チラ裏2

きちんとした記事にまとめるかもしれないことのメモ、雑記。

2021-06-20 ProtonMail: v3 onionにようやく対応

ProtonMail は必ずしも信用できない。具体的に、ずっと v2 onion のままなのが、懸念の一つだった。けれど先週、いつの間にか(2021年6月14日ごろ)、ひっそり v3 に対応していた。

「v2 廃止」の警告が出るようになっても、この会社は「v3 対応の準備中だが、具体的なスケジュールは未定」のようなことを言っていた。爆発的に大きくなってしまい、対応が後手後手なのかもしれない。あるいは商売っ気が過剰になって、もう腐りかけているのかもしれない。

自社のVPNサービスを販売する都合上、「プライバシー的には無料でもっといいものがある」ことを前面に出しにくいのだろう。「友達と一度鍵を交換すれば、どんな回線を使っても簡単に end-to-end で暗号化できますよ。OpenPGP は Thunderbird のデフォの機能です」「ところで ProtonMail を使っても、通信相手が G ならメールは全部読まれてますよ」なんてことを言ったら、一般の客は逃げてしまう…。多くの人は「暗号化しているから安全」という誤解に基づきつつ「信用してお任せする」という選択をする。

「誰も信用できず回線は盗聴され放題だとしても、正しい手順を踏めば、ほぼ安全でセキュアな通信ができる」ということは、計算量(一方通行関数)の問題で、直観的に分かりにくい。

同人関係の人はよく「自分が死んだら、恥ずかしいファイルを見られないように、誰かにHDを消してもらいたい」というようなことを言う。そのように「誰かに頼ること」が既に脆弱性。そこまで見られたくないのなら、最初から(今からでも)デリーケートなファイルは全部ローカルの仮想ドライブに移動させ、毎回パスワードを入力すればいい。仮想ドライブの実体を巨大でも怪しまれないタイプのファイルにしておけば、家族・知人の目を欺くくらいはできるだろうし、仮想ドライブとばれても、本人が死んでパスワードが不明なら、誰にもロードできないから問題ない(笑)。

ついでに言うと、一般的な「ファイル削除」は「復元できないような本当の削除」になっていない。DEATH NOTE でワタリがボタン一つで一瞬にして「データ全削除」をしているが、物理破壊でない限り、あんなに速い全削除は無理。最低でも全バイトを1回ゼロで上書きする必要があり、巨大データを消すのは何時間もかかる。しかもそれは最低限のこと。機密データを消す場合、一般的には乱数での上書きを7回くらい繰り返すので(念入りなやり方ではさらに何度も上書き)、一日かかる。…この処理はフリーのツールを使って一般人でも簡単にできるものの、それを知らない友達に「普通の方法でファイルを消してもらう」だけでは、気休め程度…と解釈してほしい。

ProtonMail も「暗号学的には気休め程度(プライベートキーをサーバー側に置くのは、本質的には、暗号化してないのと同じ)。でもグーグルと違い、勝手にメールを読まれて広告を入れられる心配はない」くらいの、いいかげんな気持ちで使えばいい。「個人情報を何も渡さず、登録から利用まで全てTor経由の匿名でできるサービス」は、10年くらい前と比べると、結構増えている。ネットが自由になってきたというより、逆に「一挙一動を監視するサービスが当たり前になってしまった」ことへの反動として、それをうっとうしく感じるユーザーの間で「お金を払ってでも、プラバシーを尊重してくれるサービスに移行したい」という需要が増えているのだろう。

2021-06-22 【続報】ProtonMail の v3 onion に疑義 プライバシー生活への移行は「いいかげんな気持ちで」

前回(2021年6月20日)、ProtonMail が先週 v3 onion に対応したことをお伝えしたが、その対応には、まだ不備があるかもしれない。

具体的なことは後日に譲るとして、「がっかり・ショック」というよりは「やっぱりね」と感じた。

前回も書いたように、ProtonMail については、過信せず「いいかげんな気持ちで」使うくらいでちょうどいいと思われる。本気で end-to-end のメール送受信をしたいなら、当たり前だが、余計な中間者を通さず、互いにローカルで鍵ペアを作って、直接、公開鍵を交換すればいい。そうすれば、どんないいかげんな回線経由でも、数学的にセキュアと信じられている通信(数学的なことなので誰かを信用する必要がない=ただしこれは「予想」であり「証明」はされていない)ができるし、現在の Thunderbird では OpenPGP が最初から付属していて、一般ユーザーでも GUI を使って簡単に操作できる。

大企業などがユーザーの一挙一動を追跡する傾向が増している現在のインターネット。プライバシーに注意を払うのは、もちろん良いこと。とはいえ、一般ユーザーから見ると、自分で鍵交換することは面倒と感じるかもしれない。

そういう意味では、一般ユーザーでも手軽に使える Tor Browser(ブラウザ)、DuckDuckGo(検索エンジン)、ProtonMail(ウェブメール)などを少しずつ生活に取り入れてみるのは、最初の一歩としてお勧めできる(お金はかからないし、嫌ならいつでもやめればいい)。仲間に言わせれば「DDG がまだ続いていることは奇跡」。ちなみに Startpage という手もあるが、あれは羊の皮をかぶった Google にすぎない(Ixquick の時代には独自だったが…)。Google を使いたいのなら、Startpage より SearX の方がいくらかましかも…。

G を使うということは、基本的に「G が見せたいページに誘導される」「あなた個人が満足すると推定されるページ(あなた個人の趣味・思想に合ったページ)に誘導される」ということで、それだけだと、プライバシーの問題は別にしても、物事を高所から多角的に見ることができなくなる心配もある。

Proton を完全に匿名で使いたい場合、「アカウントを作るときにメアドを入れなければいけない」というジレンマが生じるかもしれない(プロバイダのメアドなどを入力したら、全然匿名にならないよね)。回避手順は次の通り。ウェブメールでは一貫して Tor Browser を使い、まず Cockmail のメールアカウントを作って、Proton にサインアップするとき Cockmail で確認メールを受信。この方法だと、個人情報を何も渡さず、一度も生IPを見せずにウェブメールを使える。もちろん直接接続する Tor の入り口ノードには生IPがばれるし、「注文のご確認。お届け先住所・お名前」みたいなメールを受信したら、まあ、あんまり意味ないかな…。

だからやっぱり最初のうちは「プロトンには生IPを見られてもいいや、グーグルよりはましでしょ」くらいのいいかげんな割り切りが大切なのかもしれない。何ならブラウザを分けて、クリアネットの普通用ウェブメールと、オニオン経由の匿名ウェブメールと、2個アカウントを作ってもいいかも。「身元を隠すのは怪しい行為」という洗脳から自らを解き放ち、「余計な個人情報をばらまかない方がいいに決まっている」という基本に立ち返ろう。

そもそもユーザーが何もしなくても、メーラーが自動的・透過的に OpenPGP を使うようになってもいいようなものだが…。どうやらリアルワールドとかいう場所には、「メールを中間で読めないと困る人々」というのがいるらしく、有形無形の…あれ、誰か来た

2021-06-25 「ProtonMail は終わった」 …というのは極論としても

プライバシー重視のユーザーに人気の ProtonMail。自分も少し前まで、親しい人に勧めたりしていたのだが…。具体的に何が問題か記す。

理想は .onion 経由の接続。onion は v2 から v3 へ移行中。プロトンも v3 に移行したのだが…

v3 のログインページを開くと、スクリプト経由の分かりにくい形で
https://protonirockerxow.onion/assets/host.png
という v2 アドレスから画像が呼ばれる(大げさに言えばクロスドメイン)。まずこれだけでもテスト不足で、v2 が廃止されたらエラーになるけど、悪いニュースはその先。

この呼び出される画像は、1×1 ピクセルの透過GIF。一般人にはピンとこないかもしれないが、トラッキングが嫌な人にとって、典型的な悪い兆候。しかも GIF の拡張子が不正に .png になっている。善意に解釈しても「細部がおろそか」、悪く解釈すれば「ばれにくくしている」。友人いわく「終わったな…。プライバシーやセキュリティーはセールストーク。中身が伴っていない」。そのことは前から分かっていことで「終わったな」とまでは思わないけど…

しかもプロトンの .onion は v2 時代から「Too many recent login attempts」エラーで、ログイン拒否されることが少なくなかった。このエラーは v3 になっても続いている。onionサポートといっても、エラーが出てクリアネットに誘導されてしまうことがある(クリアネットでも Tor 経由で使えることには変わりない)。なぜこうなるのか理解はできるが、クリアネットからの連続アクセス攻撃(ブロックされても仕方ない)と、ダークネットからの大量アクセス(仕様上、自然に起こり得る)を同じように扱うことには、疑問もある。.onion はいろいろあるが、この手のエラーが出るのはプロトンだけ。

さらに(これは何かの偶発的なことと信じたいが)、Proton を開いたとき何とグーグルの JS が呼び出された経験が1回ある。脱グーグルでプロトンに行ったユーザーにとって、これは不穏。

画像
以前 NoScript が Google からのスクリプトをブロックした瞬間のスクショ。1回だけで再現性はなかった。

ところで前回「プロトンのサインアップでメアド記入が必須だったら Cockmail を使えばいい」と書いたが、残念ながら、Cockmail は現在、新規ユーザーの受け入れを中止している。でも、これは大した問題ではない。disposable email で検索すれば、いくらでも答えが見つかるはず。

いまだにダークネットのネガキャン(怪しいとか犯罪絡みとか)をやってる人もいるが、The Washington Post の SecureDrop も v3 onion を使っているし、DDG は当然 v3 onion 対応。前者は
https://vfnmxpa6fo4jdpyq3yneqhglluweax2uclvxkytfpmpkp5rsl75ir5qd.onion/
後者は
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/html/

従来型有名メディアのワシントンポストや、有名検索エンジンも採用している…と言えば、権威に弱い日本人、少しは考え直してくれるだろうか…?

