米国と英国のスパイ機関は、インターネット上のプライバシーとセキュリティを破りましたか？

この質問に関しては多くの憶測が出てきます。私は記事で述べられているのと同じくらい多くの情報を提供するよう努めます。私はまた、コメントで提供された事実で定期的に回答を更新します。

この回答に関連する記事：

• NSA：監視に対して安全を保つ方法
• 米国政府はインターネットを裏切った。それを取り戻す必要があります
• 米国と英国のスパイ機関はインターネット上のプライバシーとセキュリティを打ち負かしています

まず第一に私は言いたいと思います：

この脅威は本物ですか？

文書をどれだけ信頼できるかに応じて、セキュリティ機関がソフトウェアまたは暗号化エンドポイントでバックドアを正常に実装したという意味で、それは本当の脅威と見なされるべきです。私はこれがおそらく本当だと思います。評判の良い3つの新聞が記事を公開しないように親切に要求されたからです。これは、ストーリーの少なくとも一部が真実である可能性が高いことを意味します。

彼らは本当に暗号を破ったのですか？

記事からわかる限り、主に3つの戦略があります。

1. スーパーコンピューター（クラスター）を使用して、ブルートフォース暗号化プロトコルを使用します。これはおそらく、暗号化されたファイルを効率的にブルートフォースできることを意味します。
2. 暗号化を行うソフトウェアにバックドアを実装します。
3. テクノロジー企業に彼らの要求を遵守させる。

オプション2と3は、SSLなどのリアルタイムでの復号化に成功していないことを示しています。ブルース・シュナイアーが述べたように：

NSAは、秘密の数学的ブレークスルーを利用するよりも、基盤となる暗号を破壊することで、遭遇する暗号化データを処理します。まず、世の中には悪い暗号法がたくさんあります。たとえば、MS-CHAPで保護されたインターネット接続が見つかった場合、キーを簡単に破壊して回復できます。ハッカーが未分類の世界で使用するのと同じ辞書攻撃を使用して、不十分に選択されたユーザーパスワードを悪用します。

それでも、バックエンドを密かに実装するか、テクノロジー会社にシステムを通過するトラフィックの解読を手助けしてもらうように、どちらかのエンドノードの人々に要求します。おそらく、認証局のいくつかの暗号化/復号化/署名キーを持っている可能性が高いため、プロキシを設定して中間者攻撃を実行できます。信頼できる証明書により（自分で署名できるため）、これらの攻撃は、スパイしているユーザーには気づかれません。

リアルタイムの復号化を実行するシステムが提案されている提案されていることに注意してください。ただし、実際にこれを構築することに成功したことを示す指標はありません。現時点でできることは推測のみです。

また、暗号化アルゴリズムが backdooredランダムジェネレーター （Wiredによる）を使用したという事例も1つあります。

ご注意ください：暗号化標準はpublicです。つまり、それらを精査したい人は誰でもそれらを調べることができます。 NSAを使用すると、それらを確認することがはるかに困難になります。 （ただし、実装はまったく別のものです。）

オプション2では、特に商用ソフトウェアをターゲットにしているようです。侵害されたソフトウェアを使用していないことをより確信したい場合は、オープンソース製品を使用してバイナリを自分でコンパイルする必要があります。 （ただし、理論的には、コンパイラーもバックドアされる可能性があります。）コードはピアレビューすることも、自分でレビューすることもできます。 （残念ながら、後者はしばしば実行可能または実用的ではありません。）さらに、エドワードスノーデンからのこの引用は、強力な暗号を解読できなかったことも示唆しています：

「暗号化は機能します。適切に実装された強力な暗号化システムは、信頼できる数少ないものの1つです。」と警告する前に、NSAは、通信の両端

結果は何ですか？

1. NSAは、意図的にバックドアをインストールすることにより、特定のシステムの全員を危険にさらします。彼らは調査している人々のプライバシーを危険にさらすだけでなく、システムを使用しているすべての人を危険にさらしています。
2. オープンソースソフトウェアが侵害される可能性は低くなります。彼らが商用のクローズドソースソフトウェアを攻撃することは明確に述べられています。オープンソースソフトウェアでは、バックドアが発見される可能性が高く、発見がより迅速です。
3. 商用ソフトウェア、特に米国で公開されているものは、他のどのソフトウェアよりもバックドアされる可能性が高くなります。 （これは個人的な推測ですが、他の多くの地域（EUなど）ではプライバシー法が厳しく、複数の政府が関与する必要があることが多いため、これを行うのは難しいと思います。しかし、これはまだ保証なし。）

また、彼らはできるだけ多くのインターネットノード/ハブ（おそらく第1層プロバイダー）を侵害したいと考えているようです。これは論理的です。インターネット上のほとんどのトラフィックは、ある時点でティア1プロバイダーを通過するからです。

最大のリスクは、バックドアの導入に関する過失によるデータ漏洩です。 NSAが本当にあなたの後にある場合、いくつかの暗号があなたのお尻を救うのに役立つとは思えません。 彼らはおそらくあなたをある時点で切り上げてあなたを失踪させるでしょう。 NSAは通常、著作権侵害者やスクリプトキディ/ハッカーの後に来ることはありません。彼らはハードコアで熱心な（サイバー）テロリストにもっと興味を持っています。あなたがテロリストであることを示す指標がない限り、彼らがその情報を使ってあなたを訴えたり、その情報を別の機関に渡したりすることはないと私は強く疑います。

ただし、NSA内の危険は、Snowdenのような誰かが悪意を持って、すべての個人データを漏洩するか、個人的な利益（またはその他の目的に使用しない目的）に使用することを決定した場合です市民はNSAが「保護」しようとします）。現在のところ、監視の範囲は非常に限定的であり、それほど公的にはそれほど多くありません。これは、システムの悪用を促進するのに非常に役立ちます。

私に何ができる？

NSA：Bruce Schneierによって書かれた監視に対して安全を保つ方法 の記事を読むことから始めます。

私の個人的な見解では、NSAはおそらく大量の機密データにアクセスでき、強力な暗号を使用している場合でも、システムに導入されたバックドアまたは理由により機密データにアクセスできるということです。協力会社のNSAを与えます。あなたが取ることができるいくつかの予防策があります：

• 強力なパスワードを使用する
• 強力な暗号化を使用します（SSL証明書を使用するWebサイトは、安全で強力なバージョンのTLSを実行していることを確認する必要があります）
• VPN /プロキシ/ Torを使用します（米国または英国にない-多分ヨーロッパにもない-それでもバックドアすることはできます）

Bruce Schneierが言ったように、ソフトウェアとプロトコルを開く必要もあります。

監視を再び高額にすることができます。特に、オープンプロトコル、オープン実装、オープンシステムが必要です。これらは、NSAが破壊するのが難しくなります。

私の2セント

NSAだけがこのようなことをしていると考えるのも幻想です。中国とロシア（またはその件に関して警察の予算が大きい他の国家）に同様のプログラムがなかったとしたら、私は驚きます。中国人には、NSAと同様の慣行に関与しているという指標（APT-1）がすでにあります。これにより、米国/英国の誤り/偽善が少なくなりますか？おそらく違います。ブルース・シュナイアーが言ったように：

私はそれを言って悲しいですが、米国はインターネットの非倫理的な執事であることを証明しました。英国は良くない。 NSAの行動は、中国、ロシア、イランなどによるインターネットの悪用を正当化しています。強力なハイテク国がすべてを監視することを困難にするインターネットガバナンスの新しい手段を理解する必要があります。たとえば、政府や企業に透明性、監視、説明責任を要求する必要があります。