Chrome パスワード マネージャーは 13 年前に私の信頼を裏切りました。私は決して忘れませんでした。

これは、パスワード管理への異なるアプローチであるNeulockを生み出す 13 年の道のりです。ここには、articles.length == 2 のarticles[0] が入ります。

パート I

それは2011年に遡ります。 『コンテイジョン』はまだ映画の素材でした。人々はカエルのペペや柴犬の犬の代わりにモノクロの落書きの顔を使ってコミュニケーションを取り、デナーリス・ターガリエンは野蛮なカール・ドロゴに愛を見つけさせた少女でした。

Google Chrome が最初にその提案を行ったのはその時でした。

Google Chrome でこのサイトのパスワードを保存しますか?

このパスワードを保存しますか?それはブラウザが今やっていることでしょうか？わぁ、ありがとうChrome、とても便利ですね！考えてみると、私はほとんどのパスワードを Web ブラウザーに入力するので、ここはパスワードを保存するのに最適な場所のようです。

さらに、起こり得る最悪の事態は何でしょうか? Chrome は私のコンピュータにインストールされているプログラムです。ぼくのコンピュータ！私は経験豊富な Debian Linux パワー ユーザーであり、私のハード ドライブほど安全な場所は宇宙のどこにもありません。

わかりました、クロム、どうぞ。このパスワードと次のパスワード、および入力フィールドに入力したすべてのパスワードを保存します。

欺くこと

別のコンピューターを買うまでは。プリインストールされた Windows を捨てて、当時私が想像していた Linux ディストリビューションを購入した後、次にやるべきことは Chrome をインストールすることでした。 Firefox Quantum がリリースされるのはまだ 6 年先だったので、あまり選択肢はありませんでした。

Google アカウントでサインインしますか?もちろん？ Facebook か何かをチェックしてみましょう。そして…ねえ、私のユーザー名、Chrome を覚えていますか?よし、Facebook にサインインしてみよう。ちょっと待って、なぜパスワードフィールドには既にアスタリスクが入力されているのでしょうか?いいえ、Chrome さん、これはバグに違いありません。このコンピュータは購入したばかりです。ローカル データベースは正常です。ログインボタンをクリックすると間違いに気づくでしょう。そして…私は入っていますか？

早速Chromeの設定を確認してみました。私が見たものは私の恐怖を増大させるだけでした。私が保存していたすべての Web サイトとユーザー名がリストにありました。平文パスワードはクリックするだけで作成できました。

二つの期待は裏切られた。まず最も重要なことは、Chrome が同意を求めずに私のパスワードを Google のサーバーにアップロードするとは予想していなかったということです。彼らは私にパスワードを共有するのではなく保存するように求めました。

2 番目の期待は、私の希望的観測でした。恥ずかしいですね。 Google は世界で最もクールなテクノロジー企業の 1 つであり、そのエンジニアは Googleplex での卓球の合間に不可能を可能にする天才であると考えられています。 Chrome はパスワードを非常に安全な方法で保存し、適切なタイミングで各パスワードを取得して、それが属する正確な入力フィールドに忍者のようにパスワードを挿入しているのだと思いました。それらすべてが平文で表示されるとは予想していませんでした。

そしてショックを受けたのは私だけではありませんでした。エリオット・ケンバー氏は、Chromeのパスワードセキュリティを「非常識」と呼んだ。さらなる議論の中で、Chrome のセキュリティ責任者である Justin Schuh 氏は、かなり傲慢な態度でそれを無視しました。ティム・バーナーズ・リー卿はケンバー氏の側に立って、Chrome のパスワード マネージャーを「お姉ちゃんのパスワードを入手する方法」と呼んだ。

この経験以来、愚かな人間の頭の中で変なパスワードを考え出すよりはマシだとわかっていても、パスワード マネージャーを一切信頼できなくなりました。しかし、ブラジルでよく言われるように、ヘビに噛まれた犬はソーセージさえも怖がります。ポルトガル語ではそれ以上意味がありません。

より優れたパスワードマネージャー

それから 10 年間、私はパスワードが安全でない砂漠をさまよっていました。私はより優れたパスワード マネージャーを切望していましたが、それらはすべて同じ原則に従っているようでした。すべてのパスワードを「保管庫」にまとめ、マスター キーで暗号化し、この保管庫をクラウド サーバーにアップロードするというものです。私はこのモデルを決して信頼できませんでした。彼らはエンドツーエンドの暗号化を実装していますよね?悪用を待っている「キー回復」バックドアはありますか?あるいは、結局ジャスティン・シューの言うことが正しかったのかもしれません。パスワードは、それを保存しているアプリケーションから「簡単に復元」され、パスワードを漏洩しにくくする試みは「すべて単なる演劇」です。この意味で、パスワード マネージャーを信頼する以上にパスワードを保護しようとするのは、初心者の愚かな用事でした。

