Tuta Mailは、メールボックスに保存されたすべてのデータを、量子抵抗暗号化アルゴリズムでエンドツーエンドで自動的に暗号化します。暗号化された電子メールや暗号化されたカレンダーの招待を送信する場合、エンドツーエンドの暗号化は非対称暗号化、つまり公開鍵と秘密鍵の助けを借りて行われます。
Tutaでは、他のTutaユーザーにセキュアな電子メールを送信する際、そのユーザーの公開鍵で暗号化し、そのユーザーだけが読めるようにします。Tutaが自動的に鍵交換を処理するため、エンドツーエンドの暗号化プロセスに気づくことはありません。
信頼の確立
しかし、暗号化された電子メールを送信する際に使用する公開鍵が、本当にその人のものであることをどうやって確認するのでしょうか?理論的には、“MITM(monster in the middle)“(中間者型攻撃者)は、自分の公開鍵を相手に渡し、それが受信者の鍵であるかのように装うことができます。攻撃者は、受信者に転送する前に、あなたのメッセージを解読して読むことができるのです。
鍵認証はこの問題を解決します。これにより、あなたが送信するすべてのメッセージが、本当にあなたからのものであることを受信者が確認できるようになり、これらのメッセージが改ざんされていないことを確認できるようになります。
Tutaにおける鍵認証
Tutaの鍵認証は手動で行う必要があります。手動の鍵認証は、あなたが連絡相手と物理的に一緒にいるか、信頼できるチャネルを通じてお互いを認証できる場合に最も効果的です。一度お互いの公開鍵フィンガープリントを検証すれば、送信するすべてのメッセージが傍受から安全であると確信できます。
公開鍵の認証には2つの方法があります:
- アプリでQRコードをスキャンする
- 受信者のEメールアドレスを入力し、フィンガープリントを相手の鍵認証設定に表示されているものと比較する方法。
認証されると、Tutaクライアントはメッセージを送信する前に、認証済みとして保存したキーと一致することを確認します。
キーを検証しなかった場合はどうなりますか?
キー認証は任意ですが、連絡先のキーを認証することを強くお勧めします。連絡先のキーを確認しない場合、TutaはTOFU(Trust On First Use)というコンセプトを使用します。
TOFUとはどういう意味ですか?
Tutaで初めて誰かと通信する際、クライアントは自動的に相手の公開鍵を保存し、それが有効であると単純に仮定します。それ以降、Tutaはあなたが新しいメッセージを送信するたびに、キーが変更されていないことを確認します。
-
キーが同じままであれば、通信はスムーズに続けられる。
-
もしキーが予期せず変更された場合、Tutaは警告を発します - それはモンスター・イン・ザ・ミドル攻撃などの潜在的なセキュリティ・リスクを示している可能性があるからです。
TOFUは、手動による検証を必要とせず、セキュアな通信をシームレスに行うことができる。というのも、最初の電子メール交換時に、誰も鍵を改ざんしていないことを100%確認することはできないからです。
そのため、最大限のセキュリティを確保するには鍵認証が最適である 一方、TOFUは手動認証をすぐに行いたくないユーザーにとって便利なデフォルトを提供しているのです。
一流のセキュリティ
連絡先の認証が完了すれば、エンド・ツー・エンドで暗号化されたメッセージを送信する際、これまで以上に安全であることが保証されます!
最も安全でプライバシーに配慮したメールとカレンダーサービスを構築するという私たちの使命の一環として、この機能をお届けできることを嬉しく思います。Tuta Mailと Tuta Calendarは、オンライン上での機密性の高いコミュニケーションを可能にします。最近導入した量子抵抗暗号化と今回の鍵認証のアップデートにより、お客様のデータが現在も将来も安全であることを保証します。
