Googleが公開すれば「インターネット全体に利益をもたらす」という「鍵」とは？

by mjmonty

データの暗号化と復号を別々の鍵で行う公開鍵暗号は、安全なインターネット通信を支える重要な技術です。メール送信元のなりすましを防ぐDKIMも公開鍵暗号を利用しており、Gmailなどのメールサービスにも採用されているほど普及した技術。公開鍵暗号の秘密鍵は公開しないことが常識ですが、ジョンズ・ホプキンズ大学の暗号研究者・Matthew D. Green氏はGoogleに対し「インターネット全体の利益のため、DKIMの秘密鍵を公開すべき」と主張しています。

Ok Google: please publish your DKIM secret keys – A Few Thoughts on Cryptographic Engineering
https://blog.cryptographyengineering.com/2020/11/16/ok-google-please-publish-your-dkim-secret-keys/

電子メールの送信元は簡単に偽装できるため、送信元のなりすましを防ぐために開発された認証技術がDKIMです。DKIMは公開鍵認証の仕組みを利用した技術で、送信元メールサーバーは管理している鍵ペアの公開鍵をDNSサーバーに登録しておき、秘密鍵でメールに電子署名を行い送信します。受信者はDNSサーバーから公開鍵を取得し、メールの電子署名と付き合わせることで、送信元の正当性を確認することができるという仕組みです。

一見完璧な技術にも思えるDKIMですが、Green氏はその運用方法に問題点があると指摘。DKIMは本来「メールの送信経路上でのなりすましを防ぐために、送信者の正当性を送受信の間だけ保証する」ために生み出されたものでした。しかし、現在の運用方法では、DKIMは実質的に「メール送信者の正当性を長期にわたって保証する」ものに変容しているとのこと。

例えば、2016年のアメリカ大統領選挙において民主党指名候補ヒラリー・クリントン陣営の選挙対策責任者を務めたジョン・ポデスタ氏のメールは、ハッキングによってWikiLeaksに公開されており、送信元の検証にはDKIMが用いられています。2020年の大統領選挙においてもジョー・バイデン氏の息子・ハンター・バイデン氏の政治疑惑に関係するメールの検証にDKIMが使われたとのこと。DKIMによってメール送信元の正当性を確認できるツールまで公開されています。本来であれば送受信の間だけ利用されるはずだったDKIMが、過去に受信したメールの検証にも利用されているというわけです。

「送受信中のメール」だけでなく「メールボックス内のメール」の正当性までDKIMで検証されているという実態は、本来のDKIMの運用としては失敗といえます。こうした現状を改善するには、DKIMにもともと実装されている「秘密鍵のローテーション機能」を利用すべきだとGreen氏。定期的にDNSサーバー上の秘密鍵を交換するようにすれば、メールボックス内の古いメールの正当性をDKIMによって保証することはできなくなります。さらに交換済みの秘密鍵を公開すれば、誰でもその秘密鍵を利用して送信元を偽れるようになるため、古い鍵ペアでのDKIMによる検証は無意味になるとGreen氏は説明しています。

こうした理由から、Green氏はGmailという巨大なメールサービスを運営しているGoogleに対し「古い秘密鍵をインターネット上に公開すべきだ」と主張。Googleは2016年にDKIMの秘密鍵を交換しているため、2016年以前のDKIM秘密鍵を公開すれば、少なくともGmailのメールボックス内に残る2016年以前のメールの検証にDKIMを利用することはできなくなります。また、秘密鍵を盗み取って送信元をなりすましていたハッカーがいると仮定すると、そうしたハッカーによる攻撃を無効化することも可能。過去のDKIM秘密鍵はGoogleにとって重要ではないため、少しの行動でとてつもない効果をもたらすことができるとのこと。

DKIMの不適切な運用方法は、偶然にもここ数年は「政治家の流出メール検証」という、人々が納得しやすい形で具体化していましたが、犯罪に利用される可能性も否定できません。Green氏は「DKIMによる検証機能は有用だ」という意見を受けることもあるそうですが、恒久的な保証にはGnuPGなどの暗号化ソフトを利用するべきである主張。DKIMを補完する新しい暗号機能の研究も進んではいるものの、成果が出るのはまだ先の話であり、「過去のDKIM秘密鍵をGoogleが公開すること」が明らかに今すぐ実施できる最良の解決策だとGreen氏は語っています。