下旬、グレン・グリーンウォルドの要請でリオデジャネイロに飛んだ。彼は数カ月前からエドワード・スノーデンのアーカイブに取り組んでいたが、より技術的な文書が山積みになっており、その解釈を手伝ってほしいとのことだった。グリーンウォルドによれば、スノーデンも私を射止めるのはいい考えだと思ったという。

それは理にかなっていた。私は2人とも知らなかったが、暗号、セキュリティ、プライバシーについて何十年も書いてきた。私はグリーンウォルドが苦手としていた専門用語のいくつかを解読することができ、様々な文書の文脈と重要性を理解することができた。そして私は長い間、NSAの盗聴能力を公に批判してきた。私の知識と専門知識は、どの文書を報じるべきかを見極めるのに役立つつはずだ。

承諾する前にいろいろ考えた。グリーンウォルドのパートナーであるデビッド・ミランダが英国当局にヒースロー空港で拘束される前のことだが、それがなくてもリスクがあることは分かっていた。TSAのリストに載ったり、アメリカの国境で拘束されて電子機器を没収されたりするのは大きな問題だ。FBIが私の家に押し入り、私物の電子機器を押収することもそうだろう。しかし、結局のところ、それが私の決意をより強固なものにした。

ACLUとEFFから推薦された弁護士と電話で時間を過ごした。特に、出発の3日前にミランダが拘束されたときは、パートナーとも話し合った。グリーンウォルドも彼の雇い主である『ガーディアン』紙も、誰に文書を見せるかについては慎重を期している。彼らは記事を伝えるために必要な部分のみを公開する。彼らにとっては、私が情報源ではなく、共著者であることが重要だった。私は法的な根拠には従わなかったが、要するに『ガーディアン』は文書を不特定多数の人にリークしたくないのだ。しかし、公益のために記事を書くのであり、私はそのプロセスの一環として文書を確認することは許されるだろうということだ。そこで、ガーディアンの誰かとスカイプで会話した後、私は契約書にサインした。

そしてブラジルに飛んだ。

私が見たのは文書のごく一部で、そのほとんどは驚くほど平凡なものだった。トップシークレットの世界で懸念されるのは、システムのアップグレード、天候による運用上の問題、作業の滞りによる遅延など、主に戦術的なものだ。私は週報、状況説明会のスライド、訪問者を教育するための一般的なブリーフィングに目を通した。NSAの内部でも、管理職は管理職である。ドキュメントを読んでいると、果てしなく続く会議の一部を傍聴しているような気分になった。

会議のプレゼンターは、スパイスを加えようとしている。プレゼンテーションには、定期的に諜報活動の成功例が盛り込まれる。何がどのように発見され、どこで役に立ったかといった詳細があり、時にはそのインテリジェンスを利用した「顧客」からの賞賛もあった。これらは、NSAの職員に、自分たちが良いことをしていることを思い出させるためのものだろう。それは間違いなく私に影響を与えた。それらはすべて、NSAにやってもらいたいことだった。

コードネームはたくさんあった。あらゆるプログラム、あらゆる機器、あらゆるソフトウェア、すべてにコードネームがあった。コードネームには独自のものがあることもあった。MONEYROCKETがどこの会社なのか、EGOTISTICALGIRAFFEがどんなソフトウェアの脆弱性なのか–本当に、これは作り話ではない–、TURBINEがどのように機能するのか。これらの秘密は総称してECIというコードネームを持っており、例外的に区分された情報を意味し、文書にはほとんど登場しない。暗号化されたIM接続でスノーデンとチャットしたとき、私は、NSAのカフェテリアのメニューにはおそらくメニューのコードネームがあるのだろうと冗談を言った。彼の返事はこうだった。「あなたは何も分かっていない、と言ったら私を信じてほしい」

そのコードネームにはすべてロゴがついており、そのほとんどは素人っぽくて、間抜けなものばかりだ。NSAへの忠告：100億ドルを超える年間予算の一部を使って、デザイン会社を雇え。そうすれば士気も上がるだろう。

とはいえ、たまには立ち止まり、立ち上がり、ぐるぐると歩き回ってしまうようなものを目にすることもあった。読んだものが特にエキサイティングだったわけでも、重要だったわけでもない。ただ驚かされたのだ。世界についての考え方が、ほんの少し変わった。

グリーンウォルドは、人々が文書に目を通し始めたとき、そのような反応は普通だったと述べた。

諜報の専門家は、内部で生活することがいかに方向感覚を失わせるかについて語る。世界の地政学的な出来事に関する機密情報を大量に読むと、世界の見方が変わってくる。ニュースメディアは間違っていることが多いので、何が本当に起こっているのかを知っているのは内部の人間だけだと確信するようになる。あなたの家族は無知だ。友人も無知だ。世界は無知だ。あなたを無知から守っているのは、絶え間なく流れてくる機密情報だけだ。優越感に浸らず、「私たちが知っていることをあなたが知っていれば」などといつも言わないようにするのは難しい。NSAの長官であるキース・アレグザンダー将軍が、なぜあれほど上から目線に見えるのか、私にはよくわかる。

グリーンウォルドを訪ねた週は、ミランダの拘束の余波を引きずっており、最悪の週だった。彼はまだミランダの拘束の影響に対処している最中だったからだ。『ネイション』紙の記者と『ヒンドゥー』紙の記者の2人も彼と一緒にこの町にいた。私の1週間の大半は、グリーンウォルドが私のホテルの部屋に駆け込んできて、私に新しい資料の入ったUSBメモリーを渡し、また駆け出すというものだった。

私が滞在している間に、『ガーディアン』紙の技術者が検索機能を使えるようにしてくれたので、私はそれで時間を過ごした。質問：NSAの機密データベースを検索できるようになったら、まず何を探す？答え：自分の名前だ。

そこには無かった。私が知っているアルゴリズムの名前もなかったし、米国政府が使っているとわたしも知っているアルゴリズムさえなかった。

私はグリーンウォルドに、彼自身のオペレーション・セキュリティについて話をしようとした。ミランダがNSAの文書をUSBメモリに入れて旅行していたのは、信じられないほど愚かなことだった。電子的にファイルを転送するのは暗号化のためだ。私はグリーンウォルドに、彼とローラ・ポイトラスはダミー文書の暗号化された大容量ファイルを毎日やり取りすべきだと言った。

グリーンウォルドの家で、裏庭に入り、木の間に隠れているテンペスト受信機を探したことがある。見つからなかったが、だからといって、ないとは限らない。グリーンワルドは犬をたくさん飼っているが、それがプロの妨げになるとは思わない。グリーンウォルドが持っているものは、主要な政府機関が全てコピーしているはずだ。多分、最初の数週間は違法捜査チーム同士がぶつかったのだろう。

私は自分のセキュリティ手順を疑い始めた。NSAのハッキング能力について読むと、そうなる。私のハードドライブの暗号は破れるのだろうか？おそらく無理だろう。私の暗号化ソフトを作っている会社は、その実装を意図的に弱めたのだろうか？おそらくそうだろう。NSAのエージェントは、私が米国に戻る通話を盗聴しているのか？おそらくそうだろう。諜報員がその気になれば、インターネット経由で私のコンピューターをコントロールできるだろうか？もちろんだ。結局、私は最善を尽くし、心配するのをやめることにした。結局のところ、それは所詮エージェンシーの書類だ。私が取り組んでいることは、数週間後には公になる。

私もよく眠れなかった。その理由の多くは、私が目にしたもののあまりの大きさだった。別に驚くようなことではなかった。私たち情報セキュリティ関係者は、NSAがこのようなことをしていると長い間思っていた。しかし、実際に腰を据えて詳細を把握することはなかった。詳細を確認できたことは大きな違いだった。例え話をすれば分かりやすいかもしれない。死が避けられないことは誰もが知っている。しかし、私たちは人生の大半をそれについて考えることを拒否して過ごしているため、死は驚きとしてやってくる。NSAの文書もそれに似ている。NSAが世界を盗聴しているのは間違いのない事実であり、しかもそのような計画的で強固なやり方で行っている、このことを知っているのと、それが現実であり、どのように行っているのかの詳細に直面するのとでは、まったく違う。

また、秘密を守ることが信じられないほど難しいこともわかった。ガーディアンのプロセスはゆっくりとしていて理路整然としている。私はもっと速く動く。私は見つけたものを基にストーリーを起草した。そして、そのストーリーについてのエッセイを書き、エッセイについてのエッセイを書いた。書くことはセラピーであり、早朝に起きてエッセイを書くこともあった。でもそのおかげで、出版されたものから少なくとも3つ上のレベルに到達することができた。

自分の関与が発表され、最初のエッセイが発表された今、私はかなり気分が良くなっている。また新たな重大な事実が発覚すれば、また悪くなるに違いない。まだまだ調べなければならない文書がある。

スノーデンはアメリカにダメージを与えたいのだ、という話を聞いたことがある。私は、彼はそうではないと断言できる。今のところ、この事件に関わった誰もが、公開する内容について信じられないほど慎重になっている。アメリカにとって計り知れないほど有害な文書がたくさんあるが、誰もそれを公開するつもりはない。記者たちが公開する文書は慎重に編集されている。グリーンウォルドと私は、『ガーディアン』紙の編集者と記事のアイデアのニュースバリューについて何度も議論し、単に面白いからという理由で政府の秘密を暴露することはないと強調した。

NSAは信じられないほど幸運だった。チェルシー・マニングの国務省公電のように、大規模な公開廃棄で終わっていたかもしれない。今でもその可能性はあるだろう。にもかかわらず、NSAにこれがどのように感じられるかは想像がつく。アラーム付きゲート、武装警備員、安全なドア、軍用レベルの暗号技術など、NSAは何重ものセキュリティの背後にこのようなものを保管することに慣れている。ブラジル、ドイツ、イギリス、アメリカ、その他どこにあるのかわからないようなUSBメモリの束に、何が秘密であるべきか、あるいは秘密であってはならないかについて、不特定多数の人々の意見によって保護されているはずがないのだ。これは史上最大の諜報活動の失敗である。一人の人間が、これほど多くのアクセス権を持ちながら、これほど説明責任を果たさず、何の警戒心も持たずにこのデータすべてをこっそりと流出させることができたのは驚くべきことだ。スノーデンがこのようなことをした最初の人物である確率は限りなくゼロに近く、彼は自分がしたことを公表した最初の人物に過ぎない。アレクサンダー将軍が辞任に追い込まれなかったのは、将軍の力を証明するものだ。

