暗号化とエンドツーエンド暗号化の違いは何ですか?

プレーンな「暗号化」には、転送中の暗号化 (HTTPS、TLS) と保存中の暗号化 (サーバーが暗号文をディスクに保存する) が含まれます。どちらもサービスオペレーターがコンテンツを読み取ることができるため、キーを持っています。エンドツーエンド暗号化とは、両端のユーザーデバイスのみがキーを持っていることを意味します。オペレーターは、サーバーに完全にアクセスしても、メッセージを読むことはできません。

iMessage は本当にエンドツーエンドで暗号化されていますか?

2 台の Apple デバイス間の iMessage-to-iMessage の場合ははい。 Apple 以外のユーザーへの SMS フォールバックは E2EE ではありません。 iOS 16.2 で Advanced Data Protection が追加されるまで、iCloud バックアップはこれまでメッセージの E2EE ではなく (Apple がキーを保持していた)、バックドアが作成されていました。これにより、有効にするとほとんどの iCloud データに E2EE が拡張されます。

WhatsApp は私のメッセージを読むことができますか?

いいえ、メッセージの内容は Signal Protocol を使用してエンドツーエンドで暗号化されます。 WhatsApp は、誰に、いつ、どのくらいの頻度でメッセージを送信したか、IP、メッセージサイズ、グループメンバーシップなどのメタデータを確認できます。彼らはこの一部をメタと共有します。コンテンツは暗号化されたままになります。

Telegram はエンドツーエンドで暗号化されていますか?

E2EE はオプトインの「秘密チャット」機能のみです。通常の Telegram チャットは転送中に暗号化され、Telegram のサーバーに暗号化されて保存されますが、Telegram 自体はチャットを読み取ることができます。グループチャットは決して E2EE ではありません。これは、常に明確に伝えられるわけではない WhatsApp や Signal との重要な違いです。

なぜ政府はエンドツーエンドの暗号化を破ろうとするのでしょうか?

理由としては、CSAM の検出、テロリズムの捜査、法執行機関のアクセスなどが挙げられています。根本的な問題は「ゴーイング・ダーク」です。これは、E2EE チャネルに移行した通信への日常的なアクセスを失うことを指す FBI の用語です。プライバシー擁護派は、ジャーナリスト、活動家、一般市民を含む全員の暗号化を弱体化することなく、悪意のある人物の暗号化を選択的に弱体化することはできないと答えています。 1990 年代の「暗号戦争」以来、技術的なコンセンサスは明確でした。数学的暗号化は機能するか機能しないかのどちらかです。

エンドツーエンド暗号化の説明: 実際に保護されるもの (そして保護されないもの)

エンドツーエンド暗号化 (E2EE) は、WhatsApp、Signal、iMessage、および Proton Mail を意味のあるプライベートにするプロパティです。メッセージを読めるのは送信者と対象の受信者だけです。サービスを運営している会社や法執行機関、サーバーに侵入したハッカーは読むことができません。これは、世界中の政府が積極的に弱体化させようとしているテクノロジーでもあります。説明者はこの人です。

記事全文は以下に英語で記載されています。

E2EE の実際の意味

エンドツーエンド暗号化により、送信者と対象の受信者のみがメッセージを読み取ることができます。メッセージングアプリを運営するサービスプロバイダー、パケットを運ぶ携帯電話会社、サーバーをホストするクラウドプロバイダーのいずれも、コンテンツを復号化できません。暗号キーは、両端のユーザーデバイス上にのみ存在します。

これは、「転送中の暗号化」(TLS) または「保存時の暗号化」(サーバー上のディスク暗号化) との意味のある違いです。どちらも特定の攻撃者から保護します。 E2EE は、 サービスオペレーター自体 から保護します。裁判所が WhatsApp にユーザーのメッセージを作成するよう命令した場合、E2EE が適切に実装されているということは、WhatsApp が命令の内容に準拠できないことを意味します。つまり、WhatsApp はキーを持っていないのです。公開キーはサービスのディレクトリにアップロードされます。秘密キーがデバイスの外に出ることはありません。アリスがボブにメッセージを送信したい場合:

アリスのデバイスはサーバーからボブの公開鍵を取得します。
アリスのデバイスはディフィー・ヘルマン鍵交換を介してボブとの共有暗号鍵を導出します。
メッセージはアリスのデバイス上で導出された鍵で暗号化されます。
暗号化された BLOB はサービスのサーバーを経由して移動します。
ボブのデバイスはそれを受信し、対応する派生キーで復号します。

最新の E2EE プロトコル (シグナルプロトコル、WhatsApp/Signal/Messenger の基礎、および iMessage と Matrix の同様の設計) は、forward を追加します。 secrecy は、メッセージごとまたはセッションごとに循環する一時的なセッションキーを使用します。後でデバイスが侵害され、長期 ID キーが盗まれた場合でも、過去のメッセージは存在しないキーで暗号化されたままになります。

歴史

1991 — Phil Zimmermann が電子メール用の PGP を公開しています。 ITAR輸出規制違反に対する政府の刑事捜査が続く(1996年に告訴が取り下げられた)。電子メールの E2EE が可能になりますが、UX が残酷であるため、主流にはなりません。
2010 — TextSecure (後の Signal) は、最新の Signal プロトコル設計で起動します。
2013 — スノーデンの暴露は、大規模監視に対する国民の意識を劇的に高めました。 E2EE は、プライバシーに関するニッチな問題から主流の関心事へ移行します。
2014 ～ 2016 — Apple は iMessage 用の E2EE をエンドツーエンドで出荷します。 WhatsApp は、Signal Protocol を世界中のユーザー (当時約 10 億人) に展開しています。 E2EE が、地球上で最もよく使用されるメッセージングアプリのデフォルトになります。
2022 — Meta は、数年間のオプトインのみを経て、Facebook Messenger で E2EE をデフォルトで有効にし始めました。
2022 — Apple は、Advanced Data Protection を出荷しますiCloud、メッセージ以外のほとんどのクラウドデータ (バックアップ、写真、メモ) に E2EE を拡張
2025 — WhatsApp が 30 億ユーザーを超え、大差をつけて史上最も利用されている E2EE サービスとなる
2026 — Meta が詐欺行為を理由に Instagram から E2EE を削除コンテンツ管理のニーズ。プライバシー擁護派は反発。

E2EE が保護するもの

サービスプロバイダー自体。WhatsApp は WhatsApp メッセージを読み取れない。
サーバー侵害。WhatsApp サーバーがハッキングされると、攻撃者は
政府の召喚状と裁判所命令。 サービスは準拠するよう命令できるが、引き渡す必要があるのはメタデータのみで、メッセージの内容は含まれない。
ネットワークオブザーバー。 ISP、Wi-Fiスヌーパー、トランジットプロバイダーはすべて暗号化されたもののみを参照blobs.
インサイダーの脅威. サービスプロバイダーの従業員は、完全な管理者アクセス権があってもメッセージを読むことができません.

E2EE で保護できないもの

侵害されたデバイス. 携帯電話がマルウェアに感染している場合(またはペガサススタイルの標的型エクスプロイト)、攻撃者は復号化後にデバイス上の平文を読み取ります。 E2EE は、どちらのエンドポイントでも、転送中のメッセージを保護します。
相手側。 受信者は、メッセージのスクリーンショットを撮ったり、転送したり、漏洩したり、警察に渡したりすることができます。「エンドツーエンド暗号化」とは、エンドポイントから暗号化されるのではなく、エンドポイント間で暗号化されることを意味します。
Metadata. コンテンツが暗号化されていても、サービスは、誰が、いつ、どのくらいの頻度で、どの IP からメッセージを送信したか、およびメッセージサイズを認識します。シグナルは、メタデータ (封印された送信者、暗号化されたプロファイル) を最小限に抑えるために最大限の努力を払っています。 WhatsApp と Telegram はサポートしません。
バックアップは暗号化されずに保存されます。 一部のアプリは、デフォルトではエンドツーエンド暗号化されないクラウドバックアップを提供します。 WhatsApp の iCloud/Google Drive バックアップはこれまで E2EE ではありませんでした。このオプションは現在存在しますが、デフォルトではオンになっていません。
キー検証の失敗。 相手の安全番号/指紋を検証しないと、実際に話していると思われる相手と話していることを確認できません。中間者がキーをすり替えた可能性があります。