2021-06-26 ProtonMail からの乗り換え先 プライバシー重視のウェブメール

(参考リンク)2021年6月20日 Is protonmail secure and reliable? : privacytoolsIO (reddit)

ProtonMail は終わっていないが、「大きくなり過ぎて」しまった面がある。プライバシー志向のサービスが大きくなるのは、本来的には良いことなのだが…

既存のウェブメールを使いたいとして、プロトンからも出たくなった場合のことを考えてみた。実際に幾つか試してみた。

以下で紹介するウェブメールは、どれも個人情報不要でサインアップでき、Tor 利用可。

(1) ドイツの Tutanota はプロトンに継ぐ中堅として、よく名前が挙がる。無料で使え、有料バージョンでは独自ドメインも使えるが、プロトンより格安。Tor 経由でサインアップすると、数日の待機期間があるようだ(スパマー対策だろう)。サインアップのとき、プロトンと違い、何の個人情報(別のメアドなど)も求められない。プロトンの予備、そしてプロトンで匿名サインアップするための匿名メアドとして利用可能か。

ホームページでは「世界で一番セキュアなメール」のような宣伝文句を書いている。そのようなことを書く業者は基本的には信用できないが、宣伝トークと受け流すしかない。

(2) 同じドイツの posteo.de。有料だが、格安(月1ユーロ、12カ月先払いだが途中解約で返金可)。デフォのメアドは「名前@posteo.net」、追加料金なしのエイリアスで各国のドメインも使える(別の名前@posteo.jp も選択可)。この会社は顧客の個人情報を見ないように、手間を掛けて意識的努力をしている(「知らない情報については、万一命令されても提出しようがない」というロジック)。クレカ払いでは、住所・電話番号どころか、名前の入力も不要だった。プリペイド方式のクレカで払えば、客側から見てもほぼ完全匿名。ウェブメールだけでなく、メーラーからも使える(IMAPで同期可)。ヘルプなどのインターフェースはドイツ語・英語・フランス語。

Tor については特別な記述がなかったが、Tor Browser からも問題なく使えた。そもそもIP自体を見ていないのだろう。直観的には一番気に入ったけど、透明性レポートの更新が滞っている。勢いが落ちているのかもしれない。EU の法制度の変化の影響も受けている。少し前の透明性レポートによると、当局からの情報提供要請は月20件程度、ほとんどがドイツ国内からの命令(国外からの要請は少ない)。会社側の対応は、大部分「その情報は保持していないので、協力不可能」。ドイツ以外のユーザーが、令状や協力要請によってデータを開示されてしまう可能性は非常に低い。犯罪などと関係ない日常的なメールのユーザーなら、がっちりガードしてもらえそう。

(3) オランダの disroot.org は無料で使えて、脱中心をキーワードにしている。ウェブメールだけでなく、メーラー経由も無料らしい(プロトンだと確か有料)。商売というより、とがったコミュニティーのような感じ。Tor でサインアップしたら、実際に使えるようになるまで1日程度の待機期間があった。登録完了のお知らせを見たら、エイリアスに @getgoogleoff.me があって、ちょっと笑えた(ベタ過ぎ)。ログインページでは「このサービスはセキュアですが、常に注意深く、GPG end-to-end encryption を併用することをお勧めします」と注意喚起している。「暗号化しているので安全です」といかれたことを言うプロトンやトゥータ・ノータと違い、常識的。Cockmail に至っては(新規受け付けを中止してしまったが)、FAQ で「あなたを信用できるという証拠は?」「信用できません。その気になれば、私はあなたのメールを読み放題です」と、メールプロバイダー視点の事実をありのままに述べていた。

(4) CTemplar.com。明示的に Tor-friendly だが、無料プランは紹介制なので試さなかった。真剣にプライバシーを考えているサービスにおいて、Tor-friendly は基本の必須条件で、セールスポイントではない。

きちんとした v3 onion を持っていることや、プライバシーポリシーにおいては Proton の上を行くが、費用が高い。

(5) mailbox.org。これは駄目。キャプチャがグーグル。ユーザーの求めるものが見えていない。有料プランのみだが、30日のお試し期間があるため、何も払わないで解約か放置すれば、実質、30日無料で使える。ドメインを持ってる人は、DNS をいじると、ここと連携させられる?(このサービスは普通は有料なので、1~2回だけそのメアドを有効にしたい場合には、有用かも。ホスティング会社と契約する必要もない。ただメアドの転送サービスくらいは、もともとレジストラが無料で提供してくれることもあるだろう)。

***

メールを使う上で一番困るのは、実際に使っているメアドが削除されてしまったり、突然使えなくなったりすること。この心配の原因は「メアドのユーザーが、メアドのドメインを所有していない」という力関係。抜本的対策としては、ドメインを自分で所有して、自分でDNSを管理するという選択肢がある。そうすれば、サーバーがつぶれても、別のサーバーでメアドを使い続けることができるし、「好きな名前@自分のドメイン」のメアドを無限に作れる。ドメインの値段は、そんなに高くない(種類にもよるが、普通は年間1000円~5000円程度)。オランダには無料でドメインを提供してくれる会社もある(いつ終了するか分からないので、一般用としてはお勧めできないが、一時的な使用ならいいかも)。ドメインがあれば、自前のブログやウィキ等も自由に運営でき、業者と契約する必要がない。

しかし一般論として、ドメインを所有するためには、登録業者に個人情報を渡さなくてはならない(Whois上では代理公開してもらえるが)。ここでは「余計な個人情報を出さないで使えるウェブメール」が理想なので、それだけのために、わざわざドメインを登録するのは、本末転倒だろう。匿名でのドメイン登録という概念もあるが、一般向けとは言い難い。

「プロトンからの乗り換え先」がこのメモのテーマだけど、とりあえず ProtonMail を試してみても損はない(無料だし、グーグルではないので)。もし違和感を覚えたら、Tutanota を試してみてもいいだろう。これも無料だし、プロトンと違い、サインアップにメアドすら必要ない。disroot.org は無料だが、癖がある。posteo.de は格安だが、無料ではない。

他にも同種のサービスはあるだろうから、探してみよう。何がベストかは人それぞれ。グーグルに監視されないリラックスした生活を楽しもう。

2021-09-01 メール・プロバイダの安全性 あなたのメアドは何点? 定量的分析の一例

Test your email のフォームに、テストしたいメアドの @ より後ろの部分を入れて、Start test をクリックするだけ: https://internet.nl/(オランダの公共的な組織)

ネット上で安全(セキュリティー)は基本だが、それは簡単な概念ではない。大きく分けると:

上記のテストは、前者をチェックするもの。技術的には「この通信は暗号化されているので安全」のはずでも、実際には…

…といった問題があり得る。実際、いくらSSLでも、怪しげなページで個人情報やクレカ番号を入力したくないだろう。

技術的セキュリティーだけで安全性を測るのは、かえって誤解の原因になる。分析の方法も特に規格があるわけでなく、点数化は一つの目安にすぎない。そのことを理解した上で、以下のデータを見てほしい。

Cock.li
38点 https://internet.nl/mail/cock.li/574926/
mailbox.org
71点 https://internet.nl/mail/mailbox.org/574929/
ProtonMail
75点 https://internet.nl/mail/protonmail.com/574916/
posteo.de
81点 https://internet.nl/mail/posteo.de/574558/
disroot.org
85点 https://internet.nl/mail/disroot.org/574912/
CTemplar
87点 https://internet.nl/mail/ctemplar.com/574923/
TutaNota
87点 https://internet.nl/mail/tutanota.com/574963/

