BT

OpenBSDのバックドア疑惑は確認されず

| 作者: Abel Avram フォローする 11 人のフォロワー , 翻訳者 笹井 崇司 フォローする 0 人のフォロワー 投稿日 2010年12月27日. 推定読書時間: 3 分 |

原文(投稿日:2010/12/23)へのリンク

今月初め、FBIの要求でOpenBSDのIPsecスタックにバックポートが仕込まれたという疑惑が持ち上がった。コードを監査した結果、OpenBSDの創始者であるTheo de Raadt氏はオープンソースオペレーティングシステムにそうした脅威はないという結論を出した。

Theo de Raadt氏(OpenBSDとOpenSSHプロジェクトを始めたソフトウェアエンジニア)は、NETSECの前CTOであるGregory Perry氏から受け取ったプライベートなメールを公開した。Perry氏は2001年から2001年にかけて、OpenBSD Crypto Frameworkの資金調達と寄付、そしてFBIのコンサルティングを引き受けていたという。Perry氏の主張によると、何人かの開発者がFBIの要求に対して金銭と引き換えに、OpenBSDのIPsecスタックに「たくさんのバックドア」を仕込んだそうだ。

FBIとのNDAが最近になって切れたので、私はあなたに、FBIがOCFにたくさんのバックドアとサイドチャンネル鍵漏洩メカニズムを仕込んだ事実を知らせたい。これは特に、FBIの親組織であるEOUSAによって実装された、サイト間VPM暗号システムを監視するためだ。Jason Wright氏ら複数の開発者がそれらのバックドアに責任を持っていた。あなたはWright氏とNETSECから来て一緒に仕事をしていた開発者らによってコミットされたコードすべてをレビューするのが賢明だろう。

de Raadt氏はGmaneニュースグループにそのメールを公開し、その疑惑が真実かどうか調べるため、IPsecコードを監査するように頼んだ。

最初のIPSECスタックがフリーになって以来、今ではコードの大部分がたくさんのプロジェクトや製品に使われています。IPSECコードはもう10年以上、数々の変更と修正を重ねているので、この疑惑の影響がどの程度なのかわかりません。

このニュースはたくさんのニュースサイトに流れ、米国政府がコンピュータ通信をスパイしているのではないかという疑念を抱かせた。一週間後、de Raadt氏はこの問題に関する調査結果を公表した。とりわけ彼は、「NETSECはおそらく疑われているようにバックドアを書くよう契約したのだろう」が、「もしそうであったとしても、私たちのツリーにやったとは思えない。おそらく彼ら自身の製品として配布されたのだろう」と考えている。この監査で2つの深刻なバグも見つかった。de Raadt氏によると、ひとつはCBC(Cipher-Block Chaining)オラクル攻撃に関するものだったそうだ。

Gregory Perry氏にバックドアを書いたひとりだと名指しされた開発者、Jason L. Wright氏はすべての疑惑を否定した

私はOpenBSDオペレーティングシステムやOpenBSD crypto framework (OCF)にバックドアを仕込んでいないことを明確に主張します。私がその仕事でさわったコードのほとんどは、フレームワークをサポートするデバイスドライバに関するものです。私はこれまでisakmpdやphoturisd(ユーザランド鍵管理プログラム)にさわったことがないですし、ipsec内部(cryptodevとcryptosoft)にもほとんどさわりませんでした。しかし、私がOpenBSDツリーにコミットしたものを監査するのは大歓迎です。

全体的な結論としては、OpenBSDにはバックドアはないということだが、この疑惑は開発者がもう一度コードをチェックするきっかけとなった。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT