[go: up one dir, main page]
More Web Proxy on the site http://driver.im/コンテンツにスキップ

Hushmail

出典: フリー百科事典『ウィキペディア(Wikipedia)』
Hushmail
URL Hushmail.com
タイプ Webメール
運営者 Hush Communications Ltd
設立者 クリフ・バルツリー
登録 必要
開始 1999年

HushmailとはWebメールサービスで、PGP暗号電子メール、ファイルストレージ、バニティードメイン英語版といったサービスを提供している。かつてはインスタントメッセージサービスも行なっていたが2011年1月1日で終了している[1]OpenPGP標準を使用しており、ソースコードが自由にダウンロードできる。さらなるセキュリティ機能として電子メールヘッダで表示されるIPアドレスを隠すことなどもできる。無料アカウントの場合はストレージ容量は最大25MBでIMAPPost Office Protocol (POP3)非対応となる[2]

もし、ユーザーが3週間以上無料アカウントを使用しなかった場合、運営側はアカウントを凍結することになる。無効となったアカウントを再開させたい場合は、Hushmailサブスクリプション料金が必要となる。有料アカウントは1から10GBストレージだけでなくIMAPやPOP3が有効となる[2]

もし公開暗号鍵が受信者、送信者両方利用可能であるならば(もしくは両方ともHushmailユーザーもしくはHushの鍵サーバーにアップロードされたPGP鍵を持っている場合)、Hushmailは両方に認証された暗号化メッセージを送ることができる。受信者が利用できる公開鍵がない場合、Hushmailはメッセージをパスワード(ヒント含めて)で暗号化し、受信者が受信するために保存される。もしくはクリアテキストとしてメッセージを送信することもできる。

Hushmailはクリフ・バルツリーが1999年にアルティメット・プライバシーを退社した後にバンクーバーで開設した。サーバーもバンクーバーにあり、支社はアイルランドダブリンアメリカ合衆国デラウェア州アンギラにある。

電子メールのプライバシーにおける妥協

[編集]

2007年9月までHushmailはおおむね好評を得ていて[3][4]、考えられる脅威はシステムを通るトラフィックの内容が法的要求で公開可能なことだがカナダでもアメリカ合衆国でもそれに関して差し迫った状況でもなければ、データは暗号化されて送られた場合に暗号化された形式のみで利用可能と信じられてきた。

しかし、2007年11月の開発で、Hushmailのセキュリティやバックドアに関する懸念がセキュリティ意識が高いユーザー間で疑問が噴出した。Hushmailはアメリカ合衆国との刑事共助条約下で法執行機関の要請で複数のメールアドレスとセットでプライベートの電子メールメッセージのクリアテキストコピーを引き渡すようになったとされているためである[5]

この行動の例としてアメリカ合衆国対タイラー・スタンボ事件がある[6][5][7]。Hushmailは現在、マーケットトレンドの解析、幅広い人口統計情報の収集、自社のサービスの不適切な利用を防止するためにIPアドレスを記録しているとしている[8]

Hushmailの運営企業であるHush Communicationsはブリティッシュコロンビア州最高裁判所英語版による法的要請無しにユーザーデータを公開することは無い上、他国がユーザーデータを追跡する時は適用可能な刑事共助条約に基づきカナダ政府に申し入れなければならないと説明している[7]。また、「異なる裁判所による命令で名指しされたユーザーを処置したり、ユーザーのプライバシーで妥協するためにブリティッシュコロンビア州最高裁による法的命令下で強制されない保証は無いことを意味している。」「もし暗号化されている電子メールの内容を明らかにすることを強いるためのブリティッシュコロンビア州最高裁による命令が出た場合、容疑者は実際のサービスプロバイダであるHush Communicationsにされてしまう可能性がある。」と述べている[9]

もともとこの問題はHushのシステムがJavaを使用していないことを中心に展開されたものでHushのサーバーで暗号と復号の手段として用いられユーザーにデータを転送する時にSSLが使用されている。データはこの小さいウインドウの間はクリアテキストとして利用可能で、加えてパスフレーズはこの時点でキャプチャーが可能である。全保存メッセージや将来のメッセージの復号にはこのパスフレーズが使用されている。

HushmailはJavaバージョンに関して妥協したJavaアプレットをユーザーに強制使用させるには隙がありすぎると主張している[5][7]

なので強いセキュリティを望む場合はGnuPGPGPデスクトップといった非Webベースサービスを使用することを推奨している[9]

関連項目

[編集]

脚注

[編集]

外部リンク

[編集]