以上は、「ProtonMail からの乗り換え先 プライバシー重視のウェブメール」で言及したメール・プロバイダについて、Internet.nl によってスコアリングしたもの。このような技術的評価だけで総合判定はできないが、「プロトンメールは悪化している?」という直観は、技術的にも正しかったようだ。プロトンからの乗り換え先として「mailbox.org は駄目」と断定したが、こうして見ると、技術的評価でもプロトンよりさらに下であり、乗り換え先として適さないことが分かる。

Cock.li は極めて低い点数であり、メールサーバーにつなげて日常的に使うような「普通」の用途には向いていない。このサービスは、大ざっぱにいえば、半分使い捨て感覚の完全匿名メアド。「プロバのログに足跡を残さず、プロバ提供のDNSも使わず、.onion経由でさらにGPGでやり取りするような人」でなければ、使う意味がない。逆にそういうユーザーにとっては、チャンネル自体はいいかげんで盗聴され放題でも、暗号学的な安全性が高い。いずれにしても、完全招待制に移行したので、今から始める人には使いようがないため、考察対象外とする。

プロトンは定番なので、説明するまでもないだろう。グーグルから脱出した人が最初に使うデフォルトだろうが、その定番に陰りが見えているというのが本題だった。

ドイツの posteo.de の技術評価は、そう悪くない。満点でない大きな理由は IPv6 サポートの不足。評価しているのがオランダの組織、オランダはIPv6移行の先進国なので、IPv6サポートが第一の評価ポイントとなっている。指摘されているもう一つの欠点は、スパムや詐欺メールの送信元になることへの危惧。技術的にはDMARCポリシーが不十分と判定された。実際問題どうかというと、有料サービスなので、無料メアドに比べればスパマーに使われにくいだろうが、個人情報を一切尋ねず保管もしないこと、ログを残さないことなどから、悪事にも利用可能という面は否めない。プライバシー尊重型サービスのジレンマ(悪事を完全になくすには常時監視が必要だが、プライバシー志向の善意のユーザーは監視されたくない)。古いTLSバージョンでも通信ができることも、欠点として指摘されている。実際には、ユーザーごとの設定で、セキュアでないサーバーとのメール送受信を拒絶するようにできるのだが、デフォでは拒絶していない。

posteo.de で好感度が高いのは、サポートが普通にGPGに対応していること。こちらの公開鍵を添付してOpenPGPのメールを送ると、OpenPGPで返事が来る。公開鍵の公開すらしていないプロトンとは、比べものにならず、実際、ドイツではかなり人気が高い。

オランダの disroot.org はメール会社というより個人が趣味でやっているようなサービスだが、同じくらいの点数。実用上の大きな違いは、posteo.de は有料、disroot.org は無料ということだろう。有料サービスは、決済のときにどうしても直接・間接に個人情報のやり取りが発生する。暗号通貨決済ならまた別だが、今の一般ユーザーにとって「暗号通貨を匿名でゲットすること」は困難であり(*1)、暗号通貨購入のときに個人情報のやり取りが発生するので、結局同じこと。posteo は、この決済問題の解決に並々ならぬ努力をしていて、極端な話、ドイツにいる人なら「店頭で現金払い」もできるようになっている。

CTemplar は、やや点数も高いが、料金も高い。しかも2021年7月に致命的なシステム障害が起きた。
https://old.reddit.com/r/ctemplar/comments/oh3xj4/system_failure_issue/
CTemplar の料金を払うくらいなら、ドメインを取って、自分で直接サーバーを管理した方が手っ取り早いと思われる。

無料や格安のメールサービスは、星の数ほどあるが、上記で紹介したのは、その中でもTorフレンドリーのもの。Cock.li、ProtonMail、CTemplar は、Tor専用の.onionアドレスを持っている(ただし、ProtonMail の場合、onionアクセスについて実際には制限がある)。Posteo.de は、フレンドリーというよりTorニュートラル(Torだからといって特別扱いもせず、拒絶もしない)。

結論として「オランダ視点の技術スコア」をベースにした判断では、TutaNota が最も良い。確かに、Protonからの乗り換え先としては、常識的にも TutaNota が第一選択肢だろう。ただ実際のところ、ユーザーごとに求めるものは違っていて、どのサービスも、試しに使ってみないとフィーリングがつかめない。基本的に「このサービスを使えば絶対安全」というようなことはないし、前述のように、純粋にインターネット上の技術面だけで判断するのではなく、いろいろな要素を考え合わせる必要がある。あくまで参考までに…

*1 国によって法律・制度は異なるだろうが、「暗号通貨の受け取り・所持・使用」自体が禁止されていない地域なら、友達から個人的に譲ってもらうのが手っ取り早い。既にコインを持ってるなら(2021年現在、最低で約0.0011 BTC必要)、それを担保にP2Pプラットフォームを活用すれば、手持ちのコインを増やせる。このケースは、割と事務的に事を進められる。面倒なのは「最初の担保」が無い場合…。今の一般ユーザーは、こちらのケースになると思われる。

その場合、いろいろな意味でリスキーだが、Keybaseの専用チャンネルで個人的に交渉する方法もある。Keybase自体は中央的なアプリで、信用できない。初回起動時にはネットの接続を切って(あるいはファイアウォールで通信を禁止して)、Torプロキシを使うように設定し、あれこれ設定画面が出ても余計な個人情報を入力しない方向で。チャンネルに入ったら、しばらく雰囲気を観察してから、「どこの国でもいいから、○○USD、△△EUR程度のギフト券と引き換えに0.002譲ってほしい。プライベートメッセージください」みたいなことを言って様子を見る…。提示金額は市場価格より十分高く、ただし不自然に高過ぎるのも逆に怪しまれるので、1~2割増くらいか。ドルと交換したいなら北米の時間、ユーロと交換したいならヨーロッパの時間で、週末の昼から夜。値動きが小さく、Mempoolがすいてるときが吉。

取引相手が信用できると思ったら、その人の指定の国のオンラインショップでギフト券を買って、送る。0.002なら、だまされても諦めがつく。暗号関連の全ての通信はTor経由で行いつつ、ギフト券のショッピングは普通に行う(プリペイド方式のクレカでもいい)。ごちゃ混ぜにならないように、別々のデバイスでやろう。今どきのオンラインショッピングではSMS認証が絡む可能性が高いので、それも準備しておこう。仮想SMSなどを使うとかえって怪しまれる。例えばプリペイド式のデータSIM(SMS付き)を買って、その辺に捨ててある昔のスマホに挿してもいいし、面倒ならメインの電話番号をさらしてもいい。何かの登録が必要なら、コンビニの無線LANを借りて、その場で済ませてしまう手もある。

注意深くやって、運に恵まれれば、身分証明不要で合法的にBTCが手に入り、しかも暗号サイドの送受信はTor経由なので、かなりセキュア。ここまでできたら、あとはP2Pソフトで追加購入したり、Moneroに変換したり、何なら今度は自分がギフト券を受け取る側になったりすればいい(P2Pは助け合い)。「BTCを作った開発者自身、身元不明」という事実が、この技術の本来の理想を示唆している。注意点として、このような匿名性の高いコインを中央の両替所に持ち込むと、潜在的にトラブルの原因となる。投資目的などで、中央を使うつもりなら、最初からそうした方がいいかと…。これは、売買して儲けようという発想の場合。一方、上記は「暗号通貨は、プライバシーを保護するための実用的な決済手段」「匿名性の実現のためには手間が増えて、割高になっても仕方ない」という、儲けとは正反対のベクター。メールプロバイダが暗号通貨決済に対応していて、利用者側も「個人情報とひも付けられていないコイン」を用意できるのなら、それを使うという選択肢もあるでしょう、と。現実的には「そこまで手間をかけるくらいなら、無料メールでいい」という結論になるかと…。まあ、とりあえず参考までに。

注1: 上記のようにKYCなしでBTCを入手しても、BTC自体、全部の取引が丸見えなので、言われているほど匿名性はない。匿名で募金をしたいような場合、できればBTCではなく、XMR (Monero) を検討しよう。例えば Tor Project を支援したいとしても、Tor の支持者だということが公然となると(そして募金のとき決済業者に住所氏名などを伝えると)、それ自体が逆にプライバシー上の潜在的脅威となってしまう。Tor 自体、米国政府の息がかかったプロジェクトだし、国によっては Tor を使っているだけで弾圧を受ける可能性があるので、ツールとしては支持していても、やたらと人間・組織を信用しない方がいい(=何が起きるか分からないので、できるだけ余計な個人情報を渡さない方がいい)。そういう場合には、プライバシーのある XMR で募金をすればいいだろう。