私たちがセキュリティーに注意を払っていなかったのではなく、私たちの注意の基準があまりにも違うということだ。NSAから見れば、私を含め、私たち全員が重大なセキュリティ・リスクなのだ。私は機密事項に関するメモを取り、それをくしゃくしゃにしてゴミ箱に捨てていた。ホテルのロビーで “TOP SECRET/COMINT/NOFORN “と書かれた書類を印刷していた。そして一度だけ、間違ったUSBメモリを夕食に持って行き、誤って最高機密文書が入った暗号化されていない方のUSBメモリをホテルの部屋に置き忘れたことがある。どちらも青色だったのだ。

もし私がNSAの職員だったら、それだけで解雇されるだろう。

常に監視されていることがいかに人を変えるかについては、多くの人が書いている。監視されていることがわかると、自分を検閲するようになる。オープンでなくなり、自発的でなくなる。コンピューターに書き込んだことを見たり、電話で話したことをくよくよ考えたり、文脈を無視してどう聞こえるだろうかと、仮定の観察者の視点から考えたりする。より順応しやすくなる。自分の個性を抑えてしまう。何十年もプライバシーの仕事をしてきて、NSAとその仕事についてはすでによく知っていたにもかかわらず、その変化は手に取るようにわかった。その感覚は今でも薄れていない。私は今、自分の発言や書き込みにより注意深くなった。通信技術に対する信頼が薄れた。コンピューター業界への信頼も薄れている。

いろいろ話し合った結果、グリーンウォルドと私は、まず3つの記事を一緒に書くことに合意した。それらはすべてまだ進行中である。加えて、最近公開されたスノーデン文書についての解説を2本書いた。グリーンウォルドでさえすべてに目を通したわけではない。

ブラジルに行ったとき（その1ヶ月前）から、私は1度アメリカに戻り、国内では7回飛行機に乗った。私はまだどのリストにも載っていない。少なくとも、私が知っている限りでは。

たまたまだが、私はグリーンウォルドや『ガーディアン』とはもうあまり記事を書いていない。この二人は喧嘩別れし、すべてが落ち着き、二人が独立してこれら文書について書き始めた頃には–グリーンウォルドは新しくできたウェブサイト『インターセプト』で–、私はなぜかその過程から外されてしまった。グリーンウォルドが私に腹を立てていたと聞いた覚えがあるが、その理由はわからなかった。それ以来、私たちは話をしていない。

それでも私は、NSAがTorをハッキングする方法という1つの記事に参加できたことに満足している。QUANTUMの詳細を記したNSAの文書を掲載するよう『ガーディアン』紙に働きかけたことは、個人的には成功だったと思っている。他の方法では公表できなかったと思う。ハーバード・ケネディ・スクールで政策立案者にサイバーセキュリティを教えるとき、私は今でもそのページを使う。

他の人たちもスノーデンのファイルについて書き、たくさん書いた。最初はゆっくりとした流れだったが、次第に一貫した流れになった。グリーンウォルド、バート・ゲルマン、そして『ガーディアン』紙の記者たちの間で、ニュースは着実に流れていった。(バートはアシュカン・ソルタニを技術的な面で彼を助けるために呼び寄せたが、それは後にアシュカンが政府の仕事を失うことになったとしても、彼の素晴らしい行動だった。） さらに多くの記事が他の出版物に取り上げられた。

奇妙なことが始まった。グリーンウォルドもゲルマンも、自分の本で発表するために文書を隠していた。当時まだ複数の女性から性的暴行で訴えられていなかったジェイク・アッペルバウムは、ポイトラスと組んでいた。彼はシュピーゲル誌と組んで、NSAのTailored Access Operationsグループからのインプラントカタログを公開した。今日に至るまで、私はこの文書がスノーデンのアーカイブにはなかったと確信している。ジェイクが何らかの方法で入手し、エドワード・スノーデンからのものであることを暗に示して公開したのだ。私は、この文書が十分に重要であると考え、自分のブログでその文書の各項目について書き始めた： “今週のNSAエクスプロイト “だ。そのため、私のウェブサイトは国防総省にブロックされてしまった。検閲官のメッセージを額に入れたプリントを壁に飾っている。

おそらく最もシュールな文書公開は、アーティストたちが文書を基にフィクションを書き始めた時だろう。これは2016年、ローラ・ポイトラスがニューヨークに文書を保管するための安全な部屋を作ったときのことだ。その時には、文書は何年も前のものだった。そして今、それらは10年以上古くなっている。(リークされたのは2013年だが、ほとんどは2012年以前のものだ）。

結局、私はこの文書の広報大使のような役割を担うことになった。リオから戻ると、ウッズホールの個人会議、ハーバードのバークマンセンター、ジュネーブのプライバシーと監視に関する会議、DCのCATOとニューアメリカのイベント、ペンシルバニア大学のイベント、EPICのイベント、DCの「Stop Watching Us」集会、ロンドンのRISCS会議、パリのISF、そして……2013年11月にバンクーバーで開催されたIETF会議で講演を行った。（このときのことはほとんど覚えていない。私は自分のカレンダーからすべてを復元している。）

IETFで印象的だったのは、会場内の憤りと行動への呼びかけだった。そして、多くの面で行動が起こった。例えば、私たち技術者はインターネットの安全確保に多くの貢献をした。

しかし、政府はその役割を果たさなかった。世論の反発、議会による調査、オバマ大統領の宣言、連邦裁判所の判決にもかかわらず、私はあまり変わっていないと思う。NSAは、あちこちのプログラムをキャンセルし、より公然と防衛するようになった。しかし、大量監視や標的型監視に関して積極性を欠くようになったとは思えない。確かに、NSAの政府権限は何ら制限されていないのだ。そして、監視資本主義は依然としてインターネットのビジネスモデルである。

エドワード・スノーデンについては？私たちはSignalでしばらく連絡を取り合っていた。2016年に一度、モスクワに彼を訪ねた。そして数年間、ハーバード大学の私のクラスで、Jitsiの遠隔操作で彼にゲスト講義をしてもらった。その後、私はセッションを開き、彼が言い逃れたり答えなかったりするあらゆる質問に答え、彼が答えたすべての回答を説明し、未解決の逮捕状が出されている人間にはできないような方法で率直に話すことを約束した。時々、私は、自分の方がスノーデンを彼自身よりもうまく誘導できると思っていた。

しかし、もう10年も経っている。彼が知っていることは、すべて古く、時代遅れだ。私たちが知っていることは全て古くて時代遅れになった。NSAは2016年と2017年に、Shadow Brokersを装ったロシアによる、さらにひどい機密漏洩に見舞われた。しかしNSAは立ち直った。NSAは再び、私たちが推測することしかできないような能力を持つようになっている。

3. Stephen Farrell：IETFとインターネット技術コミュニティの反応

2013年、IETF、そしてより広くインターネットの技術、セキュリティ、プライバシーの研究コミュニティは、スノーデンの暴露によって明らかになった監視と攻撃の取り組みに驚愕した[Timeline]。そのような可能性があることは知られていたが、非常に多くのインターネットエンジニアにとって憂慮すべきものであり、非常に厄介なものであったと言って差し支えないと思うのは、公開された活動の規模と広さであった。

IETFの反応としては、2013年7月にベルリンで開催されたIETF会議における非公式な会合で、IETFの参加者は、これらの暴露は、IETFプロトコルのセキュリティとプライバシーの特性を改善し、すでに存在するセキュリティとプライバシーのメカニズムをより確実に利用できるようにするために、私たちがもっと努力する必要があることを示していると考えていることが示された。8月、IETFは新しいメーリングリスト[Perpass]を立ち上げ、このメーリングリストは、これらのトピックに関する作業提案を選別するための有用な場となった。2013年11月のIETF会合では、このような攻撃に対する「インターネットの堅牢化」に関する活発で多くの参加者を集めたプレナリーセッション[Plenary-video]が行われ、その後、「birds of a feather（羽の鳥）[特定のテーマに関連や関心のある人が集まり、自由に議論したり情報交換したりする場を指す]」セッション[Perpass-BoF]で、問題の改善に役立つ新しいワーキンググループ、プロトコル、ベスト・カレント・プラクティス（BCP）文書など、可能性のある対応策についてより詳細な議論が行われた。続いて2014年2月から3月にかけて、ロンドンで「広範な監視に対するインターネットの強化」[STRINT]に関するIAB/W3C合同ワークショップが開催され、150人のエンジニアが参加した（私の経験上、会場の定員に達した後、キャンセル待ちを必要とした唯一のIABワークショップである！）。STRINTワークショップのレポートは最終的に2015年に[RFC7687]として公開されたが、その間にIETFコミュニティが「広範なモニタリングは一つの攻撃である」[RFC7258]（別名BCP188）と考えていることを成文化したBCP文書の作成が進められた。この短い文書に対するIETFラストコールの議論では、1000通を超える電子メールが寄せられた。全体的なメッセージについては幅広い合意があったが、多くのIETF参加者は、RFCシリーズとIETFプロセスにこのメッセージを明記することは議論の余地があると考えた。いずれにせよ、BCPは2014年5月に公表された。ラフ・コンセンサスが得られた重要な声明はRFC 7258の抄録にあり、”Pervasive monitoring is a technical attack that should be mitigated in the design of IETF protocols, where possible. “と書かれている。この文書はその後、セキュリティとプライバシーに関する追加作業を正当化するものとして、多くのIETFワーキンググループとRFCによって参照されている[Refs-to-7258]。その期間とそれ以降も、スノーデンの暴露の影響は、IETFの主要な技術管理組織であるIABとIESG（私は当時その委員を務めていた）の両方にとって、主要かつ継続的な議題であり続けた。

ここまでは、IETFが攻撃に対処したプロセスについて述べたに過ぎないが、もちろん、IETFの参加者が少なくとも部分的にはスノーデンの暴露を動機として開始した技術的作業も多くあった。