政府プッシュバック

世界中の政府は過去 10 年間、E2EE の弱体化やバックドア化に取り組んできました。議論は、子供の安全、テロ捜査、そして「ゴーイング・ダーク」（暗号化されたチャネルに移行する通信の可視性を失う法執行機関を指すFBIの用語）を中心に集中している。

UKオンライン安全法（2023年）

認可されたOfcomは、児童の性的虐待の内容についてE2EEメッセージをスキャンするために「認定技術」を使用することをプロバイダーに要求する。 WhatsApp と Signal はどちらも、E2EE を破って準拠するのではなく、英国市場から撤退することを公に表明しました。その後、Ofcom は、「技術的に実現可能な」テクノロジーが存在するまで権限を行使しないと述べ、事実上膠着状態となった。

EU CSAR / "チャットコントロール"

A は、暗号化前に CSAM のすべてのメッセージをクライアント側でスキャンすることを義務付ける規制を提案した。 2022年以来、プライバシー保護団体や大手テクノロジー企業の反対により、欧州の立法プロセスで何度も否決されてきた。 2026 年の時点で、この規制は実際に E2EE を破る形では可決されていませんが、提案は定期的に返されます。

US EARN IT Act

厳格な E2EE では不可能なコンテンツモデレーション要件に準拠しない限り、プラットフォームから第 230 条の保護を剥奪すると脅す法案が複数回繰り返されています。 2026 年の時点では法律として成立していません。

オーストラリア支援およびアクセス法 (2018 年)

オーストラリアの政府機関が企業に復号化に関する「技術支援」の提供を強制する権限を与えます。 E2EE に対するこの法律の実際の適用は限定的です。企業は、技術的に不可能なことを法律で強制することはできないと主張している。

クライアント側のスキャン論争

政府が最も強く推し進めている提案された妥協策：ユーザーのデバイス上で暗号化の前にメッセージをスキャンし、コンテンツに関するフラグを立て、当局に報告する。暗号化自体はそのまま残ります。監視は暗号化境界の前で行われます。

Apple は、まさにこの設計 (CSAM 検出用の NeuralHash) を発表し、2021 年に撤回しました。ブルース・シュナイアー、ロス・アンダーソン、スーザン・ランドー、ホイットフィールド・ディフィーらの共著である Pockets の Bugs からの共同声明を含むプライバシー研究者は、この設計が E2EE を根本的に損なうと結論付けました。スキャンインフラストラクチャはすべてのユーザーのデバイスに存在し、フラグが設定される内容は技術的なものではなくポリシーによる決定です。今日は CSAM、明日は一部の管轄区域で政治演説が行われます。

検証方法E2EE

オープンソースクライアント (Signal、Element/Matrix、一部の Proton 製品) を使用すると、コードを検査したり、ビルドを再現したりできます。クローズドソースのクライアント (WhatsApp、iMessage) の場合、ベンダーが公開した実装がデプロイされたバイナリと一致することを信頼する必要があります。Signal のプロトコル設計は WhatsApp でも同じですが、WhatsApp の実装を検証するには Meta を信頼する必要があります。 iMessage も同様です。

アプリ内で、安全番号またはセキュリティコード機能を探します。シグナル: チャット → 連絡先名 → 「セーフティナンバー」をタップします。 WhatsApp: [チャット] → [連絡先名] → [暗号化] をタップします。信頼できるチャネル (電話、対面) を介して、自分と相手の番号を比較します。一致する数字は、中間者が存在しないことを証明します。