注2: 「P2Pベースだと、中央を通すより割高になる」というのは、ある程度仕方ないことだけど、中央の両替所だって、それで食ってるのだから、かなりの手数料を徴収するだろう。基本的に、売ってもらう立場(taker)だと全てが割高なので、自分が maker になって、誰よりも良心的なレートを提示するといい。相手の言い値でなく、自分の言い値で取引すれば、しばしば5~20%くらい節約でき、ピアからも感謝される。

例え話として、円払いでドルを買いたいとしよう。「ドルを売ります」コーナーに行くと、相場(マーケット価格)プラス10%といった割高なレートでドルのオファーがあるかもしれない(ドルを高く売って儲けようとしている)。それが最安だとすると、taker は「高いなぁ」と思いつつ、それを買うしかないのだが…。その結論に飛び付かず、ちょっと「円を売ります」コーナーを覗いてみよう。逆のパターンの投資家が、相場プラス10%といったレートで円を売っているかもしれない。そして、それが最安かもしれない。そうすると、円を買いたい人も「高いなぁ」と思っている。この状況で、あなたが「円を売ります」のオファーを相場プラス1%ですれば? 恐らく、すぐ買い手がつく。そして、あなたから見ても、ピアから見ても、実勢価格より9%くらいお得な取引となる。…もちろん円とドルでは、こんな極端な状況にはならないだろうけど、発想としては、そういうこと。「円を手放して、ドルをゲットする」という内容は同じでも、自分を「ドルを買う客」と考えず、むしろ「円の売り主」として行動すれば、できることが変わる。自分の判断でレートを設定・変更できる。「支払いで実際に使うコインの準備」が目的であり、儲けるための取引じゃないのだから、プラマイゼロ付近のレートを提示でき、結果的に、儲け狙いの人々より競争力が高くなる。

2021-09-06 ProtonMail「地上げ反対」のメール・プライバシー守れず 同社だけの問題ではない

ProtonMail logged IP address of French activist after order by Swiss authorities | TechCrunch(2021年9月6日)

「プライバシー志向のセキュアなメール」という触れ込みのスイス ProtonMail(以下「プロトン」)が、フランスの社会運動家のIPアドレスなどを当局に提供していたことが分かり、波紋を呼んでいる。しかし、悪いのはプロトン、と言い切れない面がある。

被害に遭ったグループだが、「高級住宅地化」に反対する人々だったという。貧しい庶民や高齢者が多く住む地区から弱者を(事実上)立ち退かせ、しゃれた住宅街に再開発すること…。それ自体は「ゴチャゴチャした古い街が新しく生まれ変わる」のだから、悪いことばかりでもない。地区の美観やイメージの改善、経済の活性化、そして政治側から見れば税収の増加も見込まれる。半面、家賃が払えなくなってそこに住めなくなる人々から見れば、うれいしことではない。要するに「地上げ」なので、抵抗が生じるのも予想される。

再開発の是非はさておき、さしあたって問題なのは「反対運動をしているという理由から、通信の秘密を侵されていいのか?」ということだろう。

これがグーグルやヤフーならいつものことかもしれないが、世間は「プライバシーを売り物にするプロトン」と思っているため、ちょっとした騒ぎとなり、こうしてニュースとなった。

「地上げ反対」が嫌がらせに遭うことは、分かり切っている。そういう活動をする人々自身も、もっと気を付けるべきだったのではないか。プロトンの宣伝をうのみにせず、少なくとも生IPでアクセスしないという基本を守っていれば、こんなことにはならなかったのでは…。上記記事中でも、プロトン自身が「VPNやTorを使っていれば良かったのに」と示唆している。プロトン視点では、裁判所から正式な命令が来たら、情報を開示しないわけにはいかない。ポステオだったら、抵抗して裁判で争ってくれるかもしれないケースだが、大企業のプロトンが一人の無料ユーザーのためにそこまでしてくれるわけないのは、常識で分かるだろう。

むしろ嫌な感じなのは、何で「地上げ反対」くらいで、裁判所が開示命令を出すのか…。それも国内問題ならともかく、フランスからスイスに正式協力要請というのは…。誘拐事件や爆破予告なら話は分かるが、再開発反対なんて、盗聴までして取り締まるような案件ではない。プロトンを過信したユーザーにも問題があるし、プロトン自身も一切抵抗せず格好悪いけど、フランス&スイスの裁判所の決定が不穏(例えばアイスランドだったら、裁判所が開示請求自体を門前払いしていたのでは…)。

追記: 被害に遭ったグループ(プロトンに「売られて」しまった)は、気候変動関連の環境保護運動をしている人々で、地上げ反対的なことは、その活動の一部と関係していたらしい。地上げ反対の部分は「立ち退き命令があっても、拒否して居座る」といった部分が、形式的には軽犯罪(不法占拠とか)に当たるので、理屈としては処罰されても仕方ないのだが、だからといって、全部の通信を盗聴させるようなことは、不釣り合いな捜査方法だと思われる。たぶん法律的には悪質でなくても、捜査機関を心理的に怒らせるような何かがあったのだろう。抗議する側も、違法にならない範囲で、平和的に抗議すれば良かったのだが…。とはいえ、権力に腐敗は付き物。「容疑」だけなら微罪逮捕はいくらでも理屈がつくので、神様の目から見てどっちが悪いのか?というのは、判断しづらい。歴史的に見れば、革命を起こして王権を倒したフランス人だしねぇ…(そしてあの血なまぐさい歴史が、今では「民衆の勝利=正義」ってことになってるんだから、世の中、無常だよね)。

プロトンが開示請求に従った数は、2017年にはたった23件だったが、2020年には3000件を超え、この勢いだと、今年2021年には1万件を超えるかもしれない。プロトンは、大きくなり過ぎてしまった。BitTorrent用のVPNを提供するなど、商売っ気を出して調子に乗り過ぎている。規制の口実にされるようなことすると、結局、善意のユーザーが迷惑する。しかしそれはメールと関係ないこと。スイスの司法側も、悪い方向へ変わってきてるのか…。

これからの時代、やはり中間の誰か(この例ではプロトン)を信用するのは、危険が大きい。公開鍵を通信相手と(安全なチャンネルで)交換し、送信元のローカルで暗号化して、受信側で復号する。秘密鍵は絶対にローカルから出さず、中間の誰かに「暗号化代行」をさせない。デリケートな通信であるなら、利便性ばかりを追求せず、そうした基本に立ち返る必要がある。

直接会ってメアドを交換するとき、ついでに公開鍵も交換したって、大して手間は変わらない。「メールというのはアドレスと鍵を交換して行うもの」というのが常識になり、全部のメーラーが当たり前にオープンソースの非対称暗号をサポートするようになれば、そもそもプロトンなんか要らない。なぜそうならないのか…というと、やはり各国のお偉いさんは「一般庶民にセキュアな通信をしてほしくない=裏口や監視窓口を作っておきたい」と考えているからだろう。一方ではネット上での安全性を確保しましょうと言いつつ、数学的な安全性の高い手法を普及させようとしない。公的なサイトのくせにTorをブロックしたり(ある意味、自分たちはDDoSを防げない脆弱サイトですと告白しているようなもの)、公的サイトや銀行のサイトなのに、サードパーティーのスクリプトやアイコンや地図やアクセス解析を平気で読み込んだり、プライバシーやセキュリティーの観点からは、めちゃくちゃなことが多い。

このままではいずれ大変なことになるが、だからといって、息苦しい監視社会になってほしくない。ユーザー側が一歩先・二歩先・三歩先を考えること、監視されたくないからこそ、決して匿名化技術を悪用しないこと(規制の口実を与えないこと)が、大切だと思われる。個人情報を既に登録しているサイト、本名でメールを受け取ってるメールプロバに、匿名的にログインするのは無意味であり、基本的には逆効果。「こうすればOK」というような簡単な解決法はない。

2021-09-08 ProtonMailで接続IPを記録しない設定(参考)

ProtonMail の Security では、デフォルトで Security logs が有効になっている場合がある。

必要なければ、設定上、このログを無効にできる(ログが既にある場合、併せて手動でワイプできる)。

設定画面の説明によると「You can enable authentication logging to see when your account is accessed, and from which IP. We will record the IP address that accesses the account and the time, as well as failed attempts.」

この設定は「IPのロギングを明示的に許可する」という意味合いを持つ。オフにしても「ロギングを禁止する」になる保証はない。プロトンは匿名利用可のサービスなので、接続元を知らせたくないなら、プロキシ経由でサインアップして、常にプロキシ経由でログインすればいい。

匿名で利用できるからといって、プライバシーが保たれるわけではない。「第三者に知られたくないプライベートな話」や「漏洩すると困る情報」については、極力メールでやり取りしない方がいい。プレーンテキストのメールというのは「はがき」のようなもの。可能性の問題として、通信経路のあらゆる場所で、簡単に盗み読みされてしまう。OpenPGP を使ったとしても、依然としてメタデータが丸見え。

2021-09-12 メールプロバどうしよ?

