今日、データ漏洩は稀な衝撃ではなく、毎週のように起きる出来事である。顧客記録の流出から盗まれたソースコードまで、私たちのデジタル生活は公開され続けている。

gitサービスは特にサイバーセキュリティの脅威に対して脆弱である。これらはIT業界で広く使用されているオンラインホスティングプラットフォームであり、ソフトウェアを共同開発するために使用され、世界のコンピューターコードの大半がここに保管されている。

つい先週、ハッカーたちがGitLabと呼ばれるgitサービスから約570ギガバイトのデータを盗んだと報じられた。盗まれたデータはIBMやSiemensなどの大企業、さらにはアメリカ政府機関に関連するものであった。

2022年12月には、ハッカーがソースコードを盗んだ。これはIT企業Oktaのもので、GitHub上のリポジトリに保存されていた。

サイバー攻撃者は、開発者の知らないうちに既存のプロジェクトに悪意あるコードを静かに挿入することもできる。こうした「ソフトウェアサプライチェーン」攻撃により、gitサービス上の開発ツールやアップデートチャネルが高価値の標的となっている。

新しい学会論文で説明しているように、我々のチームはgitサービスをより安全にする新しい方法を開発した。パフォーマンスへの影響は非常に小さい。

AD

ゴールドスタンダード

会話をプライベートに保つ方法は既に知られている。SignalやWhatsAppなどの安全なメッセンジャーサービスは、エンドツーエンド暗号化を使用している。これは、メッセージをあなたのデバイスでロックし、受信者のデバイスでのみロックを解除するものである。これにより、サービスプラットフォームがハッキングされた場合でもデータが保護される。これがデータを保護するゴールドスタンダードと見なされている理由である。

しかし、大手テクノロジー企業やスタートアップ企業によって広く使用されているgitサービスは、現在エンドツーエンド暗号化を使用していない。共有ドキュメントなど、私たちが共同作業に使用する他のほとんどのツールについても同様である。

gitサービスでは膨大な数の協力者が同じプロジェクトで同時に作業できるため、ホストされているソフトウェアコードは非常に速いペースで常に書き換えられ、更新されている。これにより、標準的な暗号化の使用は非現実的となっている。そうすると、たった1文字の変更でもすべてのデータを送信するために多くの帯域幅を消費し、サービスが非常に非効率になってしまうからである。

しかし、我々の新しい暗号化手法はこの課題を克服している。

重要なバランスを取る

我々が開発した手法は、「文字レベル暗号化」として知られるものを使用している。これは、gitサービスに保存されているソフトウェアコードへの編集のみを、暗号化すべき新しいデータとして扱うことを意味する。コード全体ではなく。

これは、毎回新しいバージョンを暗号化するのではなく、ワード文書の変更履歴を暗号化すると考えればよい。

この手法は重要なバランスを取っている。更新されたコードをプライベートかつ安全に保ちながら、ユーザーとgitサービス間の通信量と必要なストレージ容量を削減するのである。

重要なことに、この新しい手法は既存のgitサービスとも互換性があり、人々が採用しやすくなっている。また、ホスティング、帯域幅の節約、インデックス作成など、gitサーバーの他の機能を妨げることもないため、人々はこれらのサーバーを通常通り使用し続けることができる。ただし、セキュリティが強化されるという追加の利点がある。

AD

より広範なエンドツーエンド暗号化されたインターネット

この新しいツールは現在、すべてのユーザーに対して無料でオープンソースとして提供されている。gitサービスを使用する際にパッチのように簡単にインストールでき、ユーザーが以前と同じようにgitサービスにアクセスする間、バックグラウンドで動作する。

しかし、これはエンドツーエンド暗号化によって保護されるオンライン共同作業へのより広範なシフトの出発点に過ぎない。

共有ドキュメント、スプレッドシート、デザインファイルに同じ保証を拡張することは可能であるが、継続的な研究と投資が必要となる。

セキュリティを確保するための1つの複雑な問題は、ユーザーが暗号化されたデータを復号化するための暗号化キーまたは資格情報の管理である。幸いなことに、我々の以前の研究は、ユーザーが資格情報を安全に保存できる安全なクラウドストレージシステムの作り方を示している。

同様に重要なのは、セキュリティとコンプライアンスおよび説明責任のバランスを取る必要があることである。大学、病院、政府機関は、特定のデータを保持し、場合によっては合法的なアクセスを提供することが求められている。エンドツーエンド暗号化を弱めることなくこれらの義務を果たすことは、新しい技術の研究を促進する。

目標は、あらゆるコストをかけた秘密保持ではなく、プライバシーと法の支配の両方を尊重する検証可能な制御である。

そこに到達するために、全く新しいインターネットは必要ない。人々が既に使用しているツールに適合する実用的なアップグレードが必要である。そして、明確で証明可能な保証と組み合わせる必要がある。

メッセージングは、エンドツーエンド暗号化が数十億人規模にスケールできることを証明した。コードとクラウドファイルが次であり、継続的な研究と的を絞った投資によって、私たちの日常的な共同作業の残りの部分も続くことができる。

したがって、それほど遠くない将来、あなたも同僚と共有ドキュメントで作業する際に、それもまたゴールドスタンダードのセキュリティを備えているという安心感を得られるようになることを願う。


本記事は、シドニー大学 コンピュータサイエンス学科 准教授 Qiang Tang氏、コロンビア大学 Moti Yung氏、シドニー大学 コンピュータサイエンス学部 博士課程学生 Yanan Li氏らによって執筆され、The Conversationに掲載された記事「The world’s most sensitive computer code is vulnerable to attack. A new encryption method can help」について、Creative Commonsのライセンスおよび執筆者の翻訳許諾の下、翻訳・転載しています。