見出し画像

LINE は secure か?

「通信データの暗号化について、詳細はセキュリティ保持のため明らかにできないとしたが、「国際最高水準の暗号技術を使用して複数の学術研究者と専門家の検証を経て適用された技術」で暗号化されており、暗号化後のデータ形式も「LINE独自のデータ形式」を使用しているため、「たとえ第三者が傍受をしても、暗号化前の原文の意味や内容を理解することができる方法はない」としている。」
(「LINE、改めて傍受を否定 「暗号化後データは独自形式、解読は不能」 - ITmedia ニュース」より)

まぁなんちうか,「国際最高水準の暗号技術を使用して」といいつつ「詳細はセキュリティ保持のため明らかにできない」と言ってしまうあたりツッコミどころ満載なのですが,まぁ LINE って NAVER の事実上の子会社で LINE の社長って NAVER 内では部長クラスと聞いているので,セキュリティ云々以前に,そういうことを話せる権限を持ってないような気がします,社長なのに(笑)

LINE の通信については,以前 ITPro で解析結果が紹介されていた。(なにぶん昔の記事なのでブックマークを探しまわっちゃったよ)

LINEやcommの無料通話サービスを検証 - LINEやcommの通話の仕組みを解析―実践編:ITpro

詳しくは記事を見てもらうとして,ものすごく簡単に言うと「方式はよく分からないけどどうやら(中央サーバを介さない) P2P で VPN を張って暗号化しているらしい」ということのようだ(もちろんログイン時には LINE のサーバを介さなくてはならない)。なので,今回の報道に関しては,メディア側の言いがかりと言っても差し支えないだろう。

とはいえ,これは LINE が secure であることを意味しない。本当に secure というのならきちんと「詳細」を公開できるはずだ(詳細を公開しなかった Skype が結局何をやっていたかはみなさん知ってのとおりだ)。どんなに優れた暗号技術を使っていても,実装がお間抜けでは secure にならない。それを私たちは OpenSSL のあの騒ぎで学んだはずだ。

そもそも私たちは LINE を secure なメッセージング・アプリと認識していないと思う。特に「スノーデン以後」においては E2E 暗号化,PFS,OTR といった技術要件を満たしているかが重要なのだが,その辺について LINE のシャチョさんはどのようにお考えなのでしょうねぇ。

メッセージングアプリといえば OpenKeychain (= OpenPGP)に対応した XMPP クライアント Conversations が面白そうである。この辺はいずれブログ記事にしたいものである。 Google も「ブラウザで OpenPGP」なんてヌルいことを言ってないで,こういうものに積極的に commit すべきだと思うんですがねぇ。

というわけでセキュリティやプライバシーに敏感な人間はそもそも LINE なんか使わないのさ! と嘯いておく。

3
元職業エンジニア。現在は無期休業中 Home: https://baldanders.info