今年の前半くらいから ProtonMail に微妙な疑問を感じ始めた。最初は「もう Onion v2 が終わるのに v3 に移行しない」という純粋に技術的な問題だった。本気でプライバシーを考えて深層ウェブを運営しているとは、とても思えない。気になりだすと、この会社、そもそもPGP鍵さえ公開していない。そしてとうとう、この9月には、自社ブログで弁明を出すような失態…

正直言って、プロトンを信じられるなら信じたい。一時は自発的に寄付するくらい応援してたので…(今から思うと、ばかだった。あんな大企業に対して、オープンソース・コミュニティー感覚で少額の寄付をしても、向こうは何とも思わないだろう)。プライベート鍵を相手のサーバー上に置くのは本質的に駄目、ということは分かってるけど、ぶっちゃけ、突然理不尽なアカウント削除を食らう可能性がなければ、このまま使い続けてもいいのだが…。とりあえずプライバシー面では信用できなくなったので、いろいろな場所の登録メアドを徐々にプロトンから、移行している。

でもね…。こじんまりとして雰囲気のいいメールプロバはあるけど、経験上、小さいところは、いつつぶれるか分かんない。うさんくさくても、大手のプロトンの方が、その意味では安心なのか…。プロバ乗り換えの可能性がある以上、同じメアドを確実に使い続けるには、自分のドメインを使うのが一番なんだけど、それはそれでまた特有の問題がある。

フォーラムなどは、メアドだけでサインアップできることが多いけど、ログインのとき、毎回メアドに届くワンタイムパスワードを入力させるパターンも少なくない。あるいは、メアドを変更するには、新旧両方のメアドでURLを受け取る必要があるとか…。そーゆーケースでは、突然メアドをデリられると、ログインできなくなったり、メアド変更の手続きができなくなったりする。コミュニティー的なところでは、管理者に直接相談して何とかしてもらえるケースもあるし、垢を取り直せばいいだけの話ならそれでもいいんだけど、潜在的にどうしようもないデッドロックに陥る恐れがある。一方的で不平等な契約モデルを改め、「有料ユーザーのアカウントを削除する場合や、サービス自体を終了する場合、30日前に通告しなければならない」みたいな規約が世界的に成立してほしい!

夜逃げみたいに終了するサービスでは、そんな規約があっても、どうせ守られないんだろうけど(笑)

2021-09-23 フリーメールのTutanotaについて

定番だった ProtonMail(プロトン)が、いろいろと怪しくなってきている。自社ブログでさんざんグーグルの悪口を並べておきながら、2021年5~6月ごろにはグーグルのキャプチャを使い、批判を浴びた。
[Security and GDPR Issue] ProtonMail includes Google Recaptcha for Login, every single time. #242
https://github.com/ProtonMail/WebClients/issues/242

スパマー対策にキャプチャを使うこと自体は、一般論としては必要悪。でも、プロトンほどの大企業が「当社には、自分でスパマー対策を行う技術力がありません」というのは、情けない。

例えば disroot だと、スパマー対策としてサインアップのとき「作文」をさせていた。以前試しにアカウントを作ってみたときのお題は、確か「透明人間になれたら何をしますか」。思い付きで「攻殻機動隊の少佐のコスプレ」と答えたら、それで通った。笑えるキャプチャ(?)。

プロトンが駄目だとすると、常識で考えれば、次の選択肢は Tutanota(トゥータノータ)。でも正直、トゥータもピンとこない。

トゥータの良い点: ①メアドを含め、個人情報を入力せずアカウントを作れる(プロトンより少し良い)。人間のやることには、間違いがつきもの。漏洩事故を防ぐには、不必要な情報を入力させないことが一番。②ログインのときキャプチャも出ない(プロトンより決定的に良い)。③有料プランもプロトンより安い。④もちろんTorフレンドリー(プライバシー志向である以上、これは当然の最低条件)。

トゥータの悪い点: ①ログがある程度、長期保存されるので、監視されている感じがする。「ログは暗号化して2週間だけ保存」と説明されているが、実際には、消えない(プロトンは、少なくとも建前上「原則」ノーログ)。②トゥータ内では暗号メールが使えることになっているが、標準の OpenPGP ではない。暗号の世界では、独自仕様はタブー。③プロトンと違い暗号通貨で支払いができない。一応BTCでギフト券を買えるようだが、仕組みが不透明。④Torフレンドリーだが、.onion未対応。

プロトンでは、今でも hCaptcha が出ることがある。グーグルのキャプチャより心理的にはマシかもしれないが…。深層ウェブの核心は「従来の表層ウェブからは不可視だから、盗聴・検閲などの攻撃に強い」ということ。そこに表層ウェブを交ぜたら、深層ウェブの意味がない(そのくせ宣伝上では .onion サポートを売りにしている)。キャプチャが出るのは特定の場合だけで、一般ユーザーにはあまり影響ないとはいえ、プロトンのやることには、疑問も多い。

しかし有力な乗り換え先に見えるトゥータノータも、中身は五十歩百歩。結局、メールという通信手段は「はがき」のようなもので、プライベートなやり取りには適さないのかもしれない。たとえ暗号化してもメタデータが丸見えだし…。「ここは良いかも」と感じているメールプロバもいくつかあるけど、やはり何年か使ってみないと、本当のところは分からない。

2021-10-02 メールプロバ・メモ disroot / posteo / cock.li

支配的な巨大組織がその支配力を使い、ますますやりたい放題になっていく…世の常とはいえ、穏やかでない。GDPRは一応のプライバシー保護を定めたEUの法制度だが、往々、北米の利権団体には、GDPRさえ敵視・問題視している。

プライバシー重視のメール」について、もう少し掘り下げてみたい。

メールに完全なプライバシーを求めることは難しい。PGP を使えば確かに pretty good だが、メタデータがあるため perfectly good とはいえない。

(1) オランダの disroot.org はメールだけでなく、XMPP、クラウド、グループ内でのファイル共有など、多様なサービスを無料で提供している(検索のsearxインスタンスもあり)。しかもメールはウェブだけでなくメーラーからも使え、近い将来、カスタムドメインも無料で使えるようになるらしい(これは一般向けサービスとしてはかなり異例)。今のところ使用しているウェブメールソフトは RainLoop だが、Roundcube への移行が予定されている。

*** 2021-10-01
[15:32:58] <repayment> Muppeth: I learned of your service via the Tails OS website... If they trust you, I trust you lol 
[15:33:20] <Muppeth> 🙂 hope you will like it. 

イタリアの Autistici もそうだが、disroot にも一種「社会運動色」がある。例えば、ページの壁紙が…↓

…中絶の是非をめぐり、選択の自由を訴えるポーランドの抗議運動。それ自体は、真剣な社会運動だろうが、ウェブメールサービスの壁紙としては、何とも違和感がある。社会運動とリンクしたフリーメールプロバイダーといえば、「立ち上がれ!」という意味の RiseUp があるが、disroot も「根こそぎに覆せ!」というほどの意味の造語らしい。中身は別に過激なサービスではないのだが、羊のようにマイルドな、日本人の好みには合わないかも(笑)。

(2) ドイツの posteo.de は、1日1回バックアップをして1週間でローテーション。従って、ユーザーが受け取ったメールをすぐ削除した場合、その日のバックアップ以前なら、瞬時に消え、その日のバックアップ以降なら1週間後に消える。この透明性は、気持ちがいい(ユーザーが削除したはずのメールを永遠に保存するようなサービスは、セキュリティー上もプライバシー上も良くない)。基本的にノーログだが、決済のとき、GeoIP をかけられ、接続元は国単位で記録される(アムステルダムなら「オランダ」みたいに)。ブラウザの言語情報も保存される。日本は「EU外」のくくりになるが、とりあえず「国単位まで匿名にできない」。これは、posteo がやりたくてやってることではなく、EU の法制度の縛り。支払いが行われた国によって税金の扱いが変わるため。…別の国で決済する手もあるが(極端な話、物理的にドイツに行って現金払いすれば、消費税はドイツに入る)、暗号通貨決済はサポートされていない。こういう点では、EU外スイスの ProtonMail の方が融通が利く。

