(cache) 多様な信頼点による非中央集権の実現 — サイエンスによる支援 —

多様な信頼点による非中央集権の実現 — サイエンスによる支援 —

Joi Itoが、ブロックチェーンに対する過剰な投資と技術自体の未熟さのアンバランスに関する洞察とThe DAOに関する懸念をポストした数日後に、The DAOのプログラムコードの脆弱性を利用した大きなインシデントが発生した。これはマーフィーの法則の実例の1つだ。ぼくたちは、現時点では、どんなブロックチェーンプロトコルについても厳密なセキュリティ評価結果を共有しているわけではない。これは、現実のアタックの可能性を否定できないことを意味し、The DAOに起きたケースは「失敗する余地があるなら、失敗する」という法則の1つの実例となった。

ブロックチェーンは暗号処理と通信の組み合わせである暗号プロトコルの一種で、暗号プロトコルをセキュアにしようという努力には長い歴史がある。暗号プロトコルをセキュアにするのは、AES、ECDSA、RSA、そしてSHA-2のような暗号プリミティブ（注：基礎的な暗号処理をするアルゴリズム）をセキュアにするよりは断然難しい。暗号プリミティブの場合、すでによくできたセキュリティモデルと数学的証明のための手法が確立されており、それによって、ある暗号プリミティブに対する攻撃の可能性が、暗号鍵の長さや出力長といったセキュリティパラメータに従って指数関数的に無視できるようになるかどうかを評価することができる。しかし、暗号プロトコルについてはそうはいかない。暗号プリミティブにおいては、記述された技術仕様とその実装としてのコードに差異あることは少ない。しかし、OpenSSLの脆弱性のほとんどがその実装から発生したように、暗号プロトコルについてはその仕様と実装の両方について考える必要がある。暗号プロトコルのセキュリティ評価の歴史は1980年代に始まり、その歴史は非常に長い。現在、大きく分けて2つの方法がある — 1つは、暗号プリミティブと同じように数学的に厳密な「証明」を行う方法であり、もう1つは、時には暗号プリミティブが理想的であると仮定して形式的に検証をする方法だ。前者は非常に厳密であるものの複雑なプロトコルに適用することは難しく、後者は厳密ではないものの数学的な証明に比べれば適用は容易だ。形式的検証は、バグの存在をチェックするとともに、コードや仕様が本当に当初想定しいた機能を満足するかどうかをチェックするのに役立つ。この方法は、当初はICやLSIのデザインのチェックに適用されており、それが次第にシステムのデザイン、コードの検証、そして暗号プロトコルのデザインなど他の領域に適用されるようになってきた。現時点では、このような評価メソッドは現実世界のプロトコル全体に完全に適用することはできないが、このメソッドを適用することにより多くの隠された脆弱性が発見され、多くの教訓を見出している。例えば、ISO/IEC 9798（エンティティ認証プロトコル）やISO/IEC 11770（鍵管理プロトコル）においては、このアプローチを使ってすでに多くの脆弱性が発見され、規格文書の修正がなされている。

ビットコインやブロックチェーンと並行して、ぼくたちはSSL/TLSについて数多くのの脆弱性に対応させられた。この標準プロトコルは非常に一般的で、我々が使うアプリケーションのほとんどは、通信路をセキュアにする道具としてSSL/TLSを使っている。SSL/TLSの開発における根本的な問題は、IETFで標準化がなされた時に十分なセキュリティ評価プロセスを経ていなかったということだった。その後、幾つかの教訓を経て、現在ではIRTF（IETFと合わせて設置されているリサーチグループ）の中にCFRG（Cryptogtaphic Forum Research Group）が設置され、その結果として標準化プロセスの中に学術的な評価結果を取り込む追加のプロセスができている。ISO/IECにおいては、暗号プロトコル（ISO/IEC 29128）、情報システムと製品の認証（ISO/IEC 15408）、情報セキュリティマネジメント（ISO/IEC 27000シリーズ）といった国際標準が存在する。また、暗号モジュールのセキュリティは、CMVP（Cryptographic Module Validation Program）によって認証される。これらのフレームワークはアジャイル開発に適用するには複雑すぎるが、しかしこれらの活動とフレームワークの哲学は、暗号技術に基づいた情報システムをセキュアにするという意味では本質的だ。情報システム全体のセキュリティは暗号技術と暗号プロトコル仕様にのみ依存するのではなく、その実装と運用にも依存する。

