Twitter、「forward secrecy」でユーザーデータ保護をさらに強化

[佐藤由紀子，ITmedia]

　米Twitterは11月22日（現地時間）、SSL接続で提供している各種サービスで「forward secrecy」機能を採用したと発表した。これにより、第三者が暗号化されたユーザーデータと秘密鍵を盗んでも、その秘密鍵での解読はできなくなるとしている。

　これは、米Washington Postが10月30日、米国家安全保障局（NSA）と英政府通信本部（GCHQ）が合同作戦「MUSCULAR」で、GoogleやYahoo!のデータセンターに通信回線を通じて侵入していたと報じたことを受けたもの。この作戦で、大量の電子メールやユーザー情報が盗まれたという。

　Twitterは既に、twitter.com、api.twitter.com、mobile.twitter.comへの接続をデフォルトでHTTPSにしているが、forward secrecyを採用することでユーザーデータの安全性をさらに強化できるとしている。

　forward secrecy（PFSとも呼ばれる）は公開鍵暗号技術の一種で、暗号化されたコミュニケーションを長期にわたって解読されないようにするためのもの。過去のコンテンツに接続するためには長期の公開鍵とプライベート鍵のセットが必要なため、攻撃者はいずれかの鍵を解読してもコンテンツのデコードができない。

　Twitterが採用した鍵交換アルゴリズムは米Googleと同じECDHE_RSA。ECDHE採用によるCPUへの負荷増加は無視できる程度だとしている。

　同社は公式ブログでforward secrecy適用について技術的に詳しく説明し、Webオーナーに同機能の採用を呼び掛けている。Twitterはユーザーデータの保護のために、この機能をWebオーナーにとっての「新しい常識」にしたいという。

　電子フロンティア財団（EFF）が20日に公開した大手ネットサービスの暗号化状況リストによると、GoogleとTwitterの他にDropbox、Facebook、Tumblrがforward secrecyを採用しており、LinkedInも2014年に採用する計画だ。