Twitter社は、同社のサーバーとユーザー間の通信を盗聴することがはるかに困難になる新たなセキュリティ対策を実施し、他のインターネット企業にもこれに倣うよう呼びかけている。
同社は金曜日、ウェブおよびモバイルプラットフォームに「Perfect Forward Secrecy(完全前方秘匿性)」を実装したと発表した。この技術により、組織が現在暗号化されたトラフィックを盗聴し、将来のある時点で復号することは不可能になる。
現在、ユーザーとサーバー間の暗号化は、サーバー側で保持される秘密鍵に基づいています。交換されるデータは読み取ることはできませんが、暗号化された形式で記録することは可能です。暗号化の仕組み上、サーバーの秘密鍵が入手された場合、将来的にデータを復号することが可能です。
完全な前方秘匿性では、データの暗号化は、後でサーバー キーを知っていても復元できない 2 つの短命キーに基づいて行われるため、データは安全に保たれます。
これは重要な原則です。なぜなら、暗号化トラフィックは現在のコンピュータ技術では解読が困難ですが、コンピューティングハードウェアやシステムの革新により、将来的には解読が容易になる可能性があるからです。PFS(Perfect Forward Secrecy)は、コンピュータ技術の進歩に関わらず、データの安全性を確保するものです。
Twitter社は変更の理由を明らかにしていないが、電子フロンティア財団のブログ記事へのリンクを貼っており、この手法は国家安全保障局(NSA)などのインターネット通信の盗聴を阻止する手段として使用できると示唆している。
もちろん、Twitter 経由で送信される内容の多くはいずれにしても公開されることになりますが、このサービスでは、一般の目に触れない 2 つのクライアント間のダイレクト メッセージング システムをサポートしています。
詳細
同社は、新しいセキュリティを紹介するブログ記事の中で、これが「ウェブサービス所有者にとって新たな標準となるはずだ」と考えていると述べた。
ウェブマスターの皆様には、サイトにHTTPSを実装し、デフォルト設定にすることをおすすめします。既にHTTPSをご利用の場合は、HTTP Strict Transport Security、セキュアCookie、証明書ピンニング、Forward Secrecyなどを導入し、実装を強化してください。セキュリティ強化は、これまで以上に重要になっています。
この技術は盗聴を防止するが、法執行機関が従来の合法的な手段でTwitterから情報を入手する能力には影響しない点に注意する必要がある。