2013年11月、アプリケーションでTLS[Transport Layer Security]を使用するためのより良いプラクティスを文書化するためのワーキンググループが設立され[UTA]、TLSのストリッピングや TLS APIやパラメータの誤用に関連するいくつかの攻撃に直面しても、デプロイメントがより危険にさらされないようにした。同様の作業は、後にCURDLE Working Group [CURDLE]で、他のプロトコルにおける暗号の使用を推奨する勧告を更新するために行われた。CURDLE Working Groupは、IRTF Crypto Forum Research Group [CFRG]によって文書化された新たな楕円曲線のセットを使用可能にするために設立された。この作業は、NISTの乱数生成器がNSAの攻撃に対して脆弱な出力を生成するように故意に設計されたDUAL_EC_DRBGの大失敗[Dual-EC]（後述）の後、NIST標準で定義された楕円曲線に対する（おそらく最終的には根拠のない）懸念が動機の一部となっていた。

TLS 1.2およびそれ以前のバージョンの実装が、長年にわたってさまざまな攻撃に対して脆弱であることが示されてきたことを懸念して、TLSの新バージョンを開発する作業が2014年に開始された。TLS 1.3[RFC8446]を開発するための作業は、ネットワークの観測者により少ない情報を公開するように、ハンドシェイクの多くを暗号化することも目的としていた。これは、スノーデンの暴露のかなり直接的な結果である。この点でTLSをさらに改善する作業は、現在のTLSに存在する最後のプライバシー・リークの1つを取り除くために、いわゆるEncrypted Client Hello（ECH）メカニズム[TLS-ECH]を用いて今日も続けられている。

ECHの取り組みは、DNS over TLS（DoT）[RFC7858]またはDNS Queries over HTTPS（DoH）[RFC8484]を使用してDNSトラフィックを暗号化する重要な開発によって可能になった。それ以前は、DNSデータや（より重要な）DNSデータにアクセスする行為に関して、プライバシーはあまり考慮されていなかった。DNSトラフィックを暗号化する動きは、インターネットにとって重要な変化を意味する。それは、平文を減らすという点でも、コントロールのポイントを移動させるという点でも同様である。後者の側面は議論の的であったし、今もそうであるが、IETFはより良いDNSプライバシーを可能にする新しいプロトコルを定義するという仕事をした。HTTPバージョン2[RFC9113]とQUIC[RFC9000]に関する取り組みは、少なくともトランスポートレイヤー以上では、常に暗号化プロトコルを新しい標準とするIETFの流れをさらに示している。

例えば、新しいMPLS暗号化メカニズム[MPLS-OPPORTUNISTIC-ENCRYPT]を定義する試みは、関心の低さと、すでに配備されているIEEE Media Access Control Security (MACsec)スキームの存在により頓挫した。しかし、ネットワーク上の観察者network observersを攻撃者と見なした場合、プライバシーを改善する前段階として、インターネットからクリアテキストを削除しようとする傾向はかなりはっきりしている。

もちろん、IETFはより広範なインターネット技術コミュニティの一部分を形成しているに過ぎず、スノーデンの暴露がきっかけとなったIETF以外の活動も数多くあった。そのうちのいくつかは、他の場所で開発されたより優れたセキュリティとプライバシーのメカニズムを標準化するための新たなIETF作業にも最終的につながった。

2013年、HTTPSは比較的使いやすかったにもかかわらず、ウェブはほとんど暗号化されていなかった。Let’s Encryptイニシアチブ[LE]は、ウェブを完全に暗号化する方向に持っていこうとするその目的の一環として、2015年に最初の証明書を発行し、その目標達成を支援する上で大きな成功を収めた。その後、Let’s Encryptのために開発された自動化プロトコルは、IETFのACMEワーキンググループ[ACME]で標準化された。

2013年、メールサーバー間のほとんどのメール転送は平文であり、スノーデン文書に記された攻撃のいくつかを直接可能にしていた。その後、主要なメールサービスとMTAソフトウェア開発者による多大な努力により、メールサーバー間で90%以上のメールが暗号化されるようになり、その状況を改善するために、SMTP MTA Strict Transport Security (MTA-STS) [RFC8461]など、さまざまなIETFプロトコルが定義されている。

最後に、MACアドレスは歴史的にローカルネットワーク（およびそれ以 外）から見える長期的な固定値であり、スノーデン文書[Toronto]で記録されたいくつかの トラッキング攻撃を可能にしていた。実装者、ベンダー、および IEEE 802 標準化グループは、この弱点を認識し、MAC アドレスのランダム化に関する作業を開始し、その結果、IETF の MADINAS ワーキンググループ [MADINAS] につながった。また、MACアドレスベースのIPv6インターフェイス識別子を非推奨とし、擬似ランダム識別子と一時アドレスを提唱するIETFの作業の歴史もあり、その一部はスノーデンより前のものである[RFC7217] [RFC8064] [RFC8981]。

要約すると、スノーデンの暴露の結果、IETF やその他の場所で追求された非常に大量の技術的な作業は、主に 2 つのことに集中している。1 つは、ネットワーク上の観察者から見えるプレーンテキストの量を減らすこと、もう 1 つは、デバイスやユーザの予期せぬ識別や再識別を可能にする長期的な識別子の数を減らすことである。この作業は決して完全ではないし、すべてに配備されているわけでもないが、大きな進展があり、攻撃に対する悩みの種は時間の経過とともにいくらか薄れてきたとはいえ、作業は続けられている。

このようなセキュリティとプライバシーの向上と、それが配備にもたらす変化に対する反発があることにも注意しなければならない。多かれ少なかれ、2つの陣営からの反発がある。これらの改善によって変化を余儀なくされた人々は、良くない反応を示す傾向があるが、後に適応する方法を見つける。一方、例えば、このような反暗号化アプローチは必然的に全体的なセキュリティの悪化につながると正しく主張する多くのエンジニアを前にしても、彼らが「可視性」と呼ぶものを達成し続けるためにセキュリティ強化を好まないように見える人々がいる。この種の反発で繰り返されている特徴は、[RFC1984]によく示されている。この情報提供文書は、「暗号化は悪である」という長年の議論の初期の繰り返しに対するIETFの回答として、1996年に発行された。2015年、根本的な議論は変わっておらず、今後も変わることはないとして、修正されることなく1996年のテキストがBCP（BCP 200）にアップグレードされた。

2023年の視点から上記を振り返ってみると、インターネット技術者のコミュニティとして、私たちは多くのことを正しい方向に進めたが、インターネットを利用する人々のセキュリティとプライバシーをより良く保護するために、今日なすべきことはまだまだたくさんあると思う。特に、ここ10年で爆発的に増加した監視資本主義［Zubhoff2019］に対抗するために、私たち（技術コミュニティ）はほとんど十分仕事をしていない。その理由の一つは、問題の多くがIETFのような組織の範囲外にあることだ。例えば、広告目的で人々のデータをバックエンドで強引に共有することは、インターネット・プロトコルでは軽減できない。

しかし、また、スノーデンの暴露に関して感じられた現実的な腹立たしさが、（一般的に）インターネット・エンジニアの主な雇用主の合法的だが甚大なプライバシー侵害行為に関してはほとんど感じられていないように思う。

RFC 7258が、悪意ある行為者が政府に限定されるとは考えていないことは注目に値する。個人的には、データ収集のための多くの広告業界のスキームは、広範な監視の深刻な例であり、それゆえ、可能な限り軽減されるべきインターネットへの攻撃と考えるべきだと思う。しかし、インターネットの技術コミュニティは、この10年間、明らかにそのような行動をとっていない。

このことは、インターネット・エンジニアと彼らが集う団体が、インターネットの最初の半世紀の間そうであった以上に、倫理的行動の基準を重視する必要があることを示しているのかもしれない。そして、インターネット団体の現在のリーダーたちが、この点で進歩するよう努力するのを見るのは良いことだが、この記事を書いている時点では、悲しいかな、政府の規制当局がより良い行動を強制しようとする可能性の方が高いようだ。もちろんこれは、初期のインターネットの成功の特徴であったお墨付きなしのイノベーションを阻害する規制を導入する重大なリスクを伴う。

つまり、スノーデンの暴露に対する私たちの反応は正しかったが、現在のインターネットは「もっと悪く」なっているのだ。とはいえ、人々のための真のインターネット・セキュリティとプライバシーの重要性が、最も筋金入りの資本家や政府のシグナル・インテリジェンス機関に至るまで、すべての人にとって完全に明白になるにつれ、そこに大きな変化が起こることを私は望んでいる。それはナイーブに見えるかもしれないが、私は、事実に基づいたコミュニティとして、私たち（そして最終的には私たちの雇用主）は、より少ないリスクとは現実的に可能な限りの最高のセキュリティとプライバシーを提供することを誠実に目指すことなのだ、と認識するようになる、と楽観的であり続けたい。

4. Farzaneh Badii： スノーデンの暴露はインターネット上の人権保護に役立ったか？

スノーデンの暴露が人権とインターネットに与えた影響を実証的に測定することは非常に難しい。逸話的には、私たちは、インターネット上の人権保護の中核となる技術やサービスに影響を与える支配的な規制や政策アプローチを目撃している。(欧州連合（EU）のさまざまな法律は、オンラインの安全性やデータの集中に対処することを目的としている。インターネットに影響を与える規制は他にも数多くある[Masnick2023]。) 人権を実現するための技術的・政策的問題の解決はほとんど進んでいない。スノーデンの暴露は、表現の自由、結社・集会の自由、プライバシーといった人権をサポートするためのインターネット・ガバナンスや技術的アプローチに革命を起こすことはなかった。インターネット閉鎖の数も、権威主義的な（そしてある程度民主的な）国々がインターネットを領土化しようと躍起になることも減らなかった。場合によっては、政府は、より多くのデータ主権やインターネット主権を持つべきだと主張した。おそらくこの暴露は、いくつかの技術的・政策的側面のこうした方向への進展を後押ししたのだろう。

10年前のスノーデンの暴露後、IETFのエンジニアや支持者たちはいくつかの方法で対応した。顕著な反応の一つは、Farrell と Tschofenig による BCP 文書「Pervasive Monitoring Is an Attack」 [RFC7258]の発表であった。スノーデンの暴露に対する反応は、IETF がプライバシーや監視といった問題を見失ったことを意味するものではなかった。過去にはエンジニアによる監視への抵抗の例もあった（それが人権保護にどれだけ成功したかは掘り下げない）。しかし、歴史的に見ると、多くのエンジニアは、広範囲で常習的な監視はコストがかかりすぎて現実的ではないと信じていた。今回の暴露は、それが間違いであることを証明した。

