その発表は、パリの回廊で真の「独立の叫び」のように響きました。首相は、WhatsAppとSignalを放棄し、「ネイティブ」として提示されたメッセージングアプリであるOlvidを採用するよう政府に命じました。目的は明確で、国家機密を外国の諜報機関から保護することでした。
しかし、すぐに苦い皮肉が明らかになりました。Olvidの核心であるサーバーインフラは、米国の巨人であるAmazon Web Services (AWS) の内部で動いているのです。
一般の人々にとって、これは単なるホスティングの問題に見えます。しかし、主権的サイバーセキュリティのアーキテクトにとっては、これは最重要の政治的脆弱性です。
治外法権と主権の衝突
Amazonのインフラに依存することで、Olvidは自動的に米国のCLOUD法の軌道に入ります。
この事例の法的分析は、単に国家の「アプリ」を採用するだけでは解決しない管轄権の不安のシナリオを明らかにしています。転換点は、「制御」対「ローカリゼーション」の概念にあります。
CLOUD法は、サーバーの物理的な場所は重要ではないと規定することで、法的パラダイムを根本的に変えました。サービスプロバイダー(ここではAWS)の協力義務は、米国との管轄上の結びつきのみから生じます。
法的には、これはGDPRと正面から対立します。欧州司法裁判所は、米国の監視法がヨーロッパと同等の保護レベルを提供していないことをすでに確立しています。
デジタル主権はソフトウェアの属性ではなく、保管の連鎖の完全性の特性です。
FISAの亡霊と暗号化の誤った約束
さらに悪いことに、この米国インフラへの依存により、データは外国情報監視法(FISA)の影に置かれます。
これらの脅威に直面して、Olvidはエンドツーエンドの暗号化が十分な盾を構成すると主張しています。プライバシーエンジニアリングの観点から見ると、この防御は危険なほど部分的です。
メッセージの内容が暗号化されていても、AWSの中央集権型インフラはメタデータを公開します。誰が誰と、いつ、どのくらいの頻度で、どこから話しているかを知ることは、内容自体よりも諜報機関にとって価値があることがよくあります。
暗号化はテキストを保護しますが、中央集権型サーバーは連絡先のネットワークを裏切ります。
本当の危険はこれから
ヨーロッパのインフラが治外法権の対象となる事業体に依存している限り、通信の法的セキュリティは純粋に一時的で幻想的なものにとどまります。
21世紀の国家安全保障には、完全なインフラとハードウェアの独立性が必要です。「今収集し、後で解読する」戦略は、次の10年の最も破壊的な脅威です。
今日傍受された国家機密は、数学的な時限爆弾に他なりません。
(分析の残りの部分は第2部でお読みください:時限爆弾とゼロ知識の要請)