良いニュースは、TLSの次のバージョンであるTLS1.3の開発において、エンジニアと学術界は、プロトコル仕様とその実装における脆弱性を除去するために、連携して熱心に協力していることだ。世界最高レベルの大学教授と、暗号プロトコルのセキュリティ評価のための国際コンソーシアム（CELLOS）は、形式的検証を用いた評価結果をTLS1.3の標準化コミュニティに提出している。この評価結果は、攻撃の非存在を厳密に証明するものではないが、攻撃の可能性を減らしていることは確実だ。重要なのはデベロッパのコミュニティ（現実社会の知恵）と学術的研究（サイエンスの知恵）の間で良いコミュニケーションと議論を構築することであり、TLS1.3の開発においてはこれらはうまくいっている。これはオープンソースコミュニティと学術コミュニティの協力におけるベストプラクティスの1つである。もし、ぼくたちがブロックチェーンを、デジタルライフの次の非中央集権的な基盤としたいのであれば — ぼくはその実現に貢献できることを願っているが — この教訓に基づいて進んでいくことができる。

ぼくは、ビットコインとThe Blockchain（ビットコインのブロックチェーン）が、みんなの生活を手助けしてくれる非中央集権的な方法の実現に向けて、ぼくたちを啓発してくれると信じている。The DAOに対する攻撃は、非中央集権のための柔軟で堅牢な基盤を実現するためのアーキテクチャに立ち戻るべきという教訓を与えてくれている。このためには、多大な学術レベルの研究を今から行う必要がある。一般的な情報システムには、セキュリティ、性能、そしてプライバシという点でのトレードオフが存在する。そしてトレードオフ上の適切なバランスはユースケースによって異なる。ブロックチェーンに基づくシステムにおいては、これに非中央集権の度合いという新しいトレードオフの要素が加わるし、これは信頼のモデルに大いに関係する。できるだけ多くのユースケースに対応するためには、ぼくたちは非常によく練られた技術と運用のレイヤをデザインする必要があるし、この構築には暗号学、情報セキュリティ、ネットワーク技術、分散コンピューティング、法律、そして経済学からの学術とエンジニアリングのエキスパートが長年携わる必要があるだろう。もう1つの問題は、過去に暗号に基づいた情報システムをデザインし運用した貴重な経験が、現在に伝承されていないことだ。1990年代末に、多くの電子マネーの実験が行われたし、その結果として多くの経験を持った人たちが今でも存在する。これらの経験の多くは、論文や技術文書として蓄積されているし、大学はこれらの蓄積された知恵の源泉として存在する。

ぼくは、非中央集権を天才による小さなグループから出てきたコードからだけで実現しようとするのは簡単でないと思っている。「非中央集権」という言葉は、多様な信頼からやってきて、これがBig Brother（独裁者）が存在することを防ぐことができる。ビットコインの信頼は、数学（暗号学）だけに依存しているのではないことを思い出して欲しい。暗号学は、秘匿性、認証、そして完全性の信頼の根本ではない。暗号学は秘匿性、認証、そして完全性の問題を、鍵管理の問題に置き換える数学的道具なのだ。ブロックチェーンにおいてそれぞれのノードは秘密鍵を秘密に管理する必要がある。その相似形として、学術は分散された信頼の基盤の1つだ。サイエンスと学術は、多様な信頼の源泉であり、この多様性が非中央集権の実現を支援する。

ぼくとPindar Wongは、BSafe.networkという中立な大学の研究者がブロックチェーン技術の研究を行う研究ネットワークの構築を始めた。これは、インターネットのための技術開発を行う際にNSFNetが果たしたのと同じ役割を担う。NSFNetは、NSF（National Science Foundation：全米科学財団）が支援し、インターネットが商用化される前にバックボーンとして使われ、インターネットの技術を成熟させるための学術研究に使われた。BSafe.network上の最初の研究プロジェクトは、ビットコインプロトコルにSegregated Witnessを加えたプロトコルを評価することだ。何人ものビットコインのコア開発者がBSafe.network上の評価のためのソフトウエアを喜んで準備してくれた。BSafe.networkのシードノードはすでに日本の大学で稼働している。そして、アジア、アメリカ、ヨーロッパ、アフリカからいくつもの大学のノードを加えつつある。研究者はこの技術について、仕様の観点だけでなく実装やネットワークトラフィックの観点から評価を行う。この研究ネットワークは、大学の研究者とデベロッパがコミュニケーションを取り議論を行う、ブロックチェーンのインキュベーター（保育器）だ。すでに始まったデベロッパと大学研究者の協力は、ビットコイン、Ethereumを含むすべてのブロックチェーン技術の将来への希望だ。ぼくは学術の中立な知恵とデベロッパの知恵の結合が、ブロックチェーン技術の質と信頼を高めると信じている。

謝辞

このポストのドラフトに貴重なコメントを寄せていただいた、Bryan Bishop, Tatsuya Hayashi, Pindar Wong、そして優れた示唆をいただいたNat Sakimuraに深く感謝します。