人権を重視する活動家たちも、発覚以前からIETFに関与していた。例えば、Center for Democracy and Technology (CDT)のスタッフは、IETFで仕事を請け負い（インターネットアーキテクチャ委員会のメンバーでもあった）、プライバシー保護のプロトコルやシステムを作る上での課題についてワークショップを開いていた。大規模な監視を行うために国家安全保障局によって悪用された技術的な欠点は、スノーデンの暴露以前にIETFによって認識されていた[Garfinkel1995] [RFC6462] 。2012年には、Joy LiddicoatとAvri DoriaがInternet Societyのためにレポートを書き、人権とインターネットプロトコルのプロセスと原則について幅広く議論した[Doria2012]。

おそらくスノーデンの暴露は、プライバシーや表現の自由といった重要な問題に関連する IETF とその作業に、より多くの注目を集めることになったと思われる。また、2015年7月にインターネットリサーチタスクフォース（IRTF）内の人権プロトコル検討研究グループ（HRPC）の招集を促進し、より円滑に進めるのに役立ったかもしれない。HRPC RGはもともと、Niels ten Oever（当時Article 19で働いていた）とインターネット・ガバナンス活動家のAvri Doriaが共同議長を務めていた。HRPC RGの設立趣意書には次のように記されている： 「世界人権宣言（UDHR）および市民的及び政治的権利に関する国際規約（ICCPR）で定義されているように、標準やプロトコルが人権を可能にするか、強化するか、脅かすかを研究する。」

過去10年の間に、いくつかの成功した前進では、実装された場合には、利用者のプライバシーを保護することを目的とするプロトコルの作成がなされた。こうした努力は、RFC7258に見られるIETFのコンセンサスに沿ったものであった。これらのプロトコルは、反検閲的な性質を持つこともある。いくつかの例がすぐに思い浮かぶ： 1）DNSクエリの暗号化（たとえばDNS over HTTPS）、2）Let’s Encryptイニシアチブを支えるACMEプロトコル、3）Registration Data Access Protocol（RDAP）[RFC7480][RFC7481][RFC8056][RFC9082][RFC9083][RFC9224]などである。(RDAPがスノーデンの暴露と関係があったかどうかは議論の余地があるが、それでも良い例であり、最終的に実装されつつある)。

DNS Queries over HTTPSプロトコルは、DNSクエリを暗号化することを目的としていた。RFC7258から4年後、DoHは、DNSクエリの能動的・受動的監視に取り組むために開発された。これは、検閲に対抗するためのツールでもある。暴露される前であれば、DNSクエリのプライバシーは高価であるとか不要であるといった理由で物議を醸していただろうが、スノーデンの暴露により、より妥当性が増した。Let’s Encryptはインターネットプロトコルではなかったが、ウェブを暗号化することを目的としたイニシアチブであり、後に自動化プロトコルの一部がIETF ACMEワーキンググループで標準化された。RDAPは、ドメイン名登録者（およびIPアドレス所有者）の機密性の高い個人データを冗長化すると同時に、情報への合法的なアクセスを可能にするという、長期的な問題を解決することができる。HRPCリサーチ・グループの活動としては、これまでにten OeverとCathによる[RFC8280]や、多くの情報提供のためのインターネット草案が発表されている。

インフラレイヤーにおける人権保護を可能にするすべての動きやプライバシー保護プロトコルやイニシアチブが、スノーデンの暴露にのみ起因する、あるいは直接起因するものであるとは断言できないが、この暴露は、人権保護を可能にするインターネット・プロトコルの修正に影響を及ぼすいくつかの “技術的 “なためらいの解消を早めるのに役立ったと言って差し支えないと思う。

残念ながら、スノーデンの暴露は、人権的アプローチを採用する上で、まだ有意義な手助けにはなっていない。私たちのインターネット・コミュニティにおいて人権を優先させることについて、多くの理由から合意することができないのだ。その理由は以下の通りだ。1)人権は時に互いに対立する、2)インターネットプロトコルを通じて人権侵害を緩和することが単に不可能である、3)インターネットプロトコルが人権保護を可能にするためにどのように貢献できるか、または正確に何をすべきか、事前にエンジニアにとって明らかでない、4)プロトコルはすでに存在するが、市場、法律、および他の多くの社会的・政治的問題が、広範な実装を許さない。

IETFは、人権を実現するプロトコルの採択と実装に、意図的に長い時間をかけたわけではない。技術的、政治的な問題が障壁となったのである。例えば、WHOISが階層アクセスオプションに対応できなかったため、IETFコミュニティは、IP所有者とドメイン名登録者の必要な情報を開示し、同時に彼らのデータを保護するプロトコルを作成することを過去に何度か試みた（Cross Registry Internet Service Protocol (CRISP)と後のInternet Registry Information Service (IRIS)がその例である）。しかし、IRISの実装は技術的に非常に困難であった。Internet Corporation for Assigned Names and NumbersがレジストリとレジストラにRDAPの実装を指示し、そのコミュニティがプライバシーに準拠したポリシーを策定することを検討しなければならなくなったのは、RDAPが開発され、一般データ保護規則（GDPR）が制定されてからであった。全体として、多くの規制や市場のインセンティブが人権を可能にするプロトコルの実装を止めたり遅らせたりする可能性があり、実装はそれぞれの政治的利害関係者の対立を抱える他の組織に依存する可能性がある。プロトコルはあっても、規制の枠組みや市場が実施を許さないこともある。周囲の状況には、純粋に工学に焦点を当てた議論では見過ごされがちな、実際的な側面が含まれていることもある。

興味深い例としては、経済的に価値のある資産を含む取引を対象とする制裁制度がある。その結果、制裁は制裁を受けた国や団体のIPv4リソースへのアクセスを制限するかもしれない（これらのアドレスの再販市場が存在するため、アドレスを取得することは価値あるものを購入すると解釈されるため）が、同じ考慮はIPv6アドレスリソースには適用されないかもしれない。しかし、IPv6の採用そのものは、IPv4とIPv6の特性の技術的な比較に決して限定されない複雑な要因の数々に依存している。プロトコルの技術的な特徴だけに注目する人は、エレガントな解決策を考案するかもしれないが、導入の課題や意図しない下流への影響に驚かされるかもしれない。プロトコルの実装をめぐって議論が起こることもある。表現の自由を守り、監視を減らすことができる一方で、他の人権を阻害する可能性があると認識されているからだ。たとえば、DNS over HTTPSは検閲を回避できる可能性があり、DNSクエリを暗号化できるにもかかわらず、技術コミュニティや一部のネットワーク事業者は、その実装にいまだに疑問を抱いている。DoHの実装に反対する論拠には、オンライン上の子どもの保護や、法執行機関によるデータへのアクセスができないことなどがある。

ある権利（例えば、プライバシーの権利や監視を防止するための暗号化）を保護するために使用する技術的解決策が、他の人権を保護しようとする技術的・政策的解決策に影響を与える可能性があることを認めなければならない（例えば、暗号化によって、金融機関が不正行為を検出するために従業員のネットワーク活動を監視することができなくなる可能性がある）。このような矛盾を認識し、特定することは、暗号化などの他の技術的解決策を妨げずに、人権を保護しうる代替技術を考え出すのに役立つ。そのような代替技術が不可能な場合、その欠点を認めることで、私たちがインターネット・システムにおいて受け入れてきたトレードオフを明確にし、明るみに出すことができる。

皮肉なことに、私たちはコネクティビティを提唱し、インターネット上で自己表現することは人権であると信じているが、戦争が勃発すると、私たちはまさにその概念にインパクトを与えるツールに訴える。例えば、インターネットの重要なプロパティに制裁を課すことで、戦争の加害者を罰することができると考える人もいる。IPアドレスの登録を担当する地域インターネットレジストリは、このような要求に対して抵抗力を示してきた。しかし、一部のハイテク企業（例えば、Cogent [Roth2022]）は、制裁対象国にサービスを提供しないことを決定し、制裁に過剰に応じた。制裁の過剰遵守は、一般の人々のインターネットへのアクセスを妨げる可能性がある [Badii2023]。

おそらく、インターネット・プロトコルが人権にどのような影響を与えるのか、そしてなぜ影響を与えるのかを明らかにするために、徹底的な影響評価と文脈の解明を行うことで、これらの問題のいくつかを解決することができるだろう（フィドラーと私が主張したこと[Badii2021]）。文脈化とインパクト・アセスメントによって、それぞれのインターネット・プロトコルやコードの一行一行が、どのシステムにおいて、誰の人権にどのような影響を与えるのかを明らかにすることができる。

HRPC RG（私はその一員である）や、より大きな人権・政策アナリストのコミュニティは、何が影響を及ぼし、何を変えなければならないかを充分に理解するために、プロトコルと並行して法的、社会的、市場的要因を分析することにいまだに苦心している。困難ではあるが、不可能ではない。もし私たちがインターネット・プロトコルのライフサイクルを徹底的に文書化し、調査し、それを文脈化すれば、人権を守るためにプロトコルのどの部分をどのように修正すべきか、よりよく理解できるかもしれない。

全体として、今回の暴露はある程度、私たちの考えや視点の進化に貢献した。私たちの次のステップは、インターネット・システム（インターネット・プロトコルを含む）が人権に与える影響について調査を行い、政策やアドボカシー活動を通じて人権に配慮したプロトコルの実装を促進し、人権を保護するインターネット・プロトコルのより広範な実装を支援するために、どの技術部分を標準化できるかに焦点を当てることである。

5. Steven M. Bellovin: 政府と暗号： 暗号戦争

5.1. 歴史的背景

世界の多くの政府は、人々がトラフィックを暗号化することを好まない。より正確には、政府は自分たちに対しては強力な暗号を好むが、他者（それが民間人であれ他国であれ）に対しては好まないのだ。しかし、歴史はもっと長く複雑だ。

文字で書かれた歴史の大半において、政府も個人もメッセージを保護するために暗号を使用してきた。有名な例を挙げれば、ジュリアス・シーザーはアルファベットの文字を3ずつずらしてメッセージを暗号化したと言われている[Kahn1996]。現代風に言えば、3が鍵で、各文字は次のように暗号化された。