良いニュースとして、決済情報とメアドは、ひも付けられていない。例えば「ある人がオランダで支払いをした」ということと「その人のメアドがこれだ」ということは、結び付かない。Posteo から見ると「オランダからパンの注文があって、パンを1個販売しました。それがどのパンかは記録していないし、ましてやパンを買った人の住所氏名など、尋ねる義務もない」というスタンス。法制度の縛りの中で、プライバシーのあり方をよく考え、工夫している。「取得していない情報は漏らしようがない」…まさにその通り。

日本のIPから接続して、日本語でメールのやり取りをするユーザーにとっては、どっちにしても国情報はほぼ公然なので、気にしても仕方ない。仮にプロキシを使おうが、ヘッダで ja-JP をリクエストしたり、PCの時計が日本時間でJavaScript有効だったりすれば、結論は言わずもがな。

Posteo にも微妙に社会運動的な面があって「グリーン電力だけを使っている」「社員はベジタリアン」などと宣伝(?)している。少し偽善くさい気もするが、まぁ持続可能性を重視して、結果として突然サービス中止になりにくいのなら、それはそれで良いこと。ヨーロッパに最適化されているので、日本との相性は未知数。「日本では有名な大手接続プロバイダー」経由のメールが、スパムと誤認されてブロックされる可能性もある。

(3) ルーマニアの Cock.li はある意味、老舗だが、雰囲気的には「しょぼい」サービスだった。結構頻繁にサーバーが落ちるし、ドメイン名も、ちん…珍奇だし、全般的に「個人が趣味で適当にやってる」ような感じ。管理の手腕はさておき、昔から .onion を提供したり、意識の高いサービスだと思われる。

スパマーに悪用されることも多かったらしく、結果的に、宛先のサーバーで着信を拒否されるリスクがやや高い(=メールを受け取れるが送れない、あるいは届くのに時間がかかるといった現象)。

感覚的には半分「捨てメアド」だけど、そうは言いつつ、結構実用にもなる。最近、ウェブメールソフトが Roundcube になって、エレガントな感じになった。ウェブだけでなく通常のメーラーでの使用もでき、XMPP も提供されている。仮に生IPで接続送信しても、メールのヘッダにはIPが出ない。こういうタイプの無料サービスは、昔はかなり貴重だった(他に unseen.is と openmailbox.org があったが、どちらも消滅)。

現在は招待制なので、@cock.li や @airmail.cc というメアドを使ってる友達がいたら、頼んでみよう(このメモを読んでる人なら、周囲に誰かいるはず)。この手のサービスは、いつ終了するか分からないのだが、ここは意外と長続きするかもしれない。

2021-10-20 Wikipedia over .onion Searx風

説明 https://codeberg.org/orenom/Wikiless

Onionインスタンスの例 http://dj2tbh2nqfxyfmvq33cjmhuw7nb6am7thzd3zsjvizeqf374fixbrxyd.onion/

一般論としては、プロキシを信用せず、普通に Tor Browser で見た方がいい(プロキシ自体がスパイかもしれないし、ウィキペディアは、閲覧に関してはもともと Tor friendly なので)。けれど .onion なら、場合によっては利用価値もあるかと。

2021-10-27 検索エンジン MetaGer Webのプライバシーあれこれ

プライバシー志向の検索エンジンといえば、現在、一般的には DuckDuckGo が第一選択だろう(略称: DDG、ショートカット: ddg.gg)。一つの検索エンジンだけを使い続けることは、それ自体がプライバシー上のリスクとなるため、他の選択肢も模索している。

(1) 結構気に入ってるのは、ドイツの MetaGer。オニオン・アドレスは
http://metagerv65pwclop2rsfzg4jwowpavpwd6grhhlvdgsswvo6ii4akgyd.onion/en/

長所 メタ検索だが、検索精度はかなりいい。JavaScriptオフ、クッキーオフで使えるのは当然として、その状態で画像検索もできる(これは珍しい)。中国語やアラビア語のサイトもヒットする。昔の ixquick にあったプロキシ閲覧機能もある。プロキシ閲覧は、閲覧履歴を把握されてしまうので、普通は使わない方がいいのだが、閲覧をブロックするアホ・サイトを素早く見たいとき、役立つ可能性がある。どんなにブロックされても、あの手この手でどうせ閲覧はできるし、大抵、Tor をブロックする時点でろくでもないサイトと分かるので、速攻閉じてしまうが…

MetaGer は、公称としては、非営利団体が運営している。ドイツはグリーン電力がブームらしく(?)、このサイトもそれをアピール。環境負荷を減らすにはネットを使わないのが一番なので、何となく偽善的だが…。

短所 たまにキャプチャが出る。Torの場合、「その検索語に対して」ブロックがかかる(つなぎ直してIPを変えても検索できない)ケースあり。つなぎ直して、検索語を変えれば問題ないようだが、比較的小規模なエンジンなので、あまり負荷をかけない方が良さげ。比較として、DDGは、意地でもキャプチャを出さないようだ。

補足 昔の ixquick はお気に入りの検索エンジンだったが、何年も前に startpage に変わり、直観的に「これは駄目」というムードになってしまった。

追記(2021-11-17) MetaGer は、キャプチャが出やすいばかりか、ときどき、検索されたサイトへのリンクが「普通の単純リンク」でなく「どこをクリックしたか記録するリンク」になっていることがある(プライバシー上の懸念)。単純リンクでないときは、URLをテキストとして直接コピペして使い、スパイ・リンクを踏まないようにしよう。一方、検索精度の点では DDG より気に入ってる。

(2) Brave はうさんくさいが、自前のインデックスを持っているので、参考として、併用する価値がある(Brave ブラウザは信用できないので、試してもいない)。オニオンは
https://search.brave4u7jddbv7cyviptqjc7jusxh72uik7zt6adtckl5f4nwy2v72qd.onion/

(3) Searx は、インスタンスによって当たり外れが大きいし、ログを取られる可能性もあるので、インスタンスを固定せず、毎回ランダムに使うのが吉だろう。JavaScript 不要の一つの入り口:
http://7tcuoi57curagdk7nsvmzedcxgwlrq2d6jach4ksa3vj72uxrzadmqqd.onion/
下記リストは、JavaScriptに依存:
http://searxspbitokayvkhzhsnljde7rqmn7rvoga6e4waeub3h7ug3nghoad.onion/

「穴場的なインスタンス?」もあるのだが、今のところ責任を持って紹介できない。

(4) DDG は、Tor Browser のデフォルトだが、最近重くなって、検索品質も落ちている感じ。Tor(特にTor Browser)のユーザーが増えている以上、仕方ないのだが…。JavaScript 不要のオニオンは:
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/html/

Tor Browser を試したい方は「既に個人情報を渡している場所に Tor Browser で行かない」という点に注意。オンライン・バンキングや、オンライン・ショッピングにまで使うと、怪しまれて逆効果(常識)。さらに、今どきの Tor Browser は、一般のブラウザよりはセキュアとはいえ、一般ユーザーの利便性を優先、デフォルト設定が緩い。多分、初めて使うと「接続が重くて遅い」のでびっくりするだろうけど、オニオンは多重プロキシなので、必然的に速度は低下する。プライバシー保護の代金と思ってほしい。

Tor は、決して100%安全な技術ではない。半分は米国政府の公的資金で運営されているプロジェクトなので、歴史的なあれこれを考えると、実装のパラメーターに分かりにくい微妙なバックドアがあっても、おかしくない。入り口ノードには生IPが丸見えだし、GeoIPをかまされて統計を取られている。デフォルトでは「Torに接続していること」自体も、地元のプロバに丸見え。…あくまで「暫定的に、現時点では最善の選択肢の一つ」という程度。数日前の最新版(0.4.6.8など)では、とうとう Onion v2 サポートが停止され、従来のv2オニオン・サイトは使えなくなる。良い方向になるのか、悪い方向になるのか、一つの曲がり角のような予感がする。

現在 Onion v3 アドレスは約60万個だが、依然 v2 アドレスが約15万個あり、v2サポート中止によって、ダークネット上の約20%のアドレスが「消滅」する。日本の Tor ユーザー(Tor網へ直接接続)は推定3万、この他、VPN経由・ブリッジ経由の間接利用者が一定数いるだろう。ネットユーザーを3000万人とするとプライバシー・フリークはまだ1000人に一人のオーダー。そのこと自体が逆にフィンガープリンティングとなってしまう。場合によっては、一般人になりすまし、あえて Tor を使わず大衆に紛れることも役立つかと…。小さな国でも、イタリアやフィンランドは日本とほぼ同数、オランダやドイツは日本の約10倍も Tor ユーザーがいる。

v3 Onion で提供されている有名メディアの例
BBC
https://www.bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion/

The New York Times
https://www.nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lljsciiyd.onion/

2021-11-04 ProtonMail ホントに駄目かも (未確認情報)

仲間内では「ProtonMail は危ない」というのが既に共通認識になってるし、このチラ裏でも、Proton からの乗り換えを継続的なテーマとしてきた。

@njal_la / Peter Sunde Kolmisoppi / Oct 28

Deeply disappointed in @ProtonMail lately. I have been really glad about their existence, and have even tried to stay positive with the later issues, but turns out they sent @njal_la a demand for getting private user data, because someone wrote about them badly.