2019年、私はブラジル外務省のIT部門に着任しました。そこで私は、CTO であり技術の第一人者である Fabio Ceredaに密着しました。私は彼から多くのことを学び、彼が去った後を引き継ぎました。同省がブラジル連邦政府の機密情報の約 80% を作成しており、その業務が居住可能な大陸すべての 240 か所以上に広がっていたため、サイバーセキュリティは常に議題に上っていました。私たちは常に世界で最も恐ろしい略語の標的にされていたため、常に警戒を続ける必要がありました。長年にわたって、サイバーセキュリティのさまざまな領域の問題に常にさらされてきた結果、私はより良いパスワード マネージャーのための原則をまとめ始めました。

原則 #0: すべての暗号化は破られるか、最終的に破られるでしょう

私が働いていたところに外交逓信博物館がありました。そこには、コードブック、鋳鉄製の暗号機、スーツケースに積めるポータブルパラボラアンテナ、TELEX アダプター、そして悪名高い Crypto AG C-52 マシンの標本がいくつか詰まっていました。それは、ブラジル本部と在外ブラジル大使館および在外公館との間の1世紀半にわたる秘密通信を示すものであった。それらはすべて、秘密を保持するためにある種の暗号に依存していました。その暗号通貨はすべて破られました。

パスワード マネージャーについて考えてみると、すべての暗号通貨が最終的には破られるという事実は、それほど怖いものではありません。暗号プロトコルを解読するのに平均して 15 年かかるとしましょう。数年ごとにパスワードを変更するだけで大丈夫です。まともなパスワード マネージャーは、常に時代の先を行くことができるように、暗号化を時々アップグレードする必要があります。

恐ろしいのは、プロトコルがすでに破られているかどうかを知ることができないことです。さらに悪いのは、Crypto AG マシンの場合のように、意図的に隠れた脆弱性を持って設計されていた場合です。諜報機関とサイバー犯罪組織は、ゼロデイを可能な限り目立たないようにしておきます。

前世代の企業グレードのセキュリティ システムが機密情報を、時には壊滅的な方法で漏洩するのを見れば見るほど、すべてのクラウド ベースのパスワード マネージャーが採用しているボールト モデルを信頼できなくなりました。

ごく最近まで、これらの懸念は単なる理論上のものでした。ハッカー仲間の @hossam26644 が書いているように、

Google のパスワード マネージャー、Microsoft、Apple、1password、Bitwarden などを使用しても問題はありません。人々はこれまで何の問題もなく、長い間それらを使用してきました。

彼は 2022 年 7 月 25 日に正しかった。しかし、彼はどれも信用しなかったが、再び正しかった。 1 年後、 悪名高い LastPass の漏洩により、一部の高額保管庫が破られ、人々が金銭を失っているという有力な証拠が見つかりました。参加者は150名以上、金額は3,500万ドル以上。

よくある誤解は、暗号化されたボールトを解読するには、 AES アルゴリズム自体を侵害する必要があるというものです。 LastPass は、暗号化を破るのがいかに簡単であるかを思い出させてくれました。 AES は強力ですが、LastPass の実装に関する決定は不適切でした。マスター キーの要件が短すぎ、イテレーションが少なすぎ、一部のユーザーにはブルート フォースで簡単にクラックできるボールトが残されました。

原則 1: 物流は多くの場合、セキュリティ上の最も脆弱なリンクである

政府の暗号解読者は、原則 #0 をよく知っていました。彼らは私がこれまで会った中で最も知的な人々の一人であり、暗号だけで保護されたものにお金を投じる人はほとんどいませんでした。

最も慎重な企業は、非常に安全な通信のためにワンタイム パッド (OTP)の使用を主張しました。実際、彼らはこの要件を最高機密文書の送信と保管に関する規制に盛り込んでいます。

原則として、OTP 暗号は解読できません。これは、プレーンテキスト (データ) とデータと同じ長さのランダムな値のバッファ (OTP キー) の単純な XOR 演算です。同じキーに対して暗号を再度 XOR 演算することで、平文が復元されます。

暗号解読の観点からは解読不可能ですが、OTP にはいくつかの不都合があります。

• 各 OTP キーは再利用できません。
• OTP キーは少なくとも平文と同じ長さでなければなりません。
• キーは対称的であり、送信側と受信側の間で事前に共有する必要があります。

世界規模の組織にとって、すべてのオフィスに OTP キーを供給することは、継続的な大規模な物流作業です。さらに悪いことに、これはセキュリティ モデル全体のアキレス腱です。 OTP の暗号通貨の素晴らしさをすべて実現するには、輸送中と保管中の両方で完璧な物流が必要だからです。

Eve は目的地に向かう途中で OTP キーを傍受する必要がありますか?その時点からのすべての通信は危険にさらされます。

イブはあなたの安全な部屋を物理的に破って、OTP キーメディアを盗むべきでしょうか?その時点以降の通信はすべて危険にさらされ、キーの使用済み部分がメディアから適切に消去されていなかった場合は、以前の通信も危険にさらされる可能性があります。

OTP キーを、情報を送信するときに消費される 1 GB のランダム バイトのチャンクとして実装すると、明らかに前方機密性と後方機密性の両方が欠如します。

結局のところ、完璧な暗号化は、サイバーセキュリティ チームから物理セキュリティ チームに責任を移す方法です。

また、同様の問題がオフラインのパスワード マネージャーにも影響を及ぼします。オフライン パスワード マネージャーでは、可用性と機密性がトレードオフになり、整理するのに混乱が生じます。