 C[i] = (P[i] + 3) mod 23

( 彼の時代のラテンアルファベットは23文字しかなかった。) 暗号解読に関するアラビア語の文献は少なくとも8世紀まで遡る。9世紀には、Abu Yūsuf Yaʻqūb ibn ʼIsḥāq aṣ-Ṣabbāḥ al-Kindīが暗号を解読する方法として頻度分析frequency analysisを開発し、それについて書いている[Borda2011] [Kahn1996] 。

しかし、最低限の識字率しかなかった時代には、ほとんどの人が読み書きができなかったため、暗号の利用はそれほど多くなかった。政府は外交メッセージに暗号を使用し、暗号解読者がそのすぐ後に続いた。ルネサンス時代の有名なBlack Chambersは様々な政府からのメッセージを読み取り、一方で初期の暗号学者たちはより強力な暗号を考案していった[Kahn1996]。エリザベス朝時代のイギリスでは、フランシス・ウォルシンガム卿の諜報機関がスコットランドの女王メアリーからのメッセージを横取りし、解読した。これらのメッセージは彼女に不利な有力証拠となり、最終的に彼女の処刑につながった[Kahn1996]。

このパターンは何世紀にもわたって続いた。アメリカでは、トーマス・ジェファーソンが18世紀後半にいわゆるホイール暗号を発明した。それは約100年後にエティエンヌ・バゼリーズによって再び考案され、第二次世界大戦までアメリカの標準的な軍事暗号として使われた[Kahn1996]。ジェファーソンをはじめとする18世紀後半から19世紀初頭の政治家たちは、互いに連絡を取り合う際に暗号を常用していた。暗号化されたメッセージは、アーロン・バーの1807年の反逆罪の裁判で提出された証拠の一部にもなっている [Kerr2020] [Kahn1996]。エドガー・アラン・ポー（Edgar Allan Poe）は、自分宛に送られたメッセージはすべて暗号解読できると主張していた[Kahn1996]。

電信時代は、さらにそのレベルを上げた。アメリカでは、サミュエル・モースがボルティモアとワシントンの間に最初の電信回線を敷設したわずか1年後に、彼のビジネスパートナーであったフランシス・スミスは、顧客が詮索好きな目から通信を保護するためのコードブックを出版した[Smith1845]。1870年、イギリスは国内の電信網を国有化し、これを受けてロバート・スレーターがより洗練されたコードブックを発表した[Slater1870]。政府側では、イギリスは世界の国際電信網の中心的なノードとしての立場を利用して、国内を通過する大量のトラフィックを読み取っていた[Headrick1991] [Kennedy1971] 。彼らはこの能力を戦略的にも利用した。1914年に戦争が勃発したとき、イギリス海軍はドイツの海底電信ケーブルを切断し、無線を使わざるを得なくした。いわゆるジマーマン電報の傍受は、暗号解読された時点で、間違いなくアメリカの参戦、ひいてはドイツの敗北につながった。アメリカが戦争に参戦すると、アメリカは国際電信線の利用者に対し、検閲官がメッセージに禁止されている内容がないかチェックできるように、圧縮に使用するコードブックのコピーを預けるよう要求した[Kahn1996]。

ビクトリア朝時代のイギリスでは、民間人（恋人同士であることが多い）が、親に知られずに通信するために、新聞の個人欄で暗号を使っていた。チャールズ・ウィートストンとチャールズ・バベッジは、自分たちの娯楽のために、日常的にこれらの初歩的な暗号を解いていた[Kahn1996]。

このパターンは長年続いた。政府は定期的に暗号やコードを使用し、他国はそれを解読しようとした。個人は暗号を使用することもあったが、頻繁に使用することはなく、うまく使用できることもまれだった。しかし、2つの世界大戦は大きな変化をもたらし、それはやがて民間の世界にも波及することになる。

第一次世界大戦では、すべての当事国が莫大な兵力を移動させた。そのため、多くの場合、電信や無線による暗号化された通信が必要となった。このため、電信や無線による暗号化された通信が大量に必要とされた。これらのメッセージは、しばしば簡単に大量に傍受された。さらに、大量の平文を暗号化することが困難であったため、ドイツの有名なエニグマ機など、さまざまな機械的暗号化装置が開発された。第二次世界大戦はこの2つの傾向を増幅させた。第二次世界大戦はまた、イギリスのボンベス（ポーランドの初期の設計から派生）やコロッサス・マシン、日本のパープル・システムを解読したアメリカの装置など、機械支援による暗号解読を生み出した。アメリカはまた、日本帝国海軍のJN-25[Kahn1996] [Rowlett1998]のような他の日本の暗号の解読を支援するために、パンチカードベースの集計機を使用した。

これらの開発は、戦後のSIGINT（シグナルズ・インテリジェンス）環境の舞台を整えた。多くの政府内メッセージは無線で送信され、傍受が容易であった。高度な暗号解読機が暗号解読を容易にした。しかし、暗号はますます強力になるが、政府のSIGINT機関はデータへのアクセスを諦めるつもりはなかった。多くの開発があったことは間違いないが、よく知られているのは2つだ。

1つ目は、スウェーデン（後にスイス）の暗号化機器メーカーであるCryptoAG社に関するものだ。その会社のトップ、ボリス・ヘーゲリンは、アメリカの暗号学者の先駆者であるウィリアム・F・フリードマンの友人だった。1950年代、CryptoAGはその装置を他の政府に販売していた。明らかにフリードマンの命令で、ヘーゲリンはNSAがトラフィックを読めるように暗号化を弱めた[Miller2020]。

イギリスに関する物語は、あまり文書化されておらず、明確でもない。イギリスの旧植民地のいくつかが独立したとき、イギリス政府は自分たちのトラフィックを保護するために、戦争で余ったエニグマ機を捕獲して彼らに与えた。ある著者は、旧植民地はイギリスがエニグマで保護されたトラフィックを読むことができることを知らなかったという点で、これは欺瞞であったと主張する一方、他の著者は、これは明らかなことであったが、これらの国々はそのことを気にしなかったと主張している。イギリスはもはや彼らの敵ではなく、彼らが心配していたのは近隣諸国だったのだ。しかし、繰り返すが、これは政府による暗号の使用に関するものである [Kahn1996] [Baldwin2022] 。民間での利用はまだほとんどなかった。

5.2. 暗号戦争の始まり

プライバシーを求める個人の欲求と、トラフィックを読みたいという政府の欲求が対立する現代という時代は、1972年頃に始まった。ソ連の穀物収穫が不作に終わり、ソ連とアメリカの関係が一時的に比較的良好だったため、ソ連の穀物会社（もちろんソ連政府の一部門である）がアメリカの民間企業と交渉に入った。当時アメリカ人は知らなかったが、ソ連の諜報機関はアメリカの交渉チームの電話を傍受していた。つまり、民間企業は脅威として国家権力者と取引しなければならなかったのだ。やがてアメリカの諜報機関はこのことを知り、アメリカの国益を守るためには民間企業にも強力な暗号技術が必要だという考えに至った[Broad1982] [Johnson1998]。このことは、アメリカの民間トラフィックを保護するために強力な暗号が必要であることを明確にしたが、SIGINTの人たちは、自分たちが解読できない暗号が増えることに不満を抱いた。

一方、米国は非機密データの保護について懸念していた [Landau2014]。1973年、そして1974年にも、国家標準局（NBS）は強力で最新の暗号化アルゴリズムを募集した。IBMが提出したLuciferは、16ラウンドのFeistelネットワークとして知られるようになったものをベースとする社内開発アルゴリズムであった。オリジナルのバージョンは長いキーを使っていた。かなり強力に思えたので、NBSはそれをNSAに送り、彼らの意見を聞いた。1976年にデータ暗号化標準Data Encryption Standard（DES）として採用された最終的な設計は、Luciferとはいくつかの重要な点で異なっていた。まず、DESの暗号強度の源泉であるいわゆるSボックスが変更され、明らかにランダムな整数で構成されないものになった。多くの研究者が、SボックスにはNSAのバックドアが隠されていると主張した。S-ボックスは弱体化されたのではなく、強化された、ということがほぼ20年後にわかった。おそらくIBMが独自に発見した攻撃であろうが、現在では差分暗号解読として知られているものが発見された。これをNSAが教えたと疑う学者もいる。非ランダムS-Boxはこの攻撃を防いだのである。2 つ目の変更は、明らかにNSAが主張したもので、鍵のサイズがLuciferの112ビットからDESの56ビットに短縮された。NSAは48ビットの鍵サイズを望み、IBMは64ビットを望んでいた。

スタンフォード大学のWhitfield DiffieとMartin Hellmanは56ビットの鍵に疑問を持った。1979 年、彼らは論文を発表し、米国政府は、他にはほとんどないが、ブルートフォース・クラッキング・マシン（メッセージを解読するために可能な256個のキーをすべて試すことができるマシン）を作るだけの能力があることを証明した。上院の調査委員会は、この主張が正しいことを認めたが、鍵の長さが短くなったことについては議論しなかった。

しかし、これはDiffieとHellmanの暗号学への最大の貢献ではなかった。その数年前、彼らは現在公開鍵暗号として知られているものを発明する論文を発表していた。(実際には、公開鍵暗号はその数年前に英国政府通信本部(GCHQ)で発明されていたが、彼らは1997年までその発見を機密扱いにしていた) 1978年、Ronald Rivest、Adi Shamir、Leonard Adlemanの3人がRSAアルゴリズムを考案し、これを使用可能にした。( あるNSA職員が独断で、暗号学に関する学術会議は米国の輸出法に違反する可能性があると警告する書簡を送った)

同じ頃、ウィスコンシン大学のGeorge Davidaがストリーム暗号の特許を申請し、NSAから秘密保持命令が出された。これによって彼は自分の発明について話すことさえ禁じられた。評判は最悪で、NSAは手を引かざるを得なかった。

こうして暗号戦争が始まった。市民が強力な暗号システムを発明し、NSAがそれを改ざんしたり、弾圧しようとしていたのだ。当時NSAの長官だったBobby Inmanは、学術論文の自主的な審査プロセスを作ろうとしたが、参加しようとする研究者はほとんどいなかった[Landau1988]。