I laughed when @njal_la got a cease & decist copyright claim from @NordVPN. I giggled a bit when I saw @ProtonMail asking for private customer data (without a court order I might add). But I realised - I'm getting concerned as fuck.

http://jebqj47jgxleaiosfcxfibx2xdahjettuydlxbg64azd4khsxv6kawid.onion/brokep/status/1453765410122354698
クリアネット https://nitter.sethforprivacy.com/brokep/status/1453765410122354698

前回のあの「裁判所命令でやむなく…」は、まだ理解の余地があったが、これはひど過ぎる。プロトンは、ウェブ工作員を大々的に配置して、批判的書き込みがあると即座に「反論」することが経験的に知られているが、個人のブログまで監視しているとは…。このプロトンの工作員の反応は、実際のサポートより迅速。工作員チームと、技術サポートチームが別々なので、そういうこともあるのだろう。本物のプライバシー志向というより「イメージ工作優先」なのである(PGP 公開鍵すら公開していない)。

Gmail の類いを疑問なく平気で使うような人には無関係だし、それを批判するつもりもない。個人の価値観の問題なので。Tor でさえ、秘密ブリッジの提供に Gmail を使っている(直観的に違和感があるが)。脱 Google を果たして、1周先にいる人は、これまで Proton や Tuta で安心してきたが、早晩もう1周、先に行く必要があるのではないか。Sunde の言うように、正直 Proton には感謝しているが、キャプチャがうざいのも、どうしようもない事実。そのうち「無限キャプチャ」になって、ログインできなくなるのでは…という懸念も感じる。プライバシー志向のユーザーに、依然として Proton が定番として支持されているのも事実であり、現時点で「駄目」と決め付けるのは行き過ぎだが、バックアップ(乗り換え先)の準備は必要だと思われる。

プロトンVPN とニャッラ系の IPredator は競合他社であり、後者によるプロトン批判については、多少割り引いて読む必要もあるかもしれない…。そういえば、プロトンは「スイスはスウェーデンではありません!」とかFAQに書いてるけど、スウェーデンの CounterMail は逆に「プロトンの開発者のほとんどは、自分ではプロトンメールを使わない」と反撃していた(自社製品の駄目さは、開発者自身が一番熟知してる…というほどのニュアンス)。スイスとスウェーデンって、仲が悪いのだろうか?

2021-11-05 Seth もこのタイミングで ProtonMail から CTemplar に乗り換え

SethForPrivacy.com の Seth が ProtonMail を使い続けているので、まだ大丈夫なのだろうという感覚もあった。ところが、その Seth も、数日前(2021年11月2日)メインのメールプロバを CTemplar に変更した模様。

プロトンのネガキャンをやるつもりはない。これまで何人もの友人にプロトンを薦めて使わせてしまったこともあり、むしろプロトンには頑張ってほしい(プロトンが駄目になると結果的に「友達をだました」ことになってしまう)。今のところ、プライバシー面で、一般的な大手フリーメールより100倍良いことは間違いないし…

昔 Firefox を薦めてしまって、今になって大後悔しているのと、ちょっと似ている。昔の Firefox は、本当に良かったのだが(バージョン52 ESRまで)、今は見る影もない。

ってか、最初は神のようだったソフトが、有名になるにつれて、何か不便になったり制約が増えたりって、よくあるパターンだよね。FileZilla がスパイウェアになった事件とか…

これまで「ProtonMail は最善ではないかもしれないけど、試す価値はある」みたいな書き方してたけど、ちょっと微妙な雰囲気に…。まあ無料アカウントなら別に試しても損はないでしょうけど、これからどうなるのか。とりあえず、ネットにはいろんな意味で危険が多いので、個人情報の入力が必要なサービスは極力避けるのが吉。物理的な配達が必要な通販は、仕方ないとして。

「クレカ決済でも、カード名義人、電話番号、billing address など一切尋ねない」という奇特な決済会社を見つけてきた Posteo はホントにすごいと思う。ウェブの匿名性の本家みたいな Tor Project でさえ、ちょっと寄付するだけで、やたらと個人情報を入力させるのだから。EU と北米の感覚の違いなのだろうか?

2021-11-11 ProtonMailについての混乱… 今でも推奨できるけど…

Proton(プロトン)は、スイスを本拠に国際的にサービス展開しているメール&VPNプロバイダー。プライバシー重視を売り文句に、無料プランもあって、プライバシー志向のユーザーの間では人気が高かった。定番と言っても良かった。

現在でも、普通の大手ウェブメールを使ってる人が「もっとプライバシーを重視したい」「広告がうっとうしい」と思うなら、そこからの乗り換えという意味ではプロトンを推奨できるのだが…

2021年9月の「フランス・ロギング事件」に次いで、10月末に「ニャッラ事件」があり、もともとのプロトンのユーザーの間では、どうも良くないムードが漂っている。

https://nitter.mailstation.de/njal_la/status/1453736746127036436
http://nitterrrs6bbcba2bxjviwxzzapkhuuelljtig2ku2rxasweckxxxhid.onion/njal_la/status/1453736746127036436

予感はあった。2021年6月くらいに「ProtonMail は必ずしも信用できない」と思って、乗り換え先を探し始めた(「ProtonMail からの乗り換え先 プライバシー重視のウェブメール」)。それでも、こんなことになるとは夢にも思わなかった。

前提として、まだ事実関係がはっきりしていない。露骨な名誉毀損・営業妨害なら、相手が個人ブログでも文句を言う…それ自体は、おかしくない。とはいえ、なんか情報が変。つじつまが合わない。

プロトン自身が「匿名性・プライバシー」を商品として利益を挙げる企業。それが昨今のニーズに合っていて、だからこそプライバシー志向のユーザーに支持されてきたのだろう。「匿名化が商品」であり、それが崩壊したら客がいなくなるのだから、顧客のプライバシーを守り、簡単には個人情報を漏らさないのは当たり前。自分自身がそういう会社なのだから、同業他社も同様であることは、重々承知しているはず。

普通のブログ会社だって、「悪口を書かれた。書いた人の個人情報を教えろ」という問い合わせだけでホイホイ個人情報を漏らしたら(そのことがばれたら)、問題になる。ましてや Njalla は、普通より高い料金を取って、付加価値サービスとして匿名性を提供する会社。そんなところに「おまえの客の個人情報をよこせ」と要請しても、断られるに決まっている。否定的な副作用については、どっちもどっちだけど、それでも「世の中が、監視社会のディストピアになってほしくない…」という主作用の部分では、どちらも重要な問題を提起してきた。そう信じたかった。

どうして、こんなことになってしまったのか。プロトンから仕事を任された工作員の中に非常識な人がいて、「批判サイトを見つけた⇒マニュアル通りに抗議」みたいな感じなのだろうか?

このタイミングで実際に ProtonMail から CTemplar に乗り換えた人に話を聞いてみたら、やはり「ニャッラ事件」が乗り換えのメインの理由だが、それだけではなく、Protonの開発の遅さにも不満を募らせていたという。「F-Droidアプリがない」など、そのユーザー固有の不便さがあったらしい。乗り換え先として CTemplar を選んだ決め手は Monero 決済とのこと。Bitcoin 決済はポピュラーだが(プロトン自身も対応している)、Monero 決済だと(セルフホスティングを別にすれば)確かに CTemplar 一択になるかも…。暗号通貨のほとんどは、言われているほど匿名性はなく(KYC経由では匿名性ゼロ)、プライバシー重視設計の XMR はその点、人気が高い。加えて、今は対ドル・対ユーロ相場が史上最高値付近なので、ばか高い CTemplar の料金も、実質5分の1くらいの感覚だろう(少し前に50ユーロで1モネロ買っておいたら、それが今250ユーロとして使える、みたいな…つかの間のバブル)。

TutaNota も、ギフト券をXMRで買ってサインアップできる可能性があるが、未確認・無保証。

モネロ決済は確かに筋がいいけど、CTemplar はとにかく値段が高い。「これってペーパーカンパニーで、実体は香港とかにあるんじゃないの?」みたいな感じもする。昔なら「アイスランド」ってだけで気休めになったけど、今はあまり当てにならないし…。CTemplar から実際に届いたメールを見ても、技術的疑問が残る…。

基本的に、メールって「相手があるもの」なので、自分のメールプロバイダーがどんなに検閲に強くても、相手側がいいかげんだと意味がない…。だから、プロバイダーに毎月1000円払うより、メール友達に「1000円あげるから、これから gpg を使ってね」とお願いする方が手っ取り早い!

