Torネットワークの新たな暗号化標準「CGO」へ移行
匿名通信ネットワークであるTorは、中継リレーの暗号化に新しいCounter Galois Onion (CGO)アルゴリズムを導入し、セキュリティと耐障害性を大幅に向上させると発表しました。この変更は、現代のトラフィック傍受攻撃に対するネットワークの堅牢性を高め、Torユーザーの匿名性を維持することを目的としています。
Torネットワークは、数千のリレーで構成され、データパケットが3つのリレー(エントリー、ミドル、イグジット)を経由して目的地に到達する際に、各ホップで暗号化層を追加する「オニオンルーティング」を採用しています。これにより、Torブラウザのユーザーは、プライバシーの保護、匿名での情報共有、検閲の回避、ISPレベルの追跡からの逃避といった恩恵を受けています。
従来のTor1暗号化の課題
これまでのTor1暗号化方式は、暗号技術が現在ほど高度でなかった時代に開発されたものであり、いくつかのセキュリティ上の懸念がありました。主な課題は以下の通りです。
- 柔軟なリレー暗号化: Tor1はAES-CTR暗号化を使用していますが、ホップバイホップ認証が欠如しているため、柔軟なリレー暗号化を引き起こします。これにより、攻撃者は自身が制御するリレー間でトラフィックを改変し、予測可能な変更を観測することが可能でした(タギング攻撃)。
- 部分的な前方秘匿性: 同じAESキーを回路の寿命中再利用するため、キーが盗まれた場合、過去のトラフィックが復号される可能性があります。
- 脆弱な認証: セル認証に4バイトのSHA-1ダイジェストを使用しており、攻撃者が40億分の1の確率でセルを偽造できる脆弱性がありました。Torプロジェクトは、特に最初のタギング攻撃がより深刻であると指摘しています。
CGO(Counter Galois Onion)による革新
これらの問題を解決するために導入されたCGOは、UIV+と呼ばれる堅牢な擬似ランダム順列(RPRP)構造に基づいて構築されています。このシステムは、特定のセキュリティ要件を満たすことが検証されており、具体的には「タギング耐性、即時前方秘匿性、より長い認証タグ、限定された帯域幅オーバーヘッド、比較的効率的な運用、近代化された暗号技術」を提供します。
CGOの主なセキュリティ強化点
CGOは、Tor1と比較して以下の点で大幅な改善を実現しています。
- タギング保護: CGOは、ワイドブロック暗号化とタグチェイニングを採用しています。これにより、トラフィックに改変があった場合、セル全体とその後のセルが回復不能となり、タギング攻撃を効果的に阻止します。
- 即時前方秘匿性: CGOは各セル後にキーを更新するため、仮に現在のキーが漏洩しても、過去のトラフィックは復号化されません。
- より強力な認証: リレー暗号化からSHA-1が完全に排除され、代わりに16バイトの認証器が使用されます。これは、より高いセキュリティレベルを確保します。
- 回路の完全性: CGOは、暗号化されたタグ(T’)と初期ノンス(N)をセル間でチェイニングします。これにより、各セルは以前のすべてのセルに依存するようになり、改ざん耐性が確保されます。
全体として、CGOはTor1の多くの問題を解決する現代的で研究に基づいた暗号化および認証システムであり、帯域幅の大きなペナルティを伴いません。
今後の展開とユーザーへの影響
CGOのC Tor実装およびRustベースのクライアントArtiへの組み込みは現在進行中であり、現時点では実験的な機能としてマークされています。今後の作業には、オニオンサービスのネゴシエーション機能の追加やパフォーマンス最適化が含まれます。
Torブラウザのユーザーは、CGOが完全に展開されれば、特別な操作なしで自動的にこの新しいセキュリティ強化の恩恵を受けられるようになります。ただし、CGOがデフォルトオプションとなる正確な時期はまだ発表されていません。