1980年代は、民間暗号の新しい主要なユースケースがほとんどなかったため、公の場での大きな争いはほとんどなかった。しかし、1つだけ注目すべき事件があった。 Shamir、Amos Fiat、Uriel Feigeの3人がゼロ知識証明を発明し、米国特許を申請したのだ。これに対し、米軍は特許に秘密保持命令を出した。世論の大きな憤慨と、あらゆる組織の中でも特にNSAによる介入の後、この命令は、発明者たちはアメリカ人ではなく、彼らは世界中で自分たちの研究について議論していたという非常に限定的な理由で解除された。[Landau1988]。

しかし1990年代に入ると、すべてが変わった。

5.3. 戦いが始まった

1990年代初頭、暗号技術には3つの大きな動きがあった。まず、Phil Zimmermannが電子メールメッセージを暗号化するパッケージ、PGP（Pretty Good Privacy）をリリースした。1993年、AT&Tは出張者向けの使いやすい電話暗号化装置TSD-3600の発売を計画した。その直後、ネットスケープ・コミュニケーションズ・コーポレーションは、自社のブラウザーとウェブサーバーを使ったウェブベースの商取引を可能にする方法としてSSL（セキュア・ソケット・レイヤー）をリリースした。NSAとFBIはこれらすべてを脅威とみなした。

PGPは、少なくとも間違いなく、ITAR（国際武器取引規制）として知られるものの対象になっていた。アメリカの法律では、暗号化ソフトウェアは武器とみなされていたため、輸出にはライセンスが必要だったのだ。またこれは、RSAアルゴリズムの特許を侵害しているとの主張もあった。言うまでもなく、この2つの問題は、オープンソースソフトウェアであることを意図したものにとって問題であった。結局、PGPを海外に広めたZimmermannの役割に関する犯罪捜査は取り下げられたが、このような捜査の脅しは他の人々を抑止し続けることになった[Levy2001]。

これとは別にTSD-3600の問題があった。AT&Tは大企業であり、米国政府と争うことは避けたかったが、海外出張者はこのデバイスの主要な市場であると考えられていた。政府の “要請 “により、DESチップはクリッパー・チップと呼ばれるものに置き換えられた。クリッパー・チップはSkipjackという80ビットのキーを持つ暗号を使用していたため、ブルートフォース攻撃に対してはDESよりはるかに強かった。しかし、クリッパー・チップは ” key escrow ” を提供するものであった。詳細は省くが、このキー・エスクロー・メカニズムにより、米国政府の盗聴者は一対の（おそらく安全な）内部データベースを参照し、チップで保護されたすべての通信を解読することができた。クリッパーチップは産業界から非常に不評であることがわかった。AT&Tベル研究所のMatt Blazeが設計上の弱点を発見し[Blaze1994]、キーエスクロー機能なしでSkipjackを使えるようにしたが、その評判を取り戻すことはできなかった。

3番目の主要な開発であるSSLは、さらに厄介なものだった。SSLは電子商取引を対象としており、もちろんNetscapeはその製品を米国外で販売できるようにしたかった。それは、輸出許可証が必要であったため、彼らは政府と協定を結んだ。アメリカ人以外のユーザーには、NSAが20年前に合意したものよりはるかに短い40ビットのキーを使用するバージョンを提供するというものだった。(話を先取りすると、輸出グレードのブラウザが金融機関と通信する際に強力な暗号を使用できるという妥協的な動作モードもあった。このハイブリッド・モードは、約20年後に発見された暗号の弱点につながった[Adrian2015]）。

技術者とアメリカの産業界は反発した。IETFは[RFC3365]に記述されているDanvers Doctrineを採用した：

1995年4月にマサチューセッツ州ダンバースで開催された32cd [sic] IETFで、IESGはIETF標準が提供すべきセキュリティの強さについてコンセンサスを得るよう総会に求めた。IETFの当面の課題は、「輸出」グレードのセキュリティ（つまり弱いセキュリティ）を標準規格でサポートするかどうかであったが、この問題はセキュリティ全般に関する一般的な問題を提起するものであった。

圧倒的なコンセンサスは、国の政策に関係なく、IETFは利用可能な最高のセキュリティを使用することを標準化すべきだというものだった。このコンセンサスはしばしば「Danvers Doctrine（ダンバース・ドクトリン）」と呼ばれる。

その後、アメリカの企業は、アメリカの輸出法を遵守する必要のない海外の競合他社にビジネスを奪われ始めた。そして、アメリカ政府は暗号ソフトウェアの輸出規制を大幅に緩和した。すべてはうまくいった――そう思われたのだが……。

5.4. 隠された戦い

強力な暗号技術が普及し、もはやアメリカの専売特許ではなくなっていた。NSAの情報保証部門Information Assurance Directorate（米国のデータを保護する役割を担う部門）は、強力な暗号の普及を喜んでいた。Advanced Encryption Standard (AES)のコンペティションが開催されたとき、NSAの悪意ある干渉という疑惑はなかった。実際、優勝したのは2人のヨーロッパ人、Joan DaemenとVincent Rijmenが考案したものだった。しかし、NSAとそのSIGINTのニーズがなくなったわけではない――NSAは他の技術を採用しただけなのだ。

私はしばしば、人は強力なセキュリティーを突破するのではなく、それを回避するのだと指摘してきた。強力な暗号化がより一般的になり、より必要とされるようになったとき、NSAはコンピュータとそれが実行するソフトウェアを標的にすることで、それを回避し始めた。そして、彼らがAESをかなり強力なものだと信じているのは明らかなようだ。彼らは最高機密情報の保護にAESを使うことを推奨しているからだ。しかし、そのお墨付きにはアスタリスクがついている。つまり、 AESは、適切に使用され、実装された場合にのみ適している。そこに問題がある。

外部の暗号メカニズムに手を加えようとした最初の明らかな試みは、2007年に発見された。マイクロソフト社の研究者、Dan ShumowとNiels Fergusonの2人が、NIST標準の乱数生成器DUAL_EC_DRBGの奇妙な性質に注目したのだ。(NBSはNIST（米国国立標準技術研究所）に改名されていた）。乱数は暗号化には不可欠であるが、ShumowとFergusonは、DUAL_EC_DRBGの特定の定数を、既知であるが隠されている他の数と一緒に特定の方法で選択した場合、その数を知っている人は誰でも、いくつかの開始されるサンプルバイトが与えられたシステムから将来のすべての乱数を予測できることを示した[Kostyuk2022]。このサンプルバイトは、既知の鍵やnonces[使い捨て乱数データ]など、他のものから得ることができる。DUAL_EC_DRBGの定数はどこから来て、どのように選択または生成されたのだろうか？知っている人は誰もいない。ブルース・シュナイアーは、より多くの事実が明らかになる前の2007年に、「NISTもNSAも説明する必要がある」と書いている。私は学生たちにこのトピックに関する読書を課したが、この問題が実際に注目を集めるようになったのは、それから6年後、エドワード・スノーデンが公開した論文の中に、公開されたレポートにはDUAL_EC_DRBGの具体的な名前やその目的が何であったかの説明はなかったものの、NSAが実際に主要な暗号標準に手を加えていたという情報が含まれていた。

暴露はそれだけにとどまらなかった。DUAL_EC_DRBGを自社製品に使用するようNSAがいくつかの企業に金を支払ったという疑惑がある。乱数発生器を悪用するために、IETFの標準規格の一部を修正して、乱数バイトを十分に可視的にしようとしたとの主張もある。ネットワーク機器の大手ベンダーであるJuniperは、一部の製品でDUAL_EC_DRBGを使用していたが、定数は異なっていた[Checkoway2016]。これはどこから来たのだろうか？NSAか他の政府から来たのだろうか？ソース・ツリーは諜報機関によってハッキングされたのだろうか？ほぼ同時期に、彼らのコードには別のハッキングがあった[Moore2015]。誰も口を開いていない。

スノーデンの暴露には、NSAが世界規模の盗聴ネットワークを持っていたことを示唆するデータや、極めて特定の標的のシステムに対して、極めて具体的な標的型ハッキングを試みたグループも含まれていた。振り返ってみれば、どちらも驚くべきことではない。「スパイはスパイする」のだ。NSAの仕事はシグナル・インテリジェンスであり、トラフィックを傍受しようとするのは当然だ。実際、DUAL_EC_DRBGの改ざんは、復号化するためにメッセージを収集していない人には役に立たない。そして、標的型ハッキングは強力な暗号化を回避する自然な方法である。暗号化される前、あるいは復号化された後のデータを収集するので、アルゴリズムの強度を気にする必要はない。

世界中のプライバシー・コミュニティは愕然とした。映画『カサブランカ』（カーティス監督）[Curtiz]でクロード・レインズが口にした台詞が思い出される。「私はショックだ、こんなところでギャンブルが行われていると知ってショックだ」。直ちに、そしてその後続いた対応は、より多くの暗号化を導入することだった。標準は以前から存在していた。一つの障壁は、SSLの後継であるTLSで使用する証明書を取得することの難しさと費用だった。その空白は、無料の証明書をオンラインで簡単に取得できるようにしたLet’s Encrypt [LE]によって埋められた。今日、ほとんどのHTTPトラフィックは暗号化されており、Googleの検索エンジンは、TLSを使用していないサイトのランクを下げているほどだ。主要な電子メール・プロバイダーは、すべてのトラフィックを保護するために一様にTLSを使用している。Wi-Fiは、ローカルエリアの問題ではあるが、現在でははるかに強力な暗号化を使用している。(セキュリティーとインセキュリティーには経済的な要素があることを忘れてはならない。セキュリティが完璧でなくても、攻撃者のコストを十分に引き上げることができれば、非常に有効なのだ)。

ソフトウェアの面では、あまり良いニュースはない。ランサムウェアに襲われた組織のニュースを目にしない日はない。ディスクを暗号化できる脅威者は、ディスク上の情報を盗むこともできることは言うまでもない。実際、ディスク公開の脅威は、十分なバックアップをとるためにお金を払うという別の動機を生むことにになるため、サイトでは、これに付随する作業が頻繁に行われている。大手ベンダーはソフトウェアの安全性確保に力を注いでいるが、エンドユーザー・サイトによるバグや操作ミスは後を絶たない。

5.5. IETFはどこへ行くのか？

NSAだけでなく、世界中の同業者――ほとんどの主要国には独自のものがある――の情報機関がなくなることはないだろう。NSAを悩ませてきた課題は、そうした機関すべてに共通するものであり、その解決策もおそらく同じだろう。問題は、個人のプライバシーを守るために何をすべきかである。オーストラリアやイギリスなど、多くの強力な民主主義国家が、暗号戦争の再開に伴い、暗号化を制限しようと動き出している。FBIやその他の法執行機関からのクレームに刺激され、米国議会も同様の法案を頻繁に検討している。

