 |
| 犯罪捜査のための通信傍受に関する法律案(盗聴法) |
|
|
通信の秘密を侵すこの法案だが、インターネットで特定の人の通信のみを盗聴することは可能である。犯罪に関係する通信のみを傍受するすることは、電話同様無理であろう。出来ても全部取得してからのフィルタリングだ
当然ながら通信事業者はこんなことをしてはいけません。
攻撃22
受け取る電子メールの傍受
傍受対象の電子メールを受けるサーバが決まっている場合は、簡単である、forwardを使えば良い、ただし、~/.forwardのような、ユーザーのホームディレクトリ置くような方法は使用してはいけない。
送信する電子メールの傍受、およびネットワークの傍受
サーバ側でも出来ないことはないが、いろいろと面倒であるため、該当ネットワークを直接傍受する方が多い。ダイヤルアップなら、該当IDの接続時に割り当てIPアドレスのみに対して行い。専用線でつながった組織なら上流のルータで行う。傍受対象のネットワークの受け口がスイッチングハブを使っていた時は間にリピーターを通す。使用するのは、
PROMISCモードに出来るNIC、十分速いパソコンにtcpdumpやsniffといったパケットモニター用のソフトだ。当然全データをハードディスクに保存する。ただし、100Mbpsとか1000Mbps太い帯域を全て傍受するには、専用機械がないと出来ないこともある。
防御22
ネットワーク上の通信を盗聴することは、いかに簡単であるということが分かっただろう。組織犯罪を過去に行った組織などは常に盗聴されていてもおかしくなくなってしまうかもしれない。
本文暗号化
電子メールの本文を暗号化するのは、有名なところは2種類ある。どちらも公開鍵秘密鍵をつかう非対称鍵方式である。S/MIMEとPGPである、S/MIMEは良く使われているメールソフトに付いている、しかしVeriSignなどの証明機関を通す必要がある。証明を取るにはとうぜん有料である。
もう1つのPGPはソフトウェアが商用の場合は有料である。
PGPの場合はユーザー間の認証である。公開鍵を相手に送って、その公開鍵を利用して暗号化し、クライアントのパソコンに入っている秘密鍵とパスフレーズで復号する。
最後に注目して欲しい暗号化ソフトがある。
The GNU Privacy Guard である。当然freeで、RFC2440 (OpenPGP) に準拠。
pgpgpgでPGP2と同じ受けオプションになる。
この本文暗号化はは、サーバや、メールを受けていたパソコンがが押収されても有効な対策でもある。
本文暗号化の問題点は、暗号化されるのが本文だけで、Subject(タイトル)、送信者、送信日時、中継したサーバーなどのヘッダがそのまま生で流してしまう。
何について通信したかを知られたくない場合は、ふつうに偽ればいい、合い言葉のような暗号化を施すだけである。
誰と通信したかについては、特殊な場合を除いて偽ることが出来ない。
効果の高い本文暗号化だが、すべてのメールソフトで対応しているわけではない。暗号化というのは、面倒だと使われないものであるため、意外と筒抜けになってしまうことが多い、メールソフトの開発元や作者さんにがんばっていただくしかないようである。
通信暗号化(ネットワーク盗聴のための対策)
一部のメールソフトではSMTP、POP3、IMAP4に暗号化通信であるSSLに乗せることが出来る。SSLは主にWebなどで使われているセキュリティーで保護されているページとかで使われるあれだ。
これを使えば、メールのヘッダや、メールソフトが実行しているコマンドを予測しにくくすることが出来る。コマンドにはパスワードが含まれるので。
ただし、メールを暗号化しないで送っていると、サーバをそのままとか、メールを受けていたパソコンを見られると、内容は分かってしまう。
直接MX参照(中継サーバでの盗聴対策)
もし、通信事業者のメールサーバを中継して、送っている場合。中継サーバで中継したメールをすべて保存なんてこともある。
それを回避するために、相手のメールサーバに直接送るという方法がある。
nslookupなどのソフトでクエリー(問い合わせ)タイプをMXにしてlookupすると、指定したドメインのメールサーバーが分かる。そのメールサーバーを送信メールサーバ(SMTPサーバに指定して送ることにより中継無しで送信できる。
暗号強度
これらの暗号化は計算すれば必ず解ける。どの程度の計算機でどれだけの期間で解けるのか知っておいていた方がいいだろう。ものによっては時効前や裁判が終わらないうちに解かれてしまう可能性もあります。
暗号が強いからといって、パスフレーズ1)を簡単にするようなことは絶対にしないで下さい。公開鍵と秘密鍵を取得された場合、辞書などを使って解読を行うことにより案外簡単にすべての文章が解読可能になります。
それでも、分かること。
どことどのポートでどの程度通信したか、どの程度の命令を送ったかはどうしても分かってしまいます。
その他の暗号化
POP3などはそのままパスワードを漏らしてしまう。そのため、APOPという毎回異なるユーザー名とパスワードいっしょに暗号化したコマンドを送ることにより認証を行う。メールサーバに接続された時に始めに表示されるバナーに表示される値をセットにして暗号化しているので、そのままパスワードを送るよりよっぽどか安全である。パスワードが漏れたら、届いたメールは見られ放題である。
1)パスフレーズ
パスワード異なり、文章によって構成されるので、パスフレーズと呼ぶ。
パスワードならpassword と単語だが、
パスフレーズならThis is passphrase.
と文章で入力できる。当然ながら、こんなパスワード、パスフレーズは使ってはいけない。
