SSLで保護しない通信は、いつどこで改竄や盗聴をされているかわからない、という。
しかし、ここでは敢えて、「それはあくまで可能性の話であり、必ず行われるとは限らない」と言おう。
だから安穏としていて良い、とはもちろん言わない。実際にそれらの被害は発生している。
だがしかし、である。改竄されず、盗聴されず、なりすましも行われなければ、インターネットを安全に利用できるか? というと、それは疑問であると言わざるを得ない。
通信の安全性を語るときには、よく3人の人物が登場する。
通信路の両端にいるアリスとボブ、そして悪意ある第三者である。
だが実際には、隠れたもう一人の人物がいる。それは、通信路の管理者である。
例えばプロバイダが代表的な例であろう。
SSLを使わないと、この「悪意ある第三者」の攻撃を受ける、という解説はよく目にする。
だが、第四者による攻撃の可能性を論じたものは見たことが無い。
もちろん、「第四者」などという言葉を普段聞かないことからもわかるとおり、この第四者と第三者は同一視することが出来る。
回線の管理人だろうがそれ以外の人間であろうが、通信の当事者でない攻撃者であることに変わりは無い、ということだ。
しかし実際問題、外部の人間による攻撃のニュースはたびたび目にするものの、通信路の管理者による攻撃というのは聞いたことが無い。
ここで、2つの可能性が浮上する。すなわち、そんな攻撃は行われないから聞かないのか、実は行われているけれども表沙汰になっていないだけなのか、ということだ。
ここで俺は、無謀にも前者を推したい。
回線事業者をはじめとするインターネットインフラの運営者は悪いことをしていないのだ。
ここで「否」と唱える人がいたら質問したい。
インフラ運営者は悪事を働いていると仮定する。そのために我々はSSLを利用して通信を保護せねばならないのだとする。
では、インフラ運営者が信用できないとして、何なら信用できる?
通信は、いくつもの暗黙の信用の上に成立している。
プロバイダを疑って、サーバの名前引きに使用するDNSの運営者、SSLに使う証明書を提供する認証局、Webブラウザの製造元などを疑わないのは何故か?
何より、仮に通信路の安全性が確保されたとして、通信している相手は信用できるのか?
通信路中ではデータは暗号化されて、改竄も盗聴もされていないとしても、相手のWebサーバに到達すれば復号される。
相手が十年来の親友だというならまだしも、検索に引っかかった初めて訪れるオンラインショップだったらどうだ。
個人情報の漏洩元として最も多いのはここじゃないか。
何もかもをホイホイ信じ込むのは危険だが、全てを疑っていたら何も出来ない。
どこかで折り合いをつけて、根拠の無い信頼を寄せなければならない。
だが、突っ込まれれば論破される薄弱なものだとしても、折り合いをつけるにはある程度の理由が必要ではないか。
「通信は本質的に危険である」と考える人には、そのあたりを聞いてみたいものだ。