IETFは、強力でユビキタスな暗号化に長い間コミットしてきた。これは良いことだ。暗号やその他のセキュリティ機能を最初からプロトコルに設計し、継続する必要がある。しかし、メンテナンスも必要だ。鍵の長さやモジュラスの大きさといったパラメータは古くなる。現在許容できる値が10年後には許容できないかもしれない。(RFCで指定された1024ビットのモジュラスによる明らかな問題を、私たちはすでに目にしている。このRFCは、技術が十分に向上し、それに基づく暗号化攻撃が実現可能になっても修正されなかった[Adrian2015])。IETFは、ベンダーが出荷するコードやサイトが使用するコードについては何もできないが、状況が変化したと考えていることを世界に警告することはできる。

Cryptoagility[訳注]の重要性はますます高まっている。今後数年のうちに、いわゆるポスト量子アルゴリズムが登場するだろう。プロトコルも鍵の長さも、おそらく劇的に変える必要があるだろう。IETFは準備ができているのだろうか？例えば、DNSSECの鍵長が劇的に長くなった場合、DNSSECはどうなるのだろうか？後方互換性は重要であり続けるだろうが、それはもちろん他の攻撃への扉を開くことになる。われわれは長い間、こうした攻撃について考えてきた。われわれの メカニズムが機能することを確認する必要がある–われわれは過去に驚かされた [BellovinRescorla2006]。

(訳注)あるシステムにおいて使用する従来の暗号方式から、システムインフラやプロセスに大きな変更を加えることなく、いかに容易に代替の暗号方式に置き換えることができるかどうかという性質を意味します(「耐量子計算機暗号へのアルゴリズム移行時の留意点は？」)

メタデータについてももっと心配する必要がある。NSAとCIAの元長官であるMichael Hayden将軍は、かつて「我々はメタデータに基づいて人を殺す」と発言した［Ferran2014］。メタデータを隠そうとすると、副作用が生じる可能性がある。些細な例を挙げると、Torは非常に強力だが、出口ノードがあなたがいる国とは異なる国にある場合、IPジオロケーションを使用するウェブサイトは、あなたにとって外国語でコンテンツを表示する可能性がある。既知のTor出口ノードからの接続をブロックするサイトさえある。より一般的には、メタデータを隠そうとする多くの試みは、別の当事者を信頼することを伴う。その当事者は信頼できないことが判明するかもしれないし、それ自体が攻撃の標的になるかもしれない。別の著名なIETF関係者が述べているように、「セキュリティはエントロピーのようなもので、破壊することはできないが、移動させることはできる」。IETFは多くのことをやってきた。そして、ここでのリスクは、直接行動する政府だけでなく、データを収集し、それをあらゆる人に販売する民間企業にもあることを忘れてはならない。

最後に、IETFはそのミドルネームが「エンジニアリング」であることを忘れてはならない。私にとって、エンジニアリングの特質のひとつは、制約の多い環境で正しい解決策を選ぶ技術である。諜報機関はなくならないし、暗号技術に対する国の制限もなくならない。私たちは原則に忠実でありながら、正しい道を選ばなければならない。

6. セキュリティに関する留意事項

それぞれの、あるいは執筆者の誰かが、物事を忘れたり、省略したり、間違ったりしているかもしれない。そうであれば申し訳ないが、それはこのような振り返りの性質上仕方がない。しかし、そのような欠陥がセキュリティやプライバシーを悪化させることはほとんどないだろう。

7. IANAに関する考察

本文書にはIANAアクションは含まれていない。

8. 参考文献

[ACME]

IETF, “Automated Certificate Management Environment (acme)”, <https://datatracker.ietf.org/wg/acme/about/>.

[Adrian2015]

Adrian, D., Bhargavan, K., Durumeric, Z., Gaudry, P., Green, M., Halderman, J. A., Heninger, N., Springhall, D., Thomé, E., Valenta, L., VanderSloot, B., Wustrow, E., Zanella-Béguelin, S., and P. Zimmermann, “Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice”, CCS ’15: Proceedings of the 22th ACM Conference on Computer and Communications Security, October 2015, <https://dl.acm.org/doi/10.1145/2810103.2813707>.

[Badii2021]

Badiei, F., Fidler, B., and The Pennsylvania State University Press, “The Would-Be Technocracy: Evaluating Efforts to Direct and Control Social Change with Internet Protocol Design”, Journal of Information Policy, vol. 11, pp. 376-402, DOI 10.5325/jinfopoli.11.2021.0376, December 2021, <https://doi.org/10.5325/jinfopoli.11.2021.0376>.

[Badii2023]

Badiei, F., “Sanctions and the Internet”, Digital Medusa, 2023, <https://digitalmedusa.org/wp-content/uploads/2023/05/SanctionsandtheInternet-DigitalMedusa.pdf>.

[Baldwin2022]

Baldwin, M., “Did Britain sell Enigmas postwar?”, Dr. Enigma, March 2022, <https://drenigma.org/2022/03/02/did-britain-sell-enigmas-postwar/>.

[BellovinRescorla2006]

Bellovin, S. M. and E. K. Rescorla, “Deploying a New Hash Algorithm”, Proceedings of NDSS ’06, February 2006, <https://www.cs.columbia.edu/~smb/papers/new-hash.pdf>.

[Blaze1994]

Blaze, M., “Protocol Failure in the Escrowed Encryption Standard”, CCS ’94: Proceedings of Second ACM Conference on Computer and Communications Security, 1994, <https://dl.acm.org/doi/10.1145/191177.191193>.

[Borda2011]

Borda, M., “Fundamentals in Information Theory and Coding”, Springer-Berlin, May 2011.

[Broad1982]

Broad, W. J., “Evading the Soviet Ear at Glen Cove”, Science, 217:4563, pp. 910-911, September 1982, <https://www.science.org/doi/abs/10.1126/science.217.4563.910>.

[CFRG]

IRTF, “Crypto Forum (cfrg)”, <https://datatracker.ietf.org/rg/cfrg/about/>.

[Checkoway2016]

Checkoway, S., Maskiewicz, J., Garman, C., Fried, J., Cohney, S., Green, M., Heninger, N., Weinmann, R. P., Rescorla, E., and Hovav Shacham, “A Systematic Analysis of the Juniper Dual EC Incident”, CCS ’16: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, pp. 468-479, October 2016, <https://dl.acm.org/citation.cfm?id=2978395>.

[CURDLE]

IETF, “CURves, Deprecating and a Little more Encryption (curdle)”, <https://datatracker.ietf.org/wg/curdle/about/>.

[Curtiz]

Curtiz, M., Epstein, J. J., Epstein, P. G., and H. Koch, “Casablanca”, Warner Bros. Pictures, November 1942.

[Doria2012]

Liddicoat, J. and A. Doria, “Human Rights and Internet Protocols: Comparing Processes and Principles”, The Internet Society, December 2012, <https://www.internetsociety.org/resources/doc/2012/human-rights-and-internet-protocols-comparing-processes-and-principles/>.

[Dual-EC]

Bernstein, D., Lange, T., and R. Niederhagen, “Dual EC: A Standardized Back Door”, July 2016, <https://eprint.iacr.org/2015/767.pdf>.

[Ferran2014]

Ferran, L., “Ex-NSA Chief: “We Kill People Based on Metadata””, ABC News, May 2014, <https://abcnews.go.com/blogs/headlines/2014/05/ex-nsa-chief-we-kill-people-based-on-metadata>.

[Garfinkel1995]

Garfinkel, S., “PGP: Pretty Good Privacy”, O’Reilly and Associates, January 1995.

[Guard2013]

Greenwald, G., “NSA collecting phone records of millions of Verizon customers daily”, The Guardian, June 2013.

[Headrick1991]

Headrick, D. R., “The Invisible Weapon: Telecommunications and International Politics, 1851-1945”, Oxford University Press, 1991.

[Johnson1998]

Johnson, T. R., “American Cryptology During the Cold War, 1945-1989; Book III: Retrenchment and Reform, 1972-1980”, Center for Cryptologic History, NSA, 1998, <https://www.nsa.gov/portals/75/documents/news-features/declassified-documents/cryptologic-histories/cold_war_iii.pdf>.

[Kahn1996]

Kahn, D., “The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet”, 2nd Edition, Scribner, 1996.

[Kennedy1971]

Kennedy, P. M., “Imperial cable communications and strategy, 1870-1914”, English Historical Review, 86:341, pp. 728-752, Oxford University Press, October 1971, <https://www.jstor.org/stable/563928>.

[Kerr2020]

Kerr, O. S., “Decryption Originalism: The Lessons of Burr”, Harvard Law Review, 134:905, January 2021, <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3533069>.

[Kostyuk2022]

Kostyuk, N. and S. Landau, “Dueling over DUAL_EC_DRBG: The Consequences of Corrupting a Cryptographic Standardization Process”, Harvard National Security Journal, 13:2, pp. 224-284, June 2022, <https://www.harvardnsj.org/wp-content/uploads/sites/13/2022/06/Vol13Iss2_Kostyuk-Landau_Dual-EC-DRGB.pdf>.

[Landau1988]

Landau, S., “Zero Knowledge and the Department of Defense”, Notices of the American Mathematical Society, 35:1, pp. 5-12, January 1988, <https://privacyink.org/pdf/Zero_Knowledge.pdf>.

[Landau2014]

Landau, S., “Under the Radar: NSA’s Efforts to Secure Private-Sector Telecommunications Infrastructure”, Journal of National Security Law & Policy, 7:3, September 2014, <https://jnslp.com/wp-content/uploads/2015/03/NSA%E2%80%99s-Efforts-to-Secure-Private-Sector-Telecommunications-Infrastructure_2.pdf>.

[LE]

Aas, J., Barnes, R., Case, B., Durumeric, Z., Eckersley, P., Flores-López, A., Halderman, A., Hoffman-Andrews, J., Kasten, J., Rescorla, E., Schoen, S. D., and B. Warren, “Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web”, CCS ’19: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security, November 2019, <https://dl.acm.org/doi/pdf/10.1145/3319535.3363192>.