通常の使用の意味

プライベートな会話の場合: Signal を使用します。 オープンソース、監査済み、最小限のメタデータ、ゴールドスタンダード。
プライバシーを意識した主流のメッセージングの場合: WhatsApp が許容されます。同じ Signal プロトコルを使用しており、ユーザーベースははるかに大きく (ネットワーク効果)、Signal よりもメタデータの漏洩が多いですが、コンテンツの暗号化は強力です。
機密性の高い会話は避けてください: SMS (暗号化されていません)、Telegram のデフォルトチャット (E2EE ではありません - 「秘密のチャット」のみ)、通常の Snapchat、Discord ダイレクトメッセージ (E2EE ではありません)、Slack/Teams ダイレクトメッセージ(E2EE ではありません)。
電子メールの場合: E2EE 対応の受信者で Proton Mail または Tutanota を使用します。通常の電子メールは構造的に E2EE ではありません。双方とも互換性のある E2EE 対応クライアントを使用する必要があります。
クラウドバックアップの場合: iCloud 上の場合は Apple Advanced Data Protection を有効にします。それができない場合、またはアクセスしたくない場合は、プロバイダーおよび召喚状権限を持つすべてのユーザーがクラウドバックアップにアクセスできると想定してください。

よくある質問

暗号化とエンドツーエンド暗号化の違いは何ですか?: プレーンな「暗号化」には、転送中の暗号化 (HTTPS、TLS) と保存中の暗号化 (サーバーが暗号文をディスクに保存する) が含まれます。どちらもサービスオペレーターがコンテンツを読み取ることができるため、キーを持っています。エンドツーエンド暗号化とは、両端のユーザーデバイスのみがキーを持っていることを意味します。オペレーターは、サーバーに完全にアクセスしても、メッセージを読むことはできません。
iMessage は本当にエンドツーエンドで暗号化されていますか?: 2 台の Apple デバイス間の iMessage-to-iMessage の場合ははい。 Apple 以外のユーザーへの SMS フォールバックは E2EE ではありません。 iOS 16.2 で Advanced Data Protection が追加されるまで、iCloud バックアップはこれまでメッセージの E2EE ではなく (Apple がキーを保持していた)、バックドアが作成されていました。これにより、有効にするとほとんどの iCloud データに E2EE が拡張されます。
WhatsApp は私のメッセージを読むことができますか?: いいえ、メッセージの内容は Signal Protocol を使用してエンドツーエンドで暗号化されます。 WhatsApp は、誰に、いつ、どのくらいの頻度でメッセージを送信したか、IP、メッセージサイズ、グループメンバーシップなどのメタデータを確認できます。彼らはこの一部をメタと共有します。コンテンツは暗号化されたままになります。
Telegram はエンドツーエンドで暗号化されていますか?: E2EE はオプトインの「秘密チャット」機能のみです。通常の Telegram チャットは転送中に暗号化され、Telegram のサーバーに暗号化されて保存されますが、Telegram 自体はチャットを読み取ることができます。グループチャットは決して E2EE ではありません。これは、常に明確に伝えられるわけではない WhatsApp や Signal との重要な違いです。
なぜ政府はエンドツーエンドの暗号化を破ろうとするのでしょうか?: 理由としては、CSAM の検出、テロリズムの捜査、法執行機関のアクセスなどが挙げられています。根本的な問題は「ゴーイング・ダーク」です。これは、E2EE チャネルに移行した通信への日常的なアクセスを失うことを指す FBI の用語です。プライバシー擁護派は、ジャーナリスト、活動家、一般市民を含む全員の暗号化を弱体化することなく、悪意のある人物の暗号化を選択的に弱体化することはできないと答えています。 1990 年代の「暗号戦争」以来、技術的なコンセンサスは明確でした。数学的暗号化は機能するか機能しないかのどちらかです。