2021-11-20 オンラインショッピング Gmailで登録すると… 全店の詳細購入履歴が永久保存(受け取ったメールを削除しても)

まあグーグルだから、別に驚かないけど。ショッピングどころか、全部の私信を勝手に読んで、解析してる会社なので(厳密に言えば「ユーザーがサインアップのとき何も読まずに同意をクリックしたから」)。

Marcus
@gerowen@mastodon.social

If you use #GMail, #Google keeps records of everything you buy, even if you delete the email receipt, and even if you didn't buy the product from them. Here's metadata from my takeout showing price, delivery address, description, vendor, etc. #privacy

September 23, 2021, 1:10 AM

https://mastodon.social/@gerowen/106978308085702358

とはいえ…。ゴキくん(G)のこういう具体的事例を知ると、信用を失いつつある ProtonMail でさえ、比較で言えば天国に思えてしまう。けど「グーグルはやばい」なんてことは、誰でも知ってる古いニュース。2021年の問題は「プロトンも駄目ぽ」。「グーグルからの脱出」は大昔の話題で、今は「脱出先となったプロトンからの次の脱出」を模索している。

追記(仲間内でのいろいろな見解): 1) グーグルの挙動は「仕様」なのだから、それに同意して使う以上、文句を言うのは筋違い。嫌ならデフォルトで有効な機能を無効にすればいい。無効にしないのが悪い。 2) そうは言っても、Gmail のデフォ設定は薄気味悪いという結論は変わらない。 3) そもそもグーグルの「機能」は、スパイレポートをスパイされる本人と共有するもの。それをオフにすることの意味は曖昧。「スパイレポートの自己閲覧を可能にする」をオフにすることと、スパイ行為を禁止することは同じではない。どんな情報を収集されているのか自分で確認できる方が、(比較で言えば)まだ良い…という考え方もある。

2021-11-20 未来の検索エンジンの理想形 低額有料・持続可能・自給自足・コミュニティーサポート型

面白いスクリーンショットを…。DDG が Tor をブロック?! アヒル野郎、ついに本性を現しやがったな?

PNG画像

毎度おなじみ「おまえのIPからは異常な量のトラフィックがうんぬん。だからブロックしたよーん」のメッセージかと思いきや…

よく読んだら「出口ノードが死んでるっぽいので、サーキットを取り直してくださいね。てか Tor ユーザーなら .onion の方を使えよ」という親切な案内だった。ブロックどころか、支援か…。

注 上記のスクショ、拡大すると NoScript が解除されてるように見えますが、これは普段の設定じゃないです(普段はもっと保守的)。TB の 10.5 → 11 で Firefox ESR のバージョンが上がったこともあり、あえてデフォに近い設定で動作テスト中(ESR のバージョンアップでは大抵ひどい目に遭うので…一般ユーザーが毎月ほんの少しずつ飼い慣らされていく部分が、ESRでは不連続な段差となって一気に現れる)。Windows XP っぽいレトロな外見は、ただのしゃれ(非公式Luna Theme)。

けど DDG も怪しいよねってのは確かにある。ブラウザのデフォルト検索エンジンって、巨大な利権みたいだし…。Firefox が駄目になって LibreWolf が出てきた大原因もその辺にありそう。つまり TB の場合も、DDG 側が専用サポート窓口まで作ってるってことは、要するに「匿名だろうが実名だろうが、客に広告を見せられればいいし」っていうビジネスモデルがあって、Tor Project と裏で何か密約を交わしてるのでは…。

陰謀論じゃないんだけど、なんか DDG って微妙…。オランダの Ixquick が駄目になった過去のトラウマもある。今の旬はドイツの MetaGer とフランスの Qwant かなと…。当たり前だけど、ヨーロッパのインデックスは他と少し違う。アメリカの DDG だと、どうしてもデフォルトで英語サイト中心になってしまい、小さなバブルの中で世界を語ってしまうけど、Qwant だと英語圏からは見えにくいサイトがバンバン、ヒットして視野が広がる。JavaScriptオフ、クッキー無効で画像検索ができるのも素敵(Qwant では、検索できるものの、スクリプトがないと開けないけど)。半面、MetaGer は、すぐキャプチャが出るし、ときどきスパイ・リンクがあるのも偽善的。

MetaGer がスパイをやめて使い放題にしてくれたら(そして外部に依存しない自前のインデックスに取り組んでくれたら)、月1ユーロくらい余裕で払ってもいいのだが…。検索エンジンがプライバシーを盗んで売るのは、「見掛け上、無料サービスで、他に収入源がないから仕方なく」…だろう。だから、もし…。月1ユーロ払うプライバシー・ユーザーが1万人つけば、広告も「盗み」も不要になり、透明な自給自足・コミュニティーサポート型の自由検索エンジンが持続可能になる。「自由」のフリーは「無料」のフリーではない。無料のランチはないのだから。資本主義の極限にある米国企業には、これを期待するのはむずい(企業がどうこう以前に、国策としてあれなので…)。その影響を強く受ける北米・南米も、厳しいだろうし、検閲・自粛・空気読めのアジアに、中立・透明な検索を求めるのも無理っぽい。消去法で、ヨーロッパ、アフリカ、オセアニアに期待。特に非営利の MetaGer だったら、そういうポテンシャルもあるのでは…。アイスランドか北欧あたりの骨のある組織が本気になれば、月1ユーロのユーザー1万人なんて1日で集まると思うけど?

スイスのプロトンは、実際にそれをやって、資金を集めて、結局腐敗しつつあるわけだが、教訓として、安全と持続可能性のためには、大きくなり過ぎてはいけない。生態系のバランスが取れた時点で新規サインアップを中止、組織の維持とゆるやかな発展に必要十分な収入だけで、やりくりして、小さいままでいる方がいい。「あまり儲からないけど、食うには困らない小企業」「少額だけど毎月快く寄付するユーザーたち」…そんな構造も、スローライフでいいじゃん?

2021-07-16 アボガドロ定数の音楽 6020垓(がい) 602 sextillion

現在のアボガドロ定数は、定義上の数。昔は「観測によって決定される数」だった。
  N := 602214076000000000000000 (定義値)
これを7進表記して、0~6にドレミファソラシを当てはめてみると…

アボガドロの歌(7進法)
1211 0246 65 レミレレ・ドミソシ・シラ~~
1131 454     レレファレ・ソラソ~
1652 034     レシラミ・ドファソ~
24305       ミ~ソ~ファ~ ドラ~

なかなかメロディアス。

さて、この数は64ビット整数で表現可能でしょうか?

264 は、およそ 18 × 1018(覚えやすい)、つまり 1.8 × 1019 のオーダー。

アボガドロ定数は 6.02 × 1023 のオーダー。64ビットには収まらず、10進で4桁オーバー。

ところが 279 ≈ 6.04 × 1023 なので、この定数は2の79乗に非常に近い。より正確に言うと:
  log2 N = 78.994622…

アボガドロ定数に「宇宙の秘密」が隠されているとしたら(妄想)、宇宙のワードは79ビットということになる。

アボガドロ定数のビットバターンは、かわいい。高らかにミの8連発から始まって、レの連打で終わるところなど、素敵でしょう(便宜上、0をレ、1をミとする)。

アボガドロの歌(バイナリー) 0x7f86 17295f14 5cc60000
 111 1111 1000 0110  ミミミ・ミミミミ ミレレレ・レミミレ
0001 0111 0010 1001 レレレミ・レミミミ レレミレ・ミレレミ
0101 1111 0001 0100 レミレミ・ミミミミ レレレミ・レミレレ
0101 1100 1100 0110 レミレミ・ミミレレ・ミミレレ・レミミレ
0000 0000 0000 0000 レレレレ・レレレレ・レレレレ・レレレレ

末尾に0が並ぶ理由は、10進法の定義値でも末尾が0だらけだから。10進法で末尾に0が1個付くごとに、素因数2が1個(そして5が1個)増えるので、10進で末尾に0が並ぶ数は、2進でもそうなる。

先頭に1が並ぶ理由は、ある種の偶然だが、279よりわずかに小さい…ということ。279にイコールなら0x80からスタートだが、それより少し小さいので0x7fからスタートして、ビットが立ちまくっている。


<メールアドレス>