[Levy2001]

Levy, S., “Crypto: How the Code Rebels Beat the Government-Saving Privacy in the Digital Age”, Penguin Publishing Group, January 2001.

[MADINAS]

IETF, “MAC Address Device Identification for Network and Application Services (madinas)”, <https://datatracker.ietf.org/wg/madinas/about>.

[Masnick2023]

Masnick, M., “The Unintended Consequences of Internet Regulation”, Copia, April 2023, <https://copia.is/library/unintended-consequences/>.

[Miller2020]

Miller, G., “The intelligence coup of the century”, The Washington Post, February 2020, <https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/>.

[Moore2015]

Moore, H. D., “CVE-2015-7755: Juniper ScreenOS Authentication Backdoor”, Rapid7, December 2015, <https://www.rapid7.com/blog/post/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor/>.

[MPLS-OPPORTUNISTIC-ENCRYPT]

Farrel, A. and S. Farrell, “Opportunistic Security in MPLS Networks”, Work in Progress, Internet-Draft, draft-ietf-mpls-opportunistic-encrypt-03, 28 March 2017, <https://datatracker.ietf.org/doc/html/draft-ietf-mpls-opportunistic-encrypt-03>.

[Perpass]

IETF, “perpass mailing list”, <https://mailarchive.ietf.org/arch/browse/perpass/>.

[Perpass-BoF]

IETF, “perpass BoF — Handling Pervasive Monitoring in the IETF”, IETF 88 Proceedings, November 2013, <https://www.ietf.org/proceedings/88/perpass.html>.

[Plenary-video]

“IETF 88 Technical Plenary: Hardening The Internet”, YouTube video, 2:37:28, posted by “IETF – Internet Engineering Task Force”, November 2013, <https://www.youtube.com/watch?v=oV71hhEpQ20&pp=ygUQaWV0ZiA4OCBwbGVuYXJ5IA%3D%3D>.

[Refs-to-7258]

IETF, “References to RFC7258”, <https://datatracker.ietf.org/doc/rfc7258/referencedby/>.

[RFC1984]

IAB and IESG, “IAB and IESG Statement on Cryptographic Technology and the Internet”, BCP 200, RFC 1984, DOI 10.17487/RFC1984, August 1996, <https://www.rfc-editor.org/info/rfc1984>.

[RFC3365]

Schiller, J., “Strong Security Requirements for Internet Engineering Task Force Standard Protocols”, BCP 61, RFC 3365, DOI 10.17487/RFC3365, August 2002, <https://www.rfc-editor.org/info/rfc3365>.

[RFC6462]

Cooper, A., “Report from the Internet Privacy Workshop”, RFC 6462, DOI 10.17487/RFC6462, January 2012, <https://www.rfc-editor.org/info/rfc6462>.

[RFC7217]

Gont, F., “A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)”, RFC 7217, DOI 10.17487/RFC7217, April 2014, <https://www.rfc-editor.org/info/rfc7217>.

[RFC7258]

Farrell, S. and H. Tschofenig, “Pervasive Monitoring Is an Attack”, BCP 188, RFC 7258, DOI 10.17487/RFC7258, May 2014, <https://www.rfc-editor.org/info/rfc7258>.

[RFC7480]

Newton, A., Ellacott, B., and N. Kong, “HTTP Usage in the Registration Data Access Protocol (RDAP)”, STD 95, RFC 7480, DOI 10.17487/RFC7480, March 2015, <https://www.rfc-editor.org/info/rfc7480>.

[RFC7481]

Hollenbeck, S. and N. Kong, “Security Services for the Registration Data Access Protocol (RDAP)”, STD 95, RFC 7481, DOI 10.17487/RFC7481, March 2015, <https://www.rfc-editor.org/info/rfc7481>.

[RFC7687]

Farrell, S., Wenning, R., Bos, B., Blanchet, M., and H. Tschofenig, “Report from the Strengthening the Internet (STRINT) Workshop”, RFC 7687, DOI 10.17487/RFC7687, December 2015, <https://www.rfc-editor.org/info/rfc7687>.

[RFC7858]

Hu, Z., Zhu, L., Heidemann, J., Mankin, A., Wessels, D., and P. Hoffman, “Specification for DNS over Transport Layer Security (TLS)”, RFC 7858, DOI 10.17487/RFC7858, May 2016, <https://www.rfc-editor.org/info/rfc7858>.

[RFC8056]

Gould, J., “Extensible Provisioning Protocol (EPP) and Registration Data Access Protocol (RDAP) Status Mapping”, RFC 8056, DOI 10.17487/RFC8056, January 2017, <https://www.rfc-editor.org/info/rfc8056>.

[RFC8064]

Gont, F., Cooper, A., Thaler, D., and W. Liu, “Recommendation on Stable IPv6 Interface Identifiers”, RFC 8064, DOI 10.17487/RFC8064, February 2017, <https://www.rfc-editor.org/info/rfc8064>.

[RFC8280]

ten Oever, N. and C. Cath, “Research into Human Rights Protocol Considerations”, RFC 8280, DOI 10.17487/RFC8280, October 2017, <https://www.rfc-editor.org/info/rfc8280>.

[RFC8446]

Rescorla, E., “The Transport Layer Security (TLS) Protocol Version 1.3”, RFC 8446, DOI 10.17487/RFC8446, August 2018, <https://www.rfc-editor.org/info/rfc8446>.

[RFC8461]

Margolis, D., Risher, M., Ramakrishnan, B., Brotman, A., and J. Jones, “SMTP MTA Strict Transport Security (MTA-STS)”, RFC 8461, DOI 10.17487/RFC8461, September 2018, <https://www.rfc-editor.org/info/rfc8461>.

[RFC8484]

Hoffman, P. and P. McManus, “DNS Queries over HTTPS (DoH)”, RFC 8484, DOI 10.17487/RFC8484, October 2018, <https://www.rfc-editor.org/info/rfc8484>.

[RFC8981]

Gont, F., Krishnan, S., Narten, T., and R. Draves, “Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6”, RFC 8981, DOI 10.17487/RFC8981, February 2021, <https://www.rfc-editor.org/info/rfc8981>.

[RFC9000]

Iyengar, J., Ed. and M. Thomson, Ed., “QUIC: A UDP-Based Multiplexed and Secure Transport”, RFC 9000, DOI 10.17487/RFC9000, May 2021, <https://www.rfc-editor.org/info/rfc9000>.

[RFC9082]

Hollenbeck, S. and A. Newton, “Registration Data Access Protocol (RDAP) Query Format”, STD 95, RFC 9082, DOI 10.17487/RFC9082, June 2021, <https://www.rfc-editor.org/info/rfc9082>.

[RFC9083]

Hollenbeck, S. and A. Newton, “JSON Responses for the Registration Data Access Protocol (RDAP)”, STD 95, RFC 9083, DOI 10.17487/RFC9083, June 2021, <https://www.rfc-editor.org/info/rfc9083>.

[RFC9113]

Thomson, M., Ed. and C. Benfield, Ed., “HTTP/2”, RFC 9113, DOI 10.17487/RFC9113, June 2022, <https://www.rfc-editor.org/info/rfc9113>.

[RFC9224]

Blanchet, M., “Finding the Authoritative Registration Data Access Protocol (RDAP) Service”, STD 95, RFC 9224, DOI 10.17487/RFC9224, March 2022, <https://www.rfc-editor.org/info/rfc9224>.

[Roth2022]

Roth, E., “Internet backbone provider shuts off service in Russia”, The Verge, March 2022, <https://www.theverge.com/2022/3/5/22962822/internet-backbone-provider-cogent-shuts-off-service-russia>.

[Rowlett1998]

Rowlett, F. B., “The Story of Magic, Memoirs of an American Cryptologic Pioneer”, Aegean Park Press, 1998.

[Slater1870]

Slater, R., “Telegraphic Code, to Ensure Secresy in the Transmission of Telegrams”, First Edition, W.R. Gray, 1870, <https://books.google.com/books?id=MJYBAAAAQAAJ>.

[Smith1845]

Smith, F. O., “The Secret Corresponding Vocabulary: Adapted for Use to Morse’s Electro-Magnetic Telegraph, and Also in Conducting Written Correspondence, Transmitted by the Mails, or Otherwise”, Thurston, Isley & Company, 1845, <https://books.google.com/books?id=Z45clCxsF7EC>.

[STRINT]

W3C and IAB, “A W3C/IAB workshop on Strengthening the Internet Against Pervasive Monitoring (STRINT)”, March 2014, <https://www.w3.org/2014/strint/>.

[Timeline]

Wikipedia, “Global surveillance disclosures (2013-present)”, July 2023, <https://en.wikipedia.org/w/index.php?title=Global_surveillance_disclosures_(2013%E2%80%93present)&oldid=1161557819>.

[TLS-ECH]

Rescorla, E., Oku, K., Sullivan, N., and C. A. Wood, “TLS Encrypted Client Hello”, Work in Progress, Internet-Draft, draft-ietf-tls-esni-16, 6 April 2023, <https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-16>.

[Toronto]

Memmott, M., “Canada Used Airport Wi-Fi To Track Travelers, Snowden Leak Alleges”, NPR, January 2014, <https://www.npr.org/sections/thetwo-way/2014/01/31/269418375/airport-wi-fi-used-to-track-travelers-snowden-leak-alleges>.

[UTA]

IETF, “Using TLS in Applications (uta)”, <https://datatracker.ietf.org/wg/uta/about>.

[Zubhoff2019]

Zuboff, S., “The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power”, PublicAffairs, ISBN 9781781256855, January 2019.

謝辞

スーザン・ランドーは、スティーブ・ベロビンのエッセイに多くの貴重なコメントを寄せてくれた。
Carsten Bormann、Brian Carpenter、Wendy Grossman、Kathleen Moriarty、Jan Schaumann、Seth David Schoen、Paul Woutersの各氏には、この文章に対するコメントとレビューをいただいた。

Authors’ Addresses

Stephen Farrell

Trinity College, Dublin

Ireland

Email: stephen.farrell@cs.tcd.ie

Farzaneh Badii

Digital Medusa

Email: farzaneh.badii@gmail.com

Bruce Schneier

Harvard University

United States of America

Email: schneier@schneier.com

Steven M. Bellovin

Columbia University

United States of America

Email: smb@cs.columbia.edu

https://www.rfc-editor.org/rfc/rfc9446.html