Appleがサードパーティー向けに暗号ライブラリ「Cryptographic Libraries」を公開、よりセキュアな環境構築を促す

Appleが2015年10月29日(現地時間)に「Cryptographic Libraries」(暗号ライブラリ)をオープンして提供を開始しました。これはiOSおよびOS X向けアプリを開発するサードパーティーのデベロッパ向けに提供されているもので、「より進んだセキュリティ機能」の実装を可能にするものであるとしています。

Cryptographic Libraries - Apple Developer
https://developer.apple.com/cryptography/

Apple opens up its cryptographic libraries to third-party developers | VentureBeat | Dev | by Ruth Reader
http://venturebeat.com/2015/10/29/apple-opens-up-its-cryptographic-libraries-to-third-party-developers/

今回のオープンにより、デベロッパはAppleの「Security Framework」および「Common Crypto」のライブラリにアクセスできるようになります。ライブラリでは暗号化、トークン化、セキュリティ認証、そして公開鍵(パブリックキー)と秘密鍵(プライベートキー)の管理にまつわるコードなどがオープンソースとして保管されており、活用できるようになっています。

Appleは今回の措置についてサイトで「Security FrameworkおよびCommon Cryptoは、低層レベルの暗号プリミティブの実装を提供するCoreCryptoに依るものです。これはまた、連邦政府が定める『暗号化認証FIPS 140-2 レベル1』の認証の際に提出されたライブラリでもあります。CoreCryptoはプログラミングインターフェースを直接に提供するものではなく、iOSおよびOS X向けアプリに用いられるものではありませんが、このソースコードはそれ自体のセキュリティ特性や正しく機能していることを確認するために用いることができます」とする旨を記載しています。

Both Security Framework and Common Crypto rely on the corecrypto library to provide implementations of low level cryptographic primitives. This is also the library submitted for validation of compliance with U.S. Federal Information Processing Standards (FIPS) 140-2 Level 1. Although corecrypto does not directly provide programming interfaces for developers and should not be used by iOS or OS X apps, the source code is available to allow for verification of its security characteristics and correct functioning.

これまでにAppleでは、Apple自身でもiPhoneのロック解除を行えない旨を公表していたり、プライベート情報を抜き取っていたアプリを大量にApp Storeから削除するなど、ユーザーのプライバシーに対するセキュリティを重視する姿勢を強調しており、今回の措置もその流れに沿うものであると見ることもできます。

Appleでも「iPhoneのロック解除は不可能」、パスコードを知らない限り端末内のデータにはアクセス不可能であることが明らかに - GIGAZINE

秘密裏に個人情報を収集していたとして、250以上のiOSアプリがApp Storeから削除される - GIGAZINE

全ての端末がつながる社会を迎えた時代には、情報を暗号化して保護することはもはや必須の課題と言えるようになっています。Cryptographic Librariesのサイトでは、レファレンスシートやサービスガイドなどの資料を閲覧できるようになっています。