KeePassのローカル コピーを実行している人なら誰でも知っているように、コンテナーをバックアップする必要があります。コンピュータのストレージが故障した場合に備えて、このバックアップは外部に保存しておいたほうがよいでしょう。バックアップを最新の状態に保つ必要があります。そして誰もアクセスできないようにしてください。洪水や火災の餌食にならないように、それらをすべて家の中に保管しないでください。また、それらを Google ドライブにアップロードしないでください。それ以外の場合は、オフライン パスワード マネージャーを使用する必要はなくなります。そして…

原則 2: ユーザーのデバイスが侵害されるとゲームオーバーです

ある日、上司が私に電話をかけてきました。彼女は PDF を上層部の 10 人と共有したいと考えていました。この情報は 3 日間だけ目に留まるべきです。彼女は、彼らが有利なスタートを切るために、この文書をそれぞれのチームと共有するインセンティブがあることを知っていました。この種の情報は対面で提示されるべきですが、厳粛です。そこで彼女は、この PDF をコピーしたり共有したりできないようにしてほしいと私に頼みました。

— それはできません、と私は答えました。

私の上司は大使でした。これは外交上の将軍に相当します。大使は「ノー」という答えを聞くことに慣れていません。

私は、コンピューター サイエンスでは、誰かにリソースへの読み取り許可を与えると、暗黙的にコピーと配布の許可を与えることになることを辛抱強く説明しました。情報アクセス権は法的権利に従いません。たとえ私たちが何らかの理由でファイルを共有するのが不便だったとしても、彼らは自分の携帯電話で画面の写真を撮って、それを WhatsApp で共有するだけで済みます。画面上のドキュメントを見ることができれば、カメラも見ることができます。

ジャスティン・シューは正しかった。誰かがあなたのコンピュータ (または電話) への完全なアクセス権を取得すると、ユーザーであるあなたがそのデバイスを通じてアクセスできる情報に完全にアクセスできるようになります。彼の言うことは正しいが、だからと言って彼が Chrome にこのようなひどいパスワード マネージャーを実装することが許されるわけではない。

パスワード マネージャーにとって、ユーザーのデバイスを保護することが常に重要であることを意味します。サーバーが漏洩した場合でも、攻撃者は金庫を破るという課題に取り組む必要があります。しかし、ハッカーがパスワード マネージャー クライアントを実行しているコンピューターの完全な所有権を取得した場合、すべてのパスワードを盗むことを阻止するものは何もありません。

これは暗号通貨コミュニティでは頻繁に起こります。ユーザーのアリスは数十 BTC を持っており、億万長者になります。彼女は身元を特定されているか、そもそも自分の身元を隠していません。彼女はシード フレーズのコピーをデスクトップ上のローカル パスワード マネージャーに保存しています。 「これはクラウドパスワードマネージャーではありません。漏れは心配ありません」と彼女は思います。ハッカーは彼女のコンピュータにバックドアをインストールさせる方法を見つけました。本当に優れている場合は、ユーザーの介入なしでこれを行うことができます。翌朝、目が覚めると財布は空になっていました。

ユーザーデバイスの侵害に関するあらゆる不運と憂鬱にもかかわらず、明るい兆しがあります。それは、ユーザーである私たち自身のデバイスを保護することは、私たちがコントロールできることです。サーバーのリークはそうではありません。 LastPass サーバーの漏洩により数百万ドルを失った 150 人以上の人々は、漏洩や LastPass が不適切な暗号化標準を実装したことに対して何の責任も負いませんでした。

パスワード マネージャーのセキュリティ モデルに関係なく、ユーザーのデバイスの侵害が壊滅的な攻撃ベクトルである場合、そしてユーザーとして私たちがとにかくデバイスを保護する必要がある場合、これが唯一の攻撃ベクトルであれば素晴らしいと思いませんか?ユーザーがサーバーのセキュリティや AES 実装の詳細など、自分で制御できないことについて心配する必要がないように、ユーザーのデバイスから機密情報が一切流出しないオンラインパスワード マネージャーを構築できたらどうでしょうか?

材料はテーブルの上にあります

著者仲間の @hossam26644 は、自身の記事で次のように続けています。「私はセキュリティ狂なのかもしれませんが、約束や評判に関係なく、ある組織に自分のパスワードを信頼したくありません。」彼はまた正しい。サイバーセキュリティは、信頼や評判に基づくものではなく、証明され、監査可能であることが想定されています。

上記で概説した 3 つの原則が、 Neulock Password Managerの開発の指針となりました。現在の形、つまり暗号化ではなく設計により知識ゼロを実現する、監査可能なクラウドベースのパスワード マネージャーに到達するまでに 3 年間の構想と反復を要しました。パスワードはクラウドを使用してユーザーのデバイス間で同期されますが、機密情報がこれらのデバイスから流出することはありません。機密情報はクラウドに決して到達しないため、クラウド サーバーが侵害されても機密情報が漏洩することはありません。

Neulock の 3 年間の制作過程はパート II で文書化されます。