FBIから反対を受けたのち、AppleがiCloudバックアップのエンドツーエンド暗号化計画を取りやめていたとの報道 12
ストーリー by headless
中止 部門より
中止 部門より
AppleはiPhoneのiCloudバックアップをエンドツーエンドで暗号化する計画だったが、米連邦捜査局(FBI)から捜査の障害になると反対を受けたのちに取りやめていたとReutersが報じている(Reutersの記事、
The Vergeの記事、
9to5Macの記事、
Mac Rumorsの記事)。
Appleは暗号化されたiPhoneからのデータ復元は不可能だとして捜査機関からの要請を一貫して拒否しているが、iCloudのデータは令状があれば提出している。しかし、エンドツーエンドで暗号化した場合はAppleが復号できなくなってしまう。
Reutersの情報提供者6名(FBIの職員1名/元職員3名、Appleの従業員1名/元従業員1名)によれば、2年以上前にAppleがこの計画をFBIに伝えたところ、iPhoneを使用している容疑者に関する最も効率的な証拠収集手段が失われると反対を受けたという。その翌年、Appleはこの計画を取りやめたとのこと。
別のApple元従業員は、犯罪者を保護していると当局から批判されるリスクを避けるため、Appleは計画を取りやめにしたと述べている。ただし、また別のApple従業員はユーザーがデータを失う可能性を懸念して計画を取りやめた可能性を指摘しているそうだ。
Reutersでは(FBIの反対を受けていたことを)Appleが計画を取りやめた理由として断定はできないと述べている。
Appleは暗号化されたiPhoneからのデータ復元は不可能だとして捜査機関からの要請を一貫して拒否しているが、iCloudのデータは令状があれば提出している。しかし、エンドツーエンドで暗号化した場合はAppleが復号できなくなってしまう。
Reutersの情報提供者6名(FBIの職員1名/元職員3名、Appleの従業員1名/元従業員1名)によれば、2年以上前にAppleがこの計画をFBIに伝えたところ、iPhoneを使用している容疑者に関する最も効率的な証拠収集手段が失われると反対を受けたという。その翌年、Appleはこの計画を取りやめたとのこと。
別のApple元従業員は、犯罪者を保護していると当局から批判されるリスクを避けるため、Appleは計画を取りやめにしたと述べている。ただし、また別のApple従業員はユーザーがデータを失う可能性を懸念して計画を取りやめた可能性を指摘しているそうだ。
Reutersでは(FBIの反対を受けていたことを)Appleが計画を取りやめた理由として断定はできないと述べている。
FBI (スコア:1)
Re: (スコア:0)
そうね
e2e (スコア:0)
エンドツーエンドで暗号化した場合はAppleが復号できなくなってしまう。
エンドツーエンドだから、片方はユーザー、もう片方はicloud側に鍵があるんじゃないの?
Re: (スコア:0)
ファイル送信サービスで発信者と送信者を同じにした状態と、
iCloudのファイル共有を同じと想定すれば、iCloudはエンドではなく中継サーバ
Re: (スコア:0)
Appleは「iOS端末でバックアップ→iCloudで保管→iOS端末で復元」という一連のプロセスをエンドツーエンドで暗号化 [apple.com]と呼んでいるようですね。私も最初は困惑しました。
Re: (スコア:0)
>「iOS端末でバックアップ→iCloudで保管→iOS端末で復元」
このプロセスは正しいんだけど、これをエンドツーエンドとは呼んでない。
エンドツーエンドはサーバー側でも複合できないことを意味する。
AppleのサービスにおいてE2Eなのは、iMessageやKeyChainやヘルスデータなど一部の機密性の高いデータのみ。
他はサーバー側でAppleの鍵で暗号化してる。なので、Appleは復号できる。
iCloudバックアップはE2Eの対象にはなってない。計画してたが諦めたというのが今回のネタ。
今は
「iOS端末をバックアップ -(経路暗号化)→ iCloudで保管(Appleの鍵で暗号化) -(経路暗号化)→
Re: (スコア:0)
暗号化についてのエンドツーエンドって、
自分の常識だと
自分の端末(自分の鍵で暗号化) -> サーバー(暗号文) -> 自分の他の端末(自分の鍵で復号)
って意味だけど、別の常識があるの?
HTTPSもエンドツーエンドと呼んじゃうの?
エンドツーエンドの暗号化 (スコア:0)
これって今どきのクラウドサービスでは当たり前にやってることじゃないの?
でなければ実質的にパスワードマネージャにもなってるGoogleアカウントとか怖くて使えんぞ。
Re: (スコア:0)
児童ポルノの検閲とかが出来るってことは、ストレージの中身を覗かれてるってことだからな
秘密にしたいことがあるのなら暗号化せずにクラウドに保存してはいけない
Re: (スコア:0)
ロリコンを吊るすためなら何でも許される
これが今の世の中です
Re: (スコア:0)
クラウド上の他のサービスでも使われる画像データ等が暗号化されていないのは当たり前だけど、
端末でしか利用されない(加えて端末にしか存在してはいけない)情報も含むバックアップデータって別物でしょ。
ただ、Googleフォトは結構危険だとは思うけどね。限りなくバックアップに近いのに暗号化もされずに保存されてしまってる。
Re: (スコア:0)
やってないよ。
ウェブで見れるサービスは基本的に鍵はあっち側にあるからEnd2Endじゃない。
1passwordとかGoogleのパスワードマネージャなどパスワード関連のサービスはE2Eになってる。
そうでもしないと信用してもらえないし。
デバイスに暗号文をダウンロードして復号するのが基本だけど、最近はWebCryptoを使ってウェブ上で復号できるようにもなってる。
DropboxもGoogleDriveもiCloudDriveも、みんなE2Eじゃない。
あっち側であっち側の鍵で暗号化して保存はしてるだろうけど復号し放題。
ウェブで見れるFacebookメッセンジャーも当然